Partilhar via


Conectar o Azure Front Door Premium a um Gerenciamento de API do Azure com Private Link (Visualização)

Este artigo orienta você pelas etapas para configurar um Azure Front Door Premium para se conectar de forma privada à sua origem de Gerenciamento de API do Azure usando o Azure Private Link.

Pré-requisitos

Criar um grupo de origem e adicionar a instância de Gerenciamento de API como origem

  1. No seu perfil do Azure Front Door Premium, aceda a Definições e selecione Grupos de origem.

  2. Clique em Adicionar

  3. Insira um nome para o grupo de origem

  4. Selecionar + Adicionar uma origem

  5. Use a tabela a seguir para definir as configurações para a origem:

    Definição Valor
    Nome Insira um nome para identificar essa origem.
    Tipo de origem Gestão de API
    Nome do anfitrião Selecione o host na lista suspensa que você deseja como origem.
    Cabeçalho de anfitrião de origem Será preenchido automaticamente com o host da instância de Gerenciamento de API escolhida
    Porta HTTP 80 (predefinição)
    Porta HTTPS 443 (padrão)
    Prioridade Atribua prioridades diferentes às origens para fins primários, secundários e de backup.
    Espessura 1000 (padrão). Use pesos para distribuir o tráfego entre diferentes origens.
    País/Região Selecione a região que corresponde ou está mais próxima da sua origem.
    Subrecurso de destino Escolha 'Gateway'
    Solicitar mensagem Insira uma mensagem personalizada para exibir ao aprovar o Ponto de extremidade privado.

Captura de tela das configurações de origem para configurar o Gerenciamento de API como uma origem privada.

  1. Selecione Adicionar para salvar suas configurações de origem
  2. Selecione Adicionar para salvar as configurações do grupo de origem.

Aprovar o ponto de extremidade privado

  1. Navegue até a instância de Gerenciamento de API que você configurou com o Private Link na seção anterior. Em Implantação + infraestrutura, selecione Rede.

  2. Selecione a guia Conexões de ponto de extremidade privado de entrada.

  3. Encontre a solicitação de ponto de extremidade privado pendente do Azure Front Door Premium e selecione Aprovar.

  4. Após a aprovação, o status da conexão será atualizado. Pode levar alguns minutos para que a conexão se estabeleça completamente. Uma vez estabelecido, você pode acessar seu gerenciamento de API através do Front Door.

Captura de tela da guia conexões de ponto de extremidade privado no portal de Gerenciamento de API.

Pré-requisitos

Nota

Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Azure Cloud Shell

O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Pode utilizar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção Exemplo/Ligação
Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell. Captura de tela que mostra um exemplo de Try It for Azure Cloud Shell.
Aceda a https://shell.azure.com ou selecione o botão Iniciar Cloud Shell para abrir o Cloud Shell no browser. Botão para iniciar o Azure Cloud Shell.
Selecione o botão Cloud Shell na barra de menus, na parte direita do portal do Azure. Captura de tela que mostra o botão Cloud Shell no portal do Azure

Para usar o Azure Cloud Shell:

  1. Inicie o Cloud Shell.

  2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.

  3. Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.

  4. Selecione Enter para executar o código ou comando.

Criar um grupo de origem e adicionar a instância de Gerenciamento de API como origem

  1. Use New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject para criar um objeto na memória para armazenar as configurações da sonda de integridade.

    $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
        -ProbeIntervalInSecond 60 `
        -ProbePath "/" `
        -ProbeRequestType GET `
        -ProbeProtocol Http
    
  2. Use New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject para criar um objeto na memória para armazenar configurações de balanceamento de carga.

    $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
        -AdditionalLatencyInMillisecond 50 `
        -SampleSize 4 `
        -SuccessfulSamplesRequired 3
    
  3. Execute New-AzFrontDoorCdnOriginGroup para criar um grupo de origem que contenha sua instância de Gerenciamento de API.

    $origingroup = New-AzFrontDoorCdnOriginGroup `
        -OriginGroupName myOriginGroup `
        -ProfileName myFrontDoorProfile `
        -ResourceGroupName myResourceGroup `
        -HealthProbeSetting $healthProbeSetting `
        -LoadBalancingSetting $loadBalancingSetting
    
  4. Use o comando New-AzFrontDoorCdnOrigin para adicionar sua instância de Gerenciamento de API ao grupo de origem.

    New-AzFrontDoorCdnOrigin ` 
        -OriginGroupName myOriginGroup ` 
        -OriginName myAPIMOrigin ` 
        -ProfileName myFrontDoorProfile ` 
        -ResourceGroupName myResourceGroup ` 
        -HostName myapim.azure-api.net ` 
        -HttpPort 80 ` 
        -HttpsPort 443 ` 
        -OriginHostHeader myapim.azure-api.net ` 
        -Priority 1 ` 
        -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM ` 
        -SharedPrivateLinkResourceGroupId Gateway ` 
        -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
        -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
        -Weight 1000 `
    

Aprovar o ponto de extremidade privado

  1. Execute Get-AzPrivateEndpointConnection para recuperar o nome da conexão do ponto de extremidade privado que precisa de aprovação.

    $PrivateEndpoint = Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAPIM -PrivateLinkResourceType Microsoft.ApiManagement/service
    
  2. Execute Approve-AzPrivateEndpointConnection para aprovar os detalhes da conexão do ponto de extremidade privado. Use o valor Name da saída na etapa anterior para aprovar a conexão.

    Get-AzPrivateEndpointConnection -Name $PrivateEndpoint.Name -ResourceGroupName myResourceGroup -ServiceName myAPIM -PrivateLinkResourceType Microsoft.ApiManagement/service
    

Configuração completa do Azure Front Door

Use o comando New-AzFrontDoorCdnRoute para criar uma rota que mapeie seu ponto de extremidade para o grupo de origem. Essa rota encaminha solicitações do ponto de extremidade para seu grupo de origem.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Seu perfil do Azure Front Door agora está totalmente funcional depois de concluir a etapa final.

Pré-requisitos

  • Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.

  • Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

    • Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.

    • Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.

    • Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.

Criar um grupo de origem e adicionar a instância de Gerenciamento de API como origem

  1. Execute az afd origin-group create para criar um grupo de origem.

    az afd origin-group create \
        --resource-group myResourceGroup \
        --origin-group-name myOriginGroup \
        --profile-name myFrontDoorProfile \
        --probe-request-type GET \
        --probe-protocol Http \
        --probe-interval-in-seconds 60 \
        --probe-path / \
        --sample-size 4 \
        --successful-samples-required 3 \
        --additional-latency-in-milliseconds 50
    
  2. Execute az afd origin create para adicionar a instância de Gerenciamento de API como uma origem ao grupo de origem.

    az afd origin create \
        --enabled-state Enabled \
        --resource-group myResourceGroup \
        --origin-group-name myOriginGroup \
        --origin-name myAPIMOrigin \
        --profile-name myFrontDoorProfile \
        --host-name myapim.azure-api.net \
        --origin-host-header myapim.azure-api.net \
        --http-port 80  \
        --https-port 443 \
        --priority 1 \
        --weight 500 \
        --enable-private-link true \
        --private-link-location centralus \
        --private-link-request-message 'Azure Front Door private connectivity request.' \
        --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM \
        --private-link-sub-resource-type Gateway
    

Aprovar a conexão de ponto de extremidade privado

  1. Execute az network private-endpoint-connection list para obter o nome da conexão de ponto de extremidade privada que precisa de aprovação.

    az network private-endpoint-connection list --name myAPIM --resource-group myResourceGroup --type Microsoft.ApiManagement/service
    
  2. Execute az network private-endpoint-connection approve para aprovar a conexão de ponto de extremidade privado usando o nome da etapa anterior.

    az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
    

Configuração completa do Azure Front Door

Execute az afd route create para criar uma rota que mapeie seu ponto de extremidade para o grupo de origem. Essa rota encaminha solicitações do ponto de extremidade para seu grupo de origem.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Seu perfil do Azure Front Door agora está totalmente funcional depois de concluir a etapa final.

Próximos passos

Saiba mais sobre o serviço Private Link com conta de armazenamento.