Freigeben über

Verbinden von Azure Front Door Premium mit einem Azure-Anwendungsgateway mit privatem Link

Gilt für: ✔️ Front Door Premium

In diesem Artikel finden Sie einen Leitfaden für das Konfigurieren von Azure Front Door Premium, um mithilfe von Azure Private Link eine private Verbindung mit Azure Application Gateway herzustellen.

Voraussetzungen

  • Ein Azure Front Door Premium-Profil und ein Endpunkt. Weitere Informationen finden Sie unter Erstellen einer Azure-Front Door.

  • Ein Azure-Anwendungsgateway. Weitere Informationen zum Erstellen eines Anwendungsgateways finden Sie unter Weiterleiten von Webdatenverkehr per Azure Application Gateway mithilfe von Azure PowerShell.

  • Azure Cloud Shell oder Azure PowerShell.

    Die Schritte in diesem Artikel führen die Azure PowerShell-Cmdlets interaktiv in Azure Cloud Shell aus. Um die Cmdlets in der Cloud Shell auszuführen, wählen Sie in der oberen rechten Ecke eines Codeblocks "Cloud Shell öffnen " aus. Wählen Sie "Kopieren" aus, um den Code zu kopieren, und fügen Sie ihn dann in Cloud Shell ein, um ihn auszuführen. Sie können die Cloud Shell auch innerhalb des Azure-Portals ausführen.

    Sie können auch Azure PowerShell lokal installieren, um die Cmdlets auszuführen. Wenn Sie PowerShell lokal ausführen, melden Sie sich mit dem Cmdlet Connect-AzAccount bei Azure an.

  • Ein Azure Front Door Premium-Profil mit einer Ursprungsgruppe. Weitere Informationen finden Sie unter Erstellen einer Azure-Front Door.

  • Ein Azure-Anwendungsgateway. Weitere Informationen zum Erstellen eines Anwendungsgateways finden Sie unter Weiterleiten von Webdatenverkehr per Azure Application Gateway mithilfe von Azure CLI.

  • Azure Cloud Shell oder Azure CLI.

    Die Schritte in diesem Artikel führen die Azure CLI-Befehle interaktiv in Azure Cloud Shell aus. Um die Befehle in der Cloud Shell auszuführen, wählen Sie in der oberen rechten Ecke eines Codeblocks "Cloud Shell öffnen " aus. Wählen Sie "Kopieren" aus, um den Code zu kopieren, und fügen Sie ihn in Cloud Shell ein, um ihn auszuführen. Sie können die Cloud Shell auch innerhalb des Azure-Portals ausführen.

    Sie können Azure CLI auch lokal installieren , um die Befehle auszuführen. Wenn Sie Azure CLI lokal ausführen, melden Sie sich mit dem Az-Anmeldebefehl bei Azure an.

Hinweis

Bei der Konfiguration über das Azure-Portal muss die region, die in der Azure Front Door-Ursprungskonfiguration ausgewählt wurde, dieselbe Region sein, in der sich das Anwendungsgateway befindet. Wenn Sie möchten, dass die Azure Front Door-Ursprungsregion und die Anwendungsgateway-Region unterschiedlich sein sollen, verwenden Sie CLI/PowerShell. Dies wird in Fällen benötigt, in denen sich das Anwendungsgateway in einer Region befindet, in der Azure Front Door keine private Verknüpfung unterstützt.

Aktivieren privater Konnektivität mit Azure Application Gateway

  1. Befolgen Sie die Anweisungen unter Konfigurieren von Azure Application Gateway mit Private Link, aber führen Sie nicht den letzten Schritt zum Erstellen eines privaten Endpunkts aus.

  2. Wechseln Sie zur Registerkarte "Übersicht " Ihres Anwendungsgateways, notieren Sie sich den Namen der Ressourcengruppe, den Namen des Anwendungsgateways und die Abonnement-ID.

  3. Wählen Sie unter "Einstellungen" den Eintrag "Privater Link" aus. Notieren Sie sich den Namen des privaten Linkdiensts, der unter der Spalte "Name " auf der Registerkarte "Private Linkkonfigurationen" angezeigt wird.

  4. Erstellen Sie die Ressourcen-ID des privaten Verknüpfungsdiensts mithilfe der Werte aus den vorherigen Schritten. Das Format ist /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/privateLinkServices/_e41f87a2_{applicationGatewayName}_{privateLinkResource.Name}. Diese Ressourcen-ID wird beim Konfigurieren des Ursprungs von Front Door verwendet.

Erstellen einer Ursprungsgruppe und Hinzufügen des Anwendungsgateways als Ursprung

  1. Wählen Sie in Ihrem Azure Front Door Premium-Profil unter Einstellungen die Option Ursprungsgruppen aus.

  2. Wählen Sie " Hinzufügen" aus.

  3. Geben Sie einen Namen für die Ursprungsgruppe ein.

  4. Klicken Sie auf + Ursprung hinzufügen.

  5. Verwenden Sie die folgende Tabelle, um die Einstellungen für den Ursprung zu konfigurieren:

    Einstellung Wert
    Name Geben Sie einen Namen ein, um diesen Ursprung zu identifizieren.
    Ursprungstyp Kundenspezifisch
    Hostname Geben Sie den Hostnamen des Listeners Ihres Anwendungsgateways ein.
    Header des Ursprungshosts Geben Sie den Hostnamen des Listeners Ihres Anwendungsgateways ein.
    HTTP-Port 80 (Standardwert)
    HTTPS-Port 443 (Standard)
    Priorität Weisen Sie Ursprüngen für primäre, sekundäre und Sicherungszwecke unterschiedliche Prioritäten zu.
    Weight 1000 (Standard). Verwenden Sie Gewichtungen, um den Datenverkehr zwischen verschiedenen Ursprüngen zu verteilen.
    Privater Link Aktivieren des Privaten Linkdiensts
    Auswählen eines privaten Links Nach ID oder Alias
    ID/Alias Geben Sie die Ressourcen-ID des privaten Linkdiensts ein, die beim Konfigurieren des Anwendungsgateways abgerufen wurde.
    Region Wählen Sie die Region aus, in der sich das Anwendungsgateway befindet.
    Request-Nachricht Geben Sie eine benutzerdefinierte Meldung ein, die beim Genehmigen des privaten Endpunkts angezeigt werden soll.

    Screenshot der Ursprungseinstellungen zum Konfigurieren des Anwendungsgateways als privater Ursprung.

  6. Wählen Sie Hinzufügen aus, um Ihre Ursprungseinstellungen zu speichern.

  7. Wählen Sie Hinzufügen aus, um die Einstellungen der Ursprungsgruppe zu speichern.

Genehmigen Sie den privaten Endpunkt.

  1. Navigieren Sie zum Application Gateway, das Sie im vorherigen Abschnitt mit Private Link konfiguriert haben. Wählen Sie unter Einstellungen die Option Private Link aus.

  2. Wählen Sie die Registerkarte Private Endpunktverbindungen aus.

  3. Suchen Sie die ausstehende Anforderung für den privaten Endpunkt von Azure Front Door Premium und wählen Sie Genehmigen aus.

  4. Nach der Genehmigung wird der Verbindungsstatus aktualisiert. Es kann einige Minuten dauern, bis die Verbindung vollständig hergestellt ist. Nach der Verbindungsherstellung können Sie über Front Door auf Ihr Application Gateway zugreifen. Der direkte Zugriff auf das Application Gateway aus dem öffentlichen Internet wird deaktiviert, nachdem der private Endpunkt aktiviert wurde. Screenshot der Registerkarte „Private Endpunktverbindungen“ im Application Gateway-Portal.

Aktivieren privater Konnektivität mit Azure Application Gateway

Befolgen Sie die Anweisungen unter Konfigurieren von Azure Application Gateway mit Private Link, aber führen Sie nicht den letzten Schritt zum Erstellen eines privaten Endpunkts aus.

Erstellen einer Ursprungsgruppe und Hinzufügen des Anwendungsgateways als Ursprung

  1. Verwenden Sie New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject, um ein Speicherobjekt zum Speichern der Integritätstesteinstellungen zu erstellen.

    $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
    -ProbeIntervalInSecond 60 `
    -ProbePath "/" `
    -ProbeRequestType GET `
    -ProbeProtocol Http

  2. Verwenden Sie New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject, um ein Speicherobjekt zum Speichern von Lastenausgleichseinstellungen zu erstellen.

    $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
    -AdditionalLatencyInMillisecond 50 `
    -SampleSize 4 `
    -SuccessfulSamplesRequired 3

  3. Führen Sie New-AzFrontDoorCdnOriginGroup aus, um eine Ursprungsgruppe zu erstellen, die Ihr Anwendungsgateway enthält.

    $origingroup = New-AzFrontDoorCdnOriginGroup `
    -OriginGroupName myOriginGroup `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -HealthProbeSetting $healthProbeSetting `
    -LoadBalancingSetting $loadBalancingSetting

  4. Rufen Sie den Namen der Front-End-IP-Konfiguration des Anwendungsgateways mit dem Befehl Get-AzApplicationGatewayFrontendIPConfig ab.

    $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
$FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
$FrontEndIPs.name

  5. Verwenden Sie den Befehl New-AzFrontDoorCdnOrigin, um Ihr Anwendungsgateway der Ursprungsgruppe hinzuzufügen.

    New-AzFrontDoorCdnOrigin ` 
    -OriginGroupName myOriginGroup ` 
    -OriginName myAppGatewayOrigin ` 
    -ProfileName myFrontDoorProfile ` 
    -ResourceGroupName myResourceGroup ` 
    -HostName www.contoso.com ` 
    -HttpPort 80 ` 
    -HttpsPort 443 ` 
    -OriginHostHeader www.contoso.com ` 
    -Priority 1 ` 
    -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
    -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
    -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
    -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
    -Weight 1000 `

    Hinweis

    SharedPrivateLinkResourceGroupId ist der Name der Front-End-IP-Konfiguration von Azure Application Gateway.

Genehmigen Sie den privaten Endpunkt.

  1. Führen Sie Get-AzPrivateEndpointConnection aus, um den Namen der Verbindung mit dem privaten Endpunkt abzurufen, die eine Genehmigung erfordert.

    Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways

  2. Führen Sie Approve-AzPrivateEndpointConnection aus, um die Details der Verbindung mit dem privaten Endpunkt zu genehmigen. Verwenden Sie den Wert Name aus der Ausgabe im letzten Schritt, um die Verbindung zu genehmigen.

    Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways

Vollständige Einrichtung von Azure Front Door

Verwenden Sie den Befehl New-AzFrontDoorCdnRoute, um eine Route zu erstellen, die Ihren Endpunkt der Ursprungsgruppe zuordnet. Diese Route leitet Anforderungen vom Endpunkt an Ihre Ursprungsgruppe weiter.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Ihr Azure Front Door-Profil ist jetzt vollständig funktionsfähig, nachdem Sie den letzten Schritt abgeschlossen haben.

Aktivieren privater Konnektivität mit Azure Application Gateway

Führen Sie die Schritte unter Konfigurieren von Azure Application Gateway mit Private Link aus, aber lassen Sie den letzten Schritt zum Erstellen eines privaten Endpunkts aus.

Erstellen einer Ursprungsgruppe und Hinzufügen des Anwendungsgateways als Ursprung

  1. Führen Sie az afd origin-group create aus, um eine Ursprungsgruppe zu erstellen.

    az afd origin-group create \
    --resource-group myResourceGroup \
    --origin-group-name myOriginGroup \
    --profile-name myFrontDoorProfile \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

  2. Führen Sie az network application-gateway frontend-ip list aus, um den Namen der Front-End-IP-Konfiguration des Anwendungsgateways abzurufen.

    az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup

  3. Führen Sie az afd origin create aus, um der Ursprungsgruppe ein Anwendungsgateway als Ursprung hinzuzufügen.

    az afd origin create \
    --enabled-state Enabled \
    --resource-group myResourceGroup \
    --origin-group-name myOriginGroup \
    --origin-name myAppGatewayOrigin \
    --profile-name myFrontDoorProfile \
    --host-name www.contoso.com \
    --origin-host-header www.contoso.com \
    --http-port 80  \
    --https-port 443 \
    --priority 1 \
    --weight 500 \
    --enable-private-link true \
    --private-link-location centralus \
    --private-link-request-message 'Azure Front Door private connectivity request.' \
    --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
    --private-link-sub-resource-type myAppGatewayFrontendIPName

    Hinweis

    private-link-sub-resource-type ist der Name der Front-End-IP-Konfiguration von Azure Application Gateway.

Genehmigen der Verbindung mit einem privaten Endpunkt

  1. Führen Sie az network private-endpoint-connection list aus, um die ID der Verbindung mit dem privaten Endpunkt abzurufen, die eine Genehmigung benötigt.

    az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways

  2. Führen Sie az network private-endpoint-connection approve aus, um die Verbindung mit dem privaten Endpunkt anhand der ID aus dem letzten Schritt zu genehmigen.

    az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc

Vollständige Einrichtung von Azure Front Door

Führen Sie az afd route create aus, um eine Route zu erstellen, die Ihren Endpunkt der Ursprungsgruppe zuordnet. Diese Route leitet Anforderungen vom Endpunkt an Ihre Ursprungsgruppe weiter.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Ihr Azure Front Door-Profil ist jetzt vollständig funktionsfähig, nachdem Sie den letzten Schritt abgeschlossen haben.

Häufige Fehler, um zu vermeiden

Im Folgenden finden Sie häufige Fehler beim Konfigurieren eines Azure Application Gateway-Ursprungs mit aktiviertem Azure Private Link:

  1. Der Azure Front Door-Ursprung wurde vor dem Konfigurieren von Azure Private Link in Azure Application Gateway konfiguriert.
  2. Der Azure Application Gateway-Ursprung mit Azure Private Link wurde einer vorhandenen Ursprungsgruppe hinzugefügt, die öffentliche Ursprünge enthält. Azure Front Door lässt das Kombinieren öffentlicher und privater Ursprünge in derselben Ursprungsgruppe nicht zu.
  3. Die kombinierte Länge des Anwendungsgatewaynamens und des Konfigurationsnamens für private Verknüpfungen darf 70 Zeichen nicht überschreiten, um Bereitstellungsfehler zu vermeiden.
  4. Die Front-End-IP des Anwendungsgateways wird nicht mit einem Listener verknüpft.
  1. Konfigurieren des Ursprungs mit dem Ursprungstyp als „Anwendungsgateway“ anstelle von „Benutzerdefiniert“. Wenn Sie den Quelle-Typ als "Anwendungsgateway" auswählen, wird der Ursprungs-Hostname automatisch mit der IP-Adresse des Anwendungsgateways ausgefüllt. Dies kann zu einem Fehler „CertificateNameValidation“ führen. Dieses Problem kann bei öffentlichen Ursprüngen vermieden werden, indem die Überprüfung des Zertifikatssubjektnamens deaktiviert wird. Bei Ursprüngen mit aktivierten privaten Links ist die Überprüfung des Zertifikatantragstellernamens jedoch obligatorisch.
  1. Es wurde ein falscher Name für die Front-End-IP-Konfiguration für Azure Application Gateway als Wert für SharedPrivateLinkResourceGroupId angegeben.
  1. Es wurde ein falscher Name für die Front-End-IP-Konfiguration für Azure Application Gateway als Wert für private-link-sub-resource-type angegeben.

Nächster Schritt

Privater Linkdienst mit Speicherkonto

  • Last updated on