Подключение Azure Front Door Premium к Шлюз приложений Azure с помощью Приватный канал (предварительная версия)
В этой статье описаны инструкции по настройке Azure Front Door Premium для частного подключения к Шлюз приложений Azure с помощью Приватный канал Azure.
Необходимые компоненты
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
У вас есть функционируют профиль Azure Front Door Premium и конечная точка. Дополнительные сведения о создании профиля Azure Front Door см. в статье "Создание Front Door".
Есть функционируют Шлюз приложений Azure. Дополнительные сведения о создании Шлюз приложений см. в разделе "Прямой веб-трафик" с Шлюз приложений Azure с помощью портал Azure
Включение частного подключения к Шлюз приложений Azure
Следуйте инструкциям в разделе "Настройка Шлюз приложений Azure Приватный канал", но не выполните последний этап создания частной конечной точки.
Создание группы источников и добавление шлюза приложений в качестве источника
В профиле Azure Front Door Premium перейдите в раздел "Параметры " и выберите группы "Источник".
Нажмите Добавить.
Введите имя группы источника
Выбор и добавление источника
Используйте следующую таблицу для настройки параметров источника:
Параметр Значение Имя. Введите имя для идентификации этого источника. Тип источника Шлюз приложений Host name Выберите узел из раскрывающегося списка, который хотите использовать в качестве источника. Заголовок узла источника Будет автоматически заполнен IP-адрес выбранного Шлюз приложений Порт HTTP 80 (по умолчанию) Порт HTTPS 443 (по умолчанию) Приоритет Назначьте разные приоритеты источникам для основных, вторичных и резервных копий. Вес 1000 (по умолчанию). Используйте весы для распределения трафика между различными источниками. Область/регион Выберите регион, соответствующий или ближайший к источнику. Целевой подресурс Имя Шлюз приложений Azure интерфейсной IP-конфигурации. Сообщение запроса Введите настраиваемое сообщение для отображения при утверждении частной конечной точки. 
Нажмите кнопку "Добавить ", чтобы сохранить параметры источника
Нажмите кнопку "Добавить ", чтобы сохранить параметры группы источников.
Утверждение частной конечной точки
Перейдите к Шлюз приложений, настроенной с помощью Приватный канал в предыдущем разделе. В разделе "Параметры" выберите приватный канал.
Перейдите на вкладку "Подключения к частной конечной точке".
Найдите ожидающий запрос частной конечной точки из Azure Front Door Premium и выберите "Утвердить".
После утверждения состояние подключения будет обновлено. Для полного установления подключения может потребоваться несколько минут. После установки вы можете получить доступ к Шлюз приложений через Front Door. Прямой доступ к Шлюз приложений из общедоступного Интернета отключен после включения частной конечной точки.
Необходимые компоненты
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Локальная установка Azure PowerShell или Azure Cloud Shell.
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Azure Cloud Shell
В Azure есть Azure Cloud Shell, интерактивная оболочка среды, с которой можно работать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для запуска кода из этой статьи можно использовать предварительно установленные команды Cloud Shell. Ничего дополнительного в локальной среде устанавливать не нужно.
Начало работы с Azure Cloud Shell
| Вариант | Пример и ссылка |
|---|---|
| Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически. |
|
| Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell. |
|
| Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure. |
|
Чтобы использовать Azure Cloud Shell, выполните следующие действия:
Запустите Cloud Shell.
Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.
Вставьте код или команду в окно сеанса Cloud Shell, нажав клавиши CTRL+SHIFT+V в Windows и Linux или CMD+SHIFT+V в macOS.
Нажмите клавишу ВВОД, чтобы запустить код или команду.
У вас есть функционируют профиль Azure Front Door Premium и конечная точка. Дополнительные сведения о создании профиля Azure Front Door см. в статье "Создание Front Door — PowerShell".
Есть функционируют Шлюз приложений Azure. Дополнительные сведения о создании Шлюз приложений см. в разделе "Прямой веб-трафик" с Шлюз приложений Azure с помощью Azure PowerShell
Включение частного подключения к Шлюз приложений Azure
Следуйте инструкциям в разделе "Настройка Шлюз приложений Azure Приватный канал", но не выполните последний этап создания частной конечной точки.
Создание группы источников и добавление шлюза приложений в качестве источника
Используйте New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject для создания объекта в памяти для хранения параметров пробы работоспособности.
$healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject ` -ProbeIntervalInSecond 60 ` -ProbePath "/" ` -ProbeRequestType GET ` -ProbeProtocol HttpИспользуйте New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject , чтобы создать объект в памяти для хранения параметров балансировки нагрузки.
$loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject ` -AdditionalLatencyInMillisecond 50 ` -SampleSize 4 ` -SuccessfulSamplesRequired 3Запустите New-AzFrontDoorCdnOriginGroup , чтобы создать группу источников, содержащую шлюз приложений.
$origingroup = New-AzFrontDoorCdnOriginGroup ` -OriginGroupName myOriginGroup ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HealthProbeSetting $healthProbeSetting ` -LoadBalancingSetting $loadBalancingSettingПолучите имя конфигурации внешнего IP-адреса Шлюз приложений с помощью команды Get-AzApplicationGatewayFrontendIPConfig.
$AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $AppGw $FrontEndIPs.nameИспользуйте команду New-AzFrontDoorCdnOrigin, чтобы добавить шлюз приложений в группу источников.
New-AzFrontDoorCdnOrigin ` -OriginGroupName myOriginGroup ` -OriginName myAppGatewayOrigin ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HostName 10.0.0.4 ` -HttpPort 80 ` -HttpsPort 443 ` -OriginHostHeader 10.0.0.4 ` -Priority 1 ` -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` -Weight 1000 `Примечание.
SharedPrivateLinkResourceGroupId— это имя Шлюз приложений Azure интерфейсной IP-конфигурации.
Утверждение частной конечной точки
Запустите Get-AzPrivateEndpointConnection , чтобы получить имя подключения для подключения частной конечной точки, для которого требуется утверждение.
Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgatewaysВыполните команду Утверждайте AzPrivateEndpointConnection , чтобы утвердить сведения о подключении к частной конечной точке. Используйте значение Name из выходных данных на предыдущем шаге для утверждения соединения.
Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
Завершение установки Azure Front Door
Используйте команду New-AzFrontDoorCdnRoute, чтобы создать маршрут, который сопоставляет конечную точку с группой источников. Этот маршрут перенаправляет запросы от конечной точки в группу источников.
# Create a route to map the endpoint to the origin group
$Route = New-AzFrontDoorCdnRoute `
-EndpointName myFrontDoorEndpoint `
-Name myRoute `
-ProfileName myFrontDoorProfile `
-ResourceGroupName myResourceGroup `
-ForwardingProtocol MatchRequest `
-HttpsRedirect Enabled `
-LinkToDefaultDomain Enabled `
-OriginGroupId $origingroup.Id `
-SupportedProtocol Http,Https
Профиль Azure Front Door теперь полностью работает после завершения последнего шага.
Необходимые компоненты
Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.
Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.
Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Функционируют профиль и конечная точка Azure Front Door Premium. См. статью "Создание Front Door — CLI".
Функционируют Шлюз приложений Azure. См. прямой веб-трафик с помощью Шлюз приложений Azure — Azure CLI.
Включение частного подключения к Шлюз приложений Azure
Выполните действия, описанные в разделе "Настройка Шлюз приложений Azure Приватный канал", пропустив последний шаг создания частной конечной точки.
Создание группы источников и добавление шлюза приложений в качестве источника
Выполните команду az afd origin-group create , чтобы создать группу источников.
az afd origin-group create \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --profile-name myFrontDoorProfile \ --probe-request-type GET \ --probe-protocol Http \ --probe-interval-in-seconds 60 \ --probe-path / \ --sample-size 4 \ --successful-samples-required 3 \ --additional-latency-in-milliseconds 50Запустите az network application-gateway frontend-ip list, чтобы получить имя конфигурации внешнего IP-адреса Шлюз приложений.
az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroupЗапустите az afd origin create , чтобы добавить шлюз приложений в качестве источника в группу источников.
az afd origin create \ --enabled-state Enabled \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --origin-name myAppGatewayOrigin \ --profile-name myFrontDoorProfile \ --host-name 10.0.0.4 \ --origin-host-header 10.0.0.4 \ --http-port 80 \ --https-port 443 \ --priority 1 \ --weight 500 \ --enable-private-link true \ --private-link-location centralus \ --private-link-request-message 'Azure Front Door private connectivity request.' \ --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \ --private-link-sub-resource-type myAppGatewayFrontendIPNameПримечание.
private-link-sub-resource-type— это имя Шлюз приложений Azure интерфейсной IP-конфигурации.
Утверждение подключения частной конечной точки
Запустите az network private-endpoint-connection list , чтобы получить идентификатор подключения частной конечной точки, требующего утверждения.
az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgatewaysЗапустите az network private-endpoint-connection, чтобы утвердить подключение частной конечной точки с помощью идентификатора из предыдущего шага.
az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
Завершение установки Azure Front Door
Выполните az afd route create , чтобы создать маршрут, который сопоставляет конечную точку с группой источника. Этот маршрут перенаправляет запросы от конечной точки в группу источников.
az afd route create \
--resource-group myResourceGroup \
--profile-name myFrontDoorProfile \
--endpoint-name myFrontDoorEndpoint \
--forwarding-protocol MatchRequest \
--route-name myRoute \
--https-redirect Enabled \
--origin-group myOriginGroup \
--supported-protocols Http Https \
--link-to-default-domain Enabled
Профиль Azure Front Door теперь полностью работает после завершения последнего шага.
Распространенные ошибки, чтобы избежать
Ниже приведены распространенные ошибки при настройке источника Шлюз приложений Azure с включенным Приватный канал Azure:
Настройка источника Azure Front Door перед настройкой Приватный канал Azure на Шлюз приложений Azure.
Добавление источника Шлюз приложений Azure с Приватный канал Azure в существующую группу источников, содержащую общедоступные источники. Azure Front Door не позволяет смешивать общедоступные и частные источники в той же группе источников.
- Указание неправильного имени ip-конфигурации интерфейса Шлюз приложений Azure в качестве значения
SharedPrivateLinkResourceGroupId.
- Указание неправильного имени ip-конфигурации интерфейса Шлюз приложений Azure в качестве значения
private-link-sub-resource-type.
Следующие шаги
Узнайте о службе "Приватный канал" в учетных записях хранения.