Ansluta Azure Front Door Premium till en Azure Application Gateway med Private Link (förhandsversion)

Den här artikeln vägleder dig genom stegen för att konfigurera en Azure Front Door Premium för att ansluta privat till din Azure Application Gateway med Hjälp av Azure Private Link.

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.

• Azure PowerShell installerat lokalt eller Azure Cloud Shell.

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Azure Cloud Shell

Azure är värd för Azure Cloud Shell, en interaktiv gränssnittsmiljö som du kan använda via webbläsaren. Du kan använda antingen Bash eller PowerShell med Cloud Shell för att arbeta med Azure-tjänster. Du kan använda förinstallerade Cloud Shell-kommandon för att köra koden i den här artikeln, utan att behöva installera något i din lokala miljö.

Så här startar du Azure Cloud Shell:

Alternativ	Exempel/länk
Välj Prova i det övre högra hörnet i en kod eller ett kommandoblock. Om du väljer Prova kopieras inte koden eller kommandot automatiskt till Cloud Shell.
Gå till https://shell.azure.com eller Välj knappen Starta Cloud Shell för att öppna Cloud Shell i webbläsaren.
Välj knappen Cloud Shell på menyn längst upp till höger i Azure-portalen.

Så här använder du Azure Cloud Shell:

1. Starta Cloud Shell.

2. Välj knappen Kopiera i ett kodblock (eller kommandoblock) för att kopiera koden eller kommandot.

3. Klistra in koden eller kommandot i Cloud Shell-sessionen genom att välja Ctrl+Skift+V i Windows och Linux, eller genom att välja Cmd+Shift+V på macOS.

4. Välj Retur för att köra koden eller kommandot.

• Ha en fungerande Azure Front Door Premium-profil och en slutpunkt. Mer information om hur du skapar en Azure Front Door-profil finns i Skapa en Front Door – PowerShell.

• Ha en fungerande Azure Application Gateway. Mer information om hur du skapar en Application Gateway finns i Direct web traffic with Azure Application Gateway using Azure PowerShell (Direkt webbtrafik med Azure Application Gateway med Azure PowerShell)

Aktivera privat anslutning till Azure Application Gateway

Följ anvisningarna i Konfigurera Azure Application Gateway Private Link, men slutför inte det sista steget för att skapa en privat slutpunkt.

Skapa en ursprungsgrupp och lägg till programgatewayen som ursprung

1. Använd New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject för att skapa ett minnesinternt objekt för lagring av hälsoavsökningsinställningarna.

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. Använd New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject för att skapa ett minnesinternt objekt för lagring av belastningsutjämningsinställningar.

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. Kör New-AzFrontDoorCdnOriginGroup för att skapa en ursprungsgrupp som innehåller din programgateway.

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. Hämta klientdelens IP-konfigurationsnamn för Application Gateway med kommandot Get-AzApplicationGatewayFrontendIPConfig .

   $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
   $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
   $FrontEndIPs.name
   

5. Använd kommandot New-AzFrontDoorCdnOrigin för att lägga till programgatewayen i ursprungsgruppen.

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAppGatewayOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName 10.0.0.4 ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader 10.0.0.4 ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
       -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

   Kommentar

   SharedPrivateLinkResourceGroupId är namnet på IP-konfigurationen för Azure Application Gateway-klientdelen.

Godkänn den privata slutpunkten

1. Kör Get-AzPrivateEndpointConnection för att hämta anslutningsnamnet för den privata slutpunktsanslutning som behöver godkännas.

   Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

2. Kör Approve-AzPrivateEndpointConnection för att godkänna information om den privata slutpunktens anslutning. Använd värdet Namn från utdata i föregående steg för att godkänna anslutningen.

   Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

Slutför konfigurationen av Azure Front Door

Använd kommandot New-AzFrontDoorCdnRoute för att skapa en väg som mappar slutpunkten till ursprungsgruppen. Den här vägen vidarebefordrar begäranden från slutpunkten till ursprungsgruppen.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Din Azure Front Door-profil är nu fullt fungerande när du har slutfört det sista steget.

Förutsättningar

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.

• En fungerande Azure Front Door Premium-profil och slutpunkt. Se Skapa en Front Door – CLI.

• En fungerande Azure Application Gateway. Se Direkt webbtrafik med Azure Application Gateway – Azure CLI.

Aktivera privat anslutning till Azure Application Gateway

Följ stegen i Konfigurera Azure Application Gateway Private Link och hoppa över det sista steget för att skapa en privat slutpunkt.

Skapa en ursprungsgrupp och lägg till programgatewayen som ursprung

1. Kör az afd origin-group create för att skapa en ursprungsgrupp.

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. Kör az network application-gateway frontend-ip list för att hämta klientdelens IP-konfigurationsnamn för Application Gateway.

   az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
   

3. Kör az afd origin create för att lägga till en programgateway som ursprung i ursprungsgruppen.

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAppGatewayOrigin \
       --profile-name myFrontDoorProfile \
       --host-name 10.0.0.4 \
       --origin-host-header 10.0.0.4 \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
       --private-link-sub-resource-type myAppGatewayFrontendIPName
   

   Kommentar

   private-link-sub-resource-type är ip-konfigurationsnamnet för Azure Application Gateway-klientdelen.

Godkänna den privata slutpunktsanslutningen

1. Kör az network private-endpoint-connection list för att hämta ID :t för den privata slutpunktsanslutning som behöver godkännande.

   az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
   

2. Kör az network private-endpoint-connection approve för att godkänna den privata slutpunktsanslutningen med hjälp av ID:t från föregående steg.

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
   

Slutför konfigurationen av Azure Front Door

Kör az afd route create för att skapa en väg som mappar slutpunkten till ursprungsgruppen. Den här vägen vidarebefordrar begäranden från slutpunkten till ursprungsgruppen.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Din Azure Front Door-profil är nu fullt fungerande när du har slutfört det sista steget.

Vanliga misstag att undvika

Följande är vanliga misstag när du konfigurerar ett Azure Application Gateway-ursprung med Azure Private Link aktiverat:

1. Konfigurera Azure Front Door-ursprung innan du konfigurerar Azure Private Link på Azure Application Gateway.

2. Lägga till Azure Application Gateway-ursprunget med Azure Private Link i en befintlig ursprungsgrupp som innehåller offentligt ursprung. Azure Front Door tillåter inte att offentliga och privata ursprung blandas i samma ursprungsgrupp.

3. Ange ett felaktigt IP-konfigurationsnamn för Azure Application Gateway som värde för SharedPrivateLinkResourceGroupId.

3. Ange ett felaktigt IP-konfigurationsnamn för Azure Application Gateway som värde för private-link-sub-resource-type.

Nästa steg

Läs mer om Private Link-tjänsten med lagringskonto.