你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Front Door 高级版中使用专用链接保护源

使用 Azure 专用链接,可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务和托管在 Azure 中的服务。 虚拟网络与服务之间的流量将通过 Microsoft 主干网络,因此不会向公共 Internet 泄露。

Azure Front Door 高级版可使用专用链接连接到源。 源可托管在虚拟网络中,也可作为 PaaS 服务(例如 Azure Web 服务或 Azure 存储)托管。 专用链接无需公开访问原点。

启用了专用链接的 Azure Front Door 的示意图。

在 Azure Front Door 高级版中启用指向源的专用链接时,Front Door 将以用户身份从 Azure Front Door 托管的区域专用网络创建一个专用终结点。 你在原点收到一个等待审批的 Azure Front Door 专用终结点请求。

重要

必须先批准专用终结点连接,然后流量才能以非公开方式传递到源。 可使用 Azure 门户、Azure CLI 或 Azure PowerShell 来批准专用终结点连接。 有关详细信息,请参阅管理专用终结点连接

在为专用链接启用源并批准专用终结点连接后,可能需要几分钟时间才能建立连接。 在此期间,对原点的请求将收到 Azure Front Door 错误消息。 建立连接后,错误消息将消失。

请求获得批准后,将从 Azure Front Door 托管的虚拟网络分配一个专用 IP 地址。 Azure Front Door 和原点之间的流量使用已建立的专用链接通过 Microsoft 主干网络进行通信。 现在,源的传入流量在到达 Azure Front Door 时将得到保护。

“源配置”页中“启用专用链接服务”复选框的屏幕截图。

专用终结点与 Azure Front Door 配置文件的关联

创建专用终结点

在单个 Azure Front Door 配置文件中,如果使用同一组专用链接、资源 ID 和组 ID 创建两个或更多启用专用链接的源,则对于所有此类源,只创建一个专用终结点。 可使用此专用终结点启用与后端的连接。 此设置意味着只需批准专用终结点一次,因为只创建一个专用终结点。 如果使用同一组专用链接位置、资源 ID 和组 ID 创建多个启用专用链接的原点,则无需再批准任何专用终结点。

单个专用终结点

例如,为不同原点组中但位于同一 Azure Front Door 配置文件中的所有不同原点创建单个专用终结点,如下表所示:

该图显示为同一 Azure Front Door 配置文件中创建的源创建了单个专用终结点。

多个专用终结点

在以下场景会创建一个新的专用终结点:

  • 如果区域、资源 ID 或组 ID 发生更改:

    该图显示由于源的区域和资源 ID 发生更改而创建的多个专用终结点。

    注意

    专用链接位置和主机名已更改,导致创建了额外的专用终结点,并且每个终结点都需要审批。

  • 如果 Azure Front Door 配置文件发生更改:

    该图显示由于源与多个 Azure Front Door 配置文件关联而创建的多个专用终结点。

    注意

    为不同 Front Door 配置文件中的源启用专用链接将创建额外的专用终结点,并且每个终结点都需要审批。

专用终结点删除

删除 Azure Front Door 配置文件时,也会删除与该配置文件关联的专用终结点。

单个专用终结点

如果删除 AFD-Profile-1,则所有原点中的 PE1 专用终结点也会被删除。

该图显示如果删除 AFD-Profile-1,则所有原点中的 PE1 都会删除。

多个专用终结点

  • 如果删除 AFD-Profile-1,则从 PE1 到 PE4 的所有专用终结点都会被删除。

    该图显示如果删除 AFD-Profile-1,则从 PE1 到 PE4 的所有专用终结点都会删除。

  • 删除 Azure Front Door 配置文件不会影响为其他 Front Door 配置文件创建的专用终结点。

    该图显示删除 Azure Front Door 配置文件不会影响其他 Front Door 配置文件中的专用终结点。

    例如:

    • 如果删除 AFD-Profile-2,则仅删除 PE5。
    • 如果删除 AFD-Profile-3,则仅删除 PE6。
    • 如果删除 AFD-Profile-4,则仅删除 PE7。
    • 如果删除 AFD-Profile-5,则仅删除 PE8。

上市区域

Azure Front Door 专用终结点链接在以下区域可用:

美洲 欧洲 非洲 亚太区
巴西南部 法国中部 南非北部 澳大利亚东部
加拿大中部 德国中西部 印度中部
美国中部 北欧 日本东部
美国东部 挪威东部 韩国中部
美国东部 2 英国南部 东亚
美国中南部 西欧
美国西部 3 瑞典中部
US Gov 亚利桑那州
US Gov 德克萨斯州
US Gov 弗吉尼亚州

限制

直接专用终结点连接的源支持目前仅限于:

  • Blob 存储
  • Web 应用
  • 内部负载均衡器或任何公开内部负载均衡器的服务,例如 Azure Kubernetes 服务、Azure 容器应用或 Azure Red Hat OpenShift
  • 存储静态网站
  • 应用程序网关(在 PowerShell 和 CLI 中仅提供预览)。请勿在生产环境中使用)
  • API 管理(在 PowerShell 和 CLI 中仅提供预览)。请勿在生产环境中使用)
  • API 容器应用(在 PowerShell 和 CLI 中仅提供预览。请勿在生产环境中使用)

注意

  • Azure 应用服务槽或 Functions 不支持此功能。
  • Azure 应用程序网关、API 管理集成和 Azure 容器应用当前不支持使用 Azure 门户。

Azure Front Door 专用链接功能与区域无关,但为了获得最佳延迟,在选择启用 Azure Front Door 专用链接终结点时,应始终选择离源最近的 Azure 区域。

后续步骤