使用 Private Link 將 Azure Front Door Premium 連線到 Azure 應用程式閘道 (預覽)
本文會引導您完成相關步驟,將 Azure Front Door Premium 設定為使用 Azure Private Link 私下連線到您的 Azure 應用程式閘道。
必要條件
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
擁有正常運作的 Azure Front Door Premium 設定檔和端點。 如需如何建立 Azure Front Door 配置文件的詳細資訊,請參閱 建立 Front Door。
擁有正常運作的 Azure 應用程式閘道。 如需如何建立 應用程式閘道 的詳細資訊,請參閱使用 Azure 入口網站 使用 Azure 應用程式閘道 導向 Web 流量
啟用對 Azure 應用程式閘道的私人連線
請遵循設定 Azure 應用程式閘道的 Private Link 中的指示,但不要完成建立私人端點的最後一個步驟。
建立來源群組,並將應用程式閘道新增為來源
在您的 Azure Front Door Premium 配置檔中,移至 [ 設定 ],然後選取 [ 原始群組]。
按一下 [新增]
輸入來源群組的名稱
選取 [+ 新增來源]
使用下表來設定原點的設定:
設定 值 名稱 輸入名稱以識別此來源。 原點類型 應用程式閘道 主機名稱 從下拉式清單中選取您想要作為來源的主機。 來源主機標題 將會自動填入所選 應用程式閘道 的 IP HTTP 連接埠 80 (預設值) HTTPS 連接埠 443 (預設) 優先順序 針對主要、次要和備份目的,將不同的優先順序指派給來源。 Weight 1000 (預設)。 使用權數在不同來源之間散發流量。 區域 選取符合或最接近您來源的區域。 目標子資源 Azure 應用程式閘道 前端IP組態的名稱。 要求訊息 輸入自訂訊息,以在核准私人端點時顯示。 
選取 [新增 ] 以儲存原始設定
選取 [ 新增 ] 以儲存原始群組設定。
核准私人端點
流覽至您在上一節中使用 Private Link 設定的 應用程式閘道。 在 [設定] 底下,選取 [私人連結]。
選取 [私人端點連線] 索引標籤。
從 Azure Front Door Premium 尋找擱置中的私人端點要求,然後選取 [核准]。
核准之後,連線狀態將會更新。 連線可能需要幾分鐘的時間才能完全建立。 建立之後,您可以透過 Front Door 存取您的 應用程式閘道。 一旦啟用私人端點,就會停用從公用因特網直接存取 應用程式閘道。
必要條件
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
已在本地安裝 Azure PowerShell 或 Azure Cloud Shell。
注意
建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用,請參閱安裝 Azure PowerShell (部分機器翻譯)。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。
Azure Cloud Shell
Azure Cloud Shell 是裝載於 Azure 中的互動式殼層環境,可在瀏覽器中使用。 您可以使用 Bash 或 PowerShell 搭配 Cloud Shell,與 Azure 服務共同使用。 您可以使用 Cloud Shell 預先安裝的命令,執行本文提到的程式碼,而不必在本機環境上安裝任何工具。
要啟動 Azure Cloud Shell:
| 選項 | 範例/連結 |
|---|---|
| 選取程式碼或命令區塊右上角的 [試試看]。 選取 [試試看] 並不會自動將程式碼或命令複製到 Cloud Shell 中。 |
|
| 請前往 https://shell.azure.com,或選取 [啟動 Cloud Shell] 按鈕,在瀏覽器中開啟 Cloud Shell。 |
|
| 選取 Azure 入口網站右上方功能表列上的 [Cloud Shell] 按鈕。 |
|
若要使用 Azure Cloud Shell:
啟動 Cloud Shell。
選取程式碼區塊 (或命令區塊) 上的 [複製] 按鈕以複製程式碼或命令。
透過在 Windows 和 Linux 上選取 Ctrl+Shift+V;或在 macOS 上選取 Cmd+Shift+V,將程式碼或命令貼到 Cloud Shell 工作階段中。
選取 Enter 鍵執行程式碼或命令。
擁有正常運作的 Azure Front Door Premium 設定檔和端點。 如需如何建立 Azure Front Door 設定檔的詳細資訊,請參閱建立 Front Door - PowerShell。
擁有正常運作的 Azure 應用程式閘道。 如需如何建立應用程式閘道的詳細資訊,請參閱使用 Azure PowerShell 藉由 Azure 應用程式閘道引導網路流量
啟用對 Azure 應用程式閘道的私人連線
請遵循設定 Azure 應用程式閘道的 Private Link 中的指示,但不要完成建立私人端點的最後一個步驟。
建立來源群組,並將應用程式閘道新增為來源
使用 New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject (英文) 來建立用於儲存健全狀態探查設定的記憶體內部物件。
$healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject ` -ProbeIntervalInSecond 60 ` -ProbePath "/" ` -ProbeRequestType GET ` -ProbeProtocol Http使用 New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject (英文) 來建立用於儲存負載平衡設定的記憶體內部物件。
$loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject ` -AdditionalLatencyInMillisecond 50 ` -SampleSize 4 ` -SuccessfulSamplesRequired 3執行 New-AzFrontDoorCdnOriginGroup (英文) 來建立包含應用程式閘道的來源群組。
$origingroup = New-AzFrontDoorCdnOriginGroup ` -OriginGroupName myOriginGroup ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HealthProbeSetting $healthProbeSetting ` -LoadBalancingSetting $loadBalancingSetting使用 Get-AzApplicationGatewayFrontendIPConfig (英文) 命令來取得應用程式閘道的前端 IP 設定名稱。
$AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $AppGw $FrontEndIPs.name使用 New-AzFrontDoorCdnOrigin 命令將應用程式閘道新增至來源群組。
New-AzFrontDoorCdnOrigin ` -OriginGroupName myOriginGroup ` -OriginName myAppGatewayOrigin ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HostName 10.0.0.4 ` -HttpPort 80 ` -HttpsPort 443 ` -OriginHostHeader 10.0.0.4 ` -Priority 1 ` -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` -Weight 1000 `注意
SharedPrivateLinkResourceGroupId是 Azure 應用程式閘道前端 IP 設定的名稱。
核准私人端點
執行 Get-AzPrivateEndpointConnection (英文) 來擷取需要核准之私人端點連線的連線名稱。
Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways執行 [Approve-AzPrivateEndpointConnection] 來核准私人端點連線詳細資料。 使用上一個步驟之輸出中的「名稱」值核准連線。
Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
完成 Azure Front Door 設定
使用 New-AzFrontDoorCdnRoute (英文) 命令來建立將端點對應至來源群組的路由。 此路由會將要求從端點轉送至來源群組。
# Create a route to map the endpoint to the origin group
$Route = New-AzFrontDoorCdnRoute `
-EndpointName myFrontDoorEndpoint `
-Name myRoute `
-ProfileName myFrontDoorProfile `
-ResourceGroupName myResourceGroup `
-ForwardingProtocol MatchRequest `
-HttpsRedirect Enabled `
-LinkToDefaultDomain Enabled `
-OriginGroupId $origingroup.Id `
-SupportedProtocol Http,Https
完成最後一個步驟之後,您的 Azure Front Door 設定檔現在已完全正常運作。
必要條件
在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊,請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱使用 Azure CLI 登入。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊,請參閱使用 Azure CLI 擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
正常運作的 Azure Front Door Premium 設定檔和端點。 請參閱建立 Front Door - CLI (部分機器翻譯)。
正常運作的 Azure 應用程式閘道。 請參閱使用 Azure 應用程式閘道引導網路流量 - Azure CLI (部分機器翻譯)。
啟用對 Azure 應用程式閘道的私人連線
請遵循設定 Azure 應用程式閘道的 Private Link 中的步驟,並略過建立私人端點的最後一個步驟。
建立來源群組,並將應用程式閘道新增為來源
執行 az afd origin-group create (部分機器翻譯) 來建立來源群組。
az afd origin-group create \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --profile-name myFrontDoorProfile \ --probe-request-type GET \ --probe-protocol Http \ --probe-interval-in-seconds 60 \ --probe-path / \ --sample-size 4 \ --successful-samples-required 3 \ --additional-latency-in-milliseconds 50執行 az network application-gateway frontend-ip list 以取得 應用程式閘道 的前端 IP 組態名稱。
az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup執行 az afd origin create (部分機器翻譯) 將應用程式閘道作為來源新增到來源群組。
az afd origin create \ --enabled-state Enabled \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --origin-name myAppGatewayOrigin \ --profile-name myFrontDoorProfile \ --host-name 10.0.0.4 \ --origin-host-header 10.0.0.4 \ --http-port 80 \ --https-port 443 \ --priority 1 \ --weight 500 \ --enable-private-link true \ --private-link-location centralus \ --private-link-request-message 'Azure Front Door private connectivity request.' \ --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \ --private-link-sub-resource-type myAppGatewayFrontendIPName注意
private-link-sub-resource-type是 Azure 應用程式閘道前端 IP 設定名稱。
核准私人端點連線
執行 az network private-endpoint-connection list (部分機器翻譯) 來取得需要核准之私人端點連線的識別碼。
az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways執行 az network private-endpoint-connection approve (部分機器翻譯) 以使用上一個步驟中的識別碼來核准私人端點連線。
az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
完成 Azure Front Door 設定
執行 az afd route create (部分機器翻譯) 來建立將端點對應至來源群組的路由。 此路由會將要求從端點轉送至來源群組。
az afd route create \
--resource-group myResourceGroup \
--profile-name myFrontDoorProfile \
--endpoint-name myFrontDoorEndpoint \
--forwarding-protocol MatchRequest \
--route-name myRoute \
--https-redirect Enabled \
--origin-group myOriginGroup \
--supported-protocols Http Https \
--link-to-default-domain Enabled
完成最後一個步驟之後,您的 Azure Front Door 設定檔現在已完全正常運作。
要避免的常見錯誤
設定已啟用 Azure Private Link 的 Azure 應用程式閘道來源時的常見錯誤如下:
先設定 Azure Front Door 來源,才在 Azure 應用程式閘道上設定 Azure Private Link。
使用 Azure Private Link 將 Azure 應用程式閘道來源新增至包含公用來源的現有來源群組。 Azure Front Door 不允許在相同的來源群組中混合使用公用來源和私人來源。
- 提供不正確的 Azure 應用程式閘道前端 IP 設定名稱作為
SharedPrivateLinkResourceGroupId的值。
- 提供不正確的 Azure 應用程式閘道前端 IP 設定名稱作為
private-link-sub-resource-type的值。