Udostępnij przez

Zabezpieczanie źródła za pomocą usługi Private Link w usłudze Azure Front Door Premium

Dotyczy: ✔️ Front Door Premium

Usługa Azure Private Link umożliwia dostęp do usług i usług PaaS platformy Azure hostowanych na platformie Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Ruch między siecią wirtualną a usługą przechodzi przez sieć szkieletową firmy Microsoft, eliminując narażenie na publiczny Internet.

Usługa Azure Front Door Premium może łączyć się ze swoim źródłem przy użyciu usługi Private Link. Źródło może być hostowane w sieci wirtualnej lub hostowane jako usługa PaaS, taka jak aplikacja internetowa platformy Azure lub usługa Azure Storage. Private Link usuwa potrzebę publicznego dostępu do źródła.

Diagram usługi Azure Front Door z włączoną usługą Private Link.

Po włączeniu Private Link do Twojego źródła w usłudze Azure Front Door Premium, Front Door tworzy prywatny punkt końcowy w Twoim imieniu w zarządzanej przez Azure Front Door regionalnej sieci prywatnej. Otrzymasz żądanie prywatnego punktu końcowego usługi Azure Front Door na początku oczekujące na zatwierdzenie.

Aby ruch mógł być przesyłany bezpośrednio do źródła, musisz zatwierdzić połączenie z prywatnym punktem końcowym. Połączenia prywatnego punktu końcowego można zatwierdzać przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Aby uzyskać więcej informacji, zobacz Zarządzanie połączeniem prywatnego punktu końcowego.

Po włączeniu źródła dla usługi Private Link i zatwierdzeniu połączenia prywatnego punktu końcowego, nawiązanie połączenia może potrwać kilka minut. W tym czasie żądania do źródła odbierają komunikat o błędzie usługi Azure Front Door. Komunikat o błędzie zniknie po nawiązaniu połączenia.

Po zatwierdzeniu żądania dedykowany prywatny punkt końcowy zostanie przypisany do routingu ruchu z zarządzanej sieci wirtualnej usługi Azure Front Door. Ruch z klientów dociera do globalnych punktów obecności (POP) usługi Azure Front Door, a następnie jest kierowany przez szkielet Microsoftu do regionalnego klastra Front Door, który hostuje zarządzaną sieć wirtualną zawierającą dedykowany prywatny punkt końcowy. Ruch jest następnie kierowany do źródła za pośrednictwem platformy łącza prywatnego za pośrednictwem sieci szkieletowej firmy Microsoft. Dlatego ruch przychodzący do Twojego źródła jest zabezpieczany natychmiast po jego dotarciu do usługi Azure Front Door.

Obsługiwane źródła

Obsługa źródła dla bezpośredniej łączności prywatnego punktu końcowego jest obecnie ograniczona do następujących typów źródeł.

Typ pochodzenia Dokumentacja
App Service (aplikacja internetowa, aplikacja funkcji) Łączenie usługi Azure Front Door z aplikacją internetową/źródłem aplikacji funkcji za pomocą usługi Private Link
Blob Storage Połączenie usługi Azure Front Door ze źródłem konta magazynowego za pomocą usługi Private Link
Witryna statyczna w usłudze przechowywania danych Łączenie Azure Front Door z dyskiem źródłowym statycznej witryny internetowej za pomocą usługi Private Link
Wewnętrzne moduły równoważenia obciążenia lub wszystkie usługi, które uwidaczniają wewnętrzne moduły równoważenia obciążenia, takie jak Usługa Azure Kubernetes Service lub Azure Red Hat OpenShift Łączenie usługi Azure Front Door z wewnętrznym źródłem modułu równoważenia obciążenia za pomocą usługi Private Link
API Management Podłącz Azure Front Door do pochodzenia usługi API Management za pomocą Private Link
Application Gateway Łączenie usługi Azure Front Door z źródłem bramy aplikacji za pomocą usługi Private Link
Azure Container Apps Łączenie usługi Azure Front Door z źródłem usługi Azure Container Apps za pomocą usługi Private Link

Uwaga

Ta funkcja nie jest obsługiwana w przypadku slotów Azure App Service i Azure Static Web App.

Dostępność w regionach

Link prywatny usługi Azure Front Door jest dostępny w następujących regionach:

Ameryka Europa Afryka Azja i Pacyfik
Brazylia Południowa Francja Środkowa Północna Republika Południowej Afryki Australia Wschodnia
Kanada Środkowa Niemcy Środkowo-Zachodnie Indie Środkowe
Środkowe stany USA Europa Północna Japonia Wschodnia
Wschodnie stany USA Norwegia Wschodnia Korea Środkowa
Wschodnie stany USA 2 Południowe Zjednoczone Królestwo Azja Wschodnia
Południowo-środkowe stany USA Europa Zachodnia Azja Południowo-Wschodnia
Zachodnie stany USA 2 Szwecja Środkowa Wschodnie Chiny 3
Zachodnie stany USA 3 Chiny Północne 3
US Gov Arizona
US Gov Teksas
US Gov Wirginia
US Nat East
US Nat West
US Sec (region wschodni)
US Sec (region zachodni)

Funkcja usługi Azure Front Door Private Link jest niezależna od regionu, ale w celu uzyskania najlepszego opóźnienia należy zawsze wybrać region świadczenia usługi Azure najbliżej źródła, wybierając opcję włączenia punktu końcowego usługi Azure Front Door Private Link. Jeśli region źródła nie jest obsługiwany na liście regionów obsługiwanych przez usługę Front Door Private Link, wybierz następny najbliższy region. Możesz użyć statystyk opóźnienia transmisji dwukierunkowej w sieci platformy Azure, aby określić najbliższy dostępny region pod względem opóźnienia. Jesteśmy w trakcie włączania obsługi większej liczby regionów. Po obsługiwanym nowym regionie możesz postępować zgodnie z tymi instrukcjami , aby stopniowo przenosić ruch do nowego regionu.

Skojarzenie prywatnego punktu końcowego z profilem usługi Azure Front Door

Tworzenie prywatnego punktu końcowego

W ramach jednego profilu usługi Azure Front Door, jeśli co najmniej dwa źródła z włączoną obsługą usługi Private Link zostaną utworzone przy użyciu tego samego zestawu identyfikatorów zasobów, identyfikatora grupy i regionu, wówczas dla wszystkich takich źródeł zostanie utworzony tylko jeden prywatny punkt końcowy. Połączenia z backendem można włączyć przy użyciu tego prywatnego punktu końcowego. Ta konfiguracja oznacza, że musisz zatwierdzić prywatny punkt końcowy tylko raz, ponieważ zostanie utworzony tylko jeden prywatny punkt końcowy. Jeśli utworzysz więcej źródeł z włączoną usługą Private Link przy użyciu tego samego zestawu lokalizacji usługi Private Link, identyfikatora zasobu i identyfikatora grupy, nie musisz zatwierdzać więcej prywatnych punktów końcowych.

Ostrzeżenie

Unikaj konfigurowania wielu źródeł z włączonym łączem prywatnym, które wskazują ten sam zasób (z identycznym identyfikatorem zasobu, identyfikatorem grupy i regionem), jeśli każde źródło używa innego portu HTTP lub HTTPS. Ta konfiguracja może prowadzić do problemów z routingiem między usługą Front Door a źródłem z powodu ograniczenia platformy.

Pojedynczy prywatny punkt końcowy

Na przykład pojedynczy prywatny punkt końcowy jest tworzony dla wszystkich różnych źródeł w różnych grupach pochodzenia, ale w tym samym profilu usługi Azure Front Door, jak pokazano w poniższej tabeli:

Diagram przedstawiający pojedynczy prywatny punkt końcowy utworzony dla źródeł utworzonych w tym samym profilu usługi Azure Front Door.

Wiele prywatnych punktów końcowych

Nowy prywatny punkt końcowy zostanie utworzony w następującym scenariuszu:

  • Jeśli region, identyfikator zasobu lub identyfikator grupy zmieni się, usługa Azure Front Door uzna, że lokalizacja usługi Private Link i nazwa hosta uległy zmianie, co spowoduje utworzenie dodatkowych prywatnych punktów końcowych i każde z nich musi zostać zatwierdzone.

    Diagram przedstawiający utworzony wielokrotny prywatny punkt końcowy z powodu zmian w regionie i identyfikatorze zasobu dla źródła.

  • Włączenie usługi Private Link dla źródeł w różnych profilach usługi Azure Front Door spowoduje utworzenie dodatkowych prywatnych punktów końcowych i wymaga zatwierdzenia dla każdego z nich.

    Diagram przedstawiający wiele utworzonych prywatnych punktów końcowych, ponieważ źródło jest skojarzone z wieloma profilami usługi Azure Front Door.

Usuwanie dostępu do prywatnego punktu końcowego

Po usunięciu profilu usługi Azure Front Door prywatne punkty końcowe skojarzone z profilem również zostaną usunięte.

Pojedynczy prywatny punkt końcowy

Jeśli profil AFD-Profile-1 zostanie usunięty, prywatny punkt końcowy PE1 we wszystkich źródłach również zostanie usunięty.

Diagram przedstawiający, że jeśli AFD-Profile-1 zostanie usunięty, to PE1 zostaje usunięty we wszystkich źródłach.

Wiele prywatnych punktów końcowych

  • Jeśli profil AFD-Profile-1 zostanie usunięty, wszystkie prywatne punkty końcowe od PE1 do PE4 również zostają usunięte.

    Diagram pokazuje, że jeśli AFD-Profile-1 zostanie usunięty, to wszystkie prywatne punkty końcowe od PE1 do PE4 również zostaną usunięte.

  • Usunięcie profilu usługi Azure Front Door nie ma wpływu na prywatne punkty końcowe utworzone dla innego profilu usługi Azure Front Door.

    Diagram przedstawiający usuwanie profilu usługi Azure Front Door, które nie wpływa na prywatne punkty końcowe w innych profilach usługi Azure Front Door.

    Na przykład:

    • Jeśli AFD-Profile-2 zostanie usunięty, usunięty zostanie tylko PE5.
    • Jeśli profil AFD-Profile-3 zostanie usunięty, usunięty zostanie tylko PE6.
    • Jeśli AFD-Profile-4 zostanie usunięty, usunięty zostanie tylko PE7.
    • Jeśli profil AFD-Profile-5 zostanie usunięty, usunięty zostanie tylko PE8.

Najczęściej zadawane pytania

  1. Czy ta funkcja obsługuje łączność łącza prywatnego z klienta do usługi Azure Front Door?
  • Nie. Ta funkcja obsługuje tylko łączność za pomocą łącza prywatnego z usługi Azure Front Door do źródła.
  1. Jak poprawić nadmiarowość podczas korzystania z usługi Private Link z usługą Azure Front Door?

  • Aby zwiększyć redundancję na poziomie źródła, upewnij się, że masz wiele źródeł z włączonym łączem prywatnym w tej samej grupie źródeł, aby Azure Front Door mogło dystrybuować ruch między wieloma wystąpieniami aplikacji. Jeśli jedno wystąpienie jest niedostępne, inne źródła nadal mogą przyjmować ruch.

  • Aby kierować ruch usługi Private Link, żądania są kierowane z adresów POP usługi Azure Front Door do zarządzanej sieci wirtualnej usługi Front Door hostowanej w klastrach regionalnych usługi Front Door. Aby zapewnić nadmiarowość w przypadku, gdy klaster regionalny nie jest osiągalny, zaleca się skonfigurowanie wielu źródeł (z których każdy ma inny region usługi Private Link) w ramach tej samej grupy źródeł usługi Azure Front Door. Dzięki temu nawet jeśli jeden klaster regionalny jest niedostępny, inne źródła nadal mogą odbierać ruch za pośrednictwem innego klastra regionalnego. Poniżej przedstawiono, jak wyglądałaby grupa źródeł z redundancją na poziomie źródłowym i regionalnym.

    Diagram przedstawiający grupę pochodzenia z nadmiarowością na poziomie źródła i na poziomie regionu.

  1. Czy mogę mieszać źródła publiczne i prywatne w tej samej grupie pochodzenia?
  • Nie. Usługa Azure Front Door nie zezwala na mieszanie źródeł publicznych i prywatnych w tej samej grupie źródeł. Może to spowodować błędy konfiguracji lub problemy z routingiem ruchu. Zachowaj wszystkie źródła publiczne w jednej grupie pochodzenia i wszystkie prywatne źródła w oddzielnej grupie pochodzenia.
  1. Dlaczego widzę błąd "Grupa źródeł może mieć źródła tylko z linkami prywatnymi lub źródłami bez linków prywatnych. Nie mogą łączyć obu opcji" przy jednoczesnym włączaniu usługi Private Link dla wielu publicznych źródeł.
  • Ten błąd może wystąpić, gdy włączysz usługę Private Link dla więcej niż jednego źródła publicznego w tej samej grupie pochodzenia w tym samym czasie. Chociaż oba źródła mają być prywatne, operacja aktualizacji przetwarza źródła sekwencyjnie, a nie jednocześnie. Po zaktualizowaniu pierwszego źródła drugie źródło jest nadal technicznie publiczne, tworząc tymczasowy stan mieszany, co powoduje wystąpienie błędu.
  • Aby uniknąć tego błędu, włącz usługę Private Link dla jednego źródła jednocześnie:
    1. Usuń źródła z grupy pochodzenia, dopóki nie pozostanie tylko jedno źródło.
    2. Włącz usługę Private Link dla tego źródła i zatwierdź jego prywatny punkt końcowy.
    3. Po zatwierdzeniu dodaj drugie źródło i włącz dla niego usługę Private Link.
  1. Dlaczego podczas próby uzyskania dostępu do szczegółów prywatnego punktu końcowego jest wyświetlany błąd, klikając dwukrotnie prywatny punkt końcowy w witrynie Azure Portal?
  • Podczas zatwierdzania połączenia prywatnego punktu końcowego lub po zatwierdzeniu połączenia prywatnego punktu końcowego po dwukrotnym kliknięciu prywatnego punktu końcowego zostanie wyświetlony komunikat o błędzie "Nie masz dostępu. Skopiuj szczegóły błędu i wyślij je do administratora, aby uzyskać dostęp do tej strony. Jest to oczekiwane, ponieważ prywatny punkt końcowy jest hostowany w ramach subskrypcji zarządzanej przez usługę Azure Front Door.
  1. Jakie są limity szybkości ruchu usługi Private Link i jak mogę obsługiwać scenariusze dużego ruchu?

  • W przypadku ochrony platformy każdy klaster regionalny usługi Front Door ma limit 7200 RPS (żądania na sekundę) na profil usługi Front Door. Żądania przekraczające 7200 RPS w regionie będą ograniczone do liczby "429 zbyt wielu żądań".

  • Jeśli dołączasz lub oczekujesz ruchu przekraczającego 7200 RPS, zalecamy wdrożenie wielu źródeł (z których każdy ma inny region usługi Private Link), aby ruch był rozłożony na wiele klastrów regionalnych usługi Front Door. Zaleca się, aby każde źródło było oddzielnym wystąpieniem aplikacji, aby poprawić redundancję na poziomie źródła. Jeśli jednak nie możesz zachować oddzielnych wystąpień, nadal możesz skonfigurować wiele źródeł na poziomie usługi Front Door, gdzie każde źródło wskazuje tę samą nazwę hosta, ale regiony pozostają różne. Dzięki temu usługa Front Door będzie kierować ruch do tej samej instancji, ale przez różne klastry regionalne.

  1. Czy w przypadku źródeł z włączoną obsługą łącza prywatnego sondy kondycji będą również postępować zgodnie z tą samą ścieżką sieci, co rzeczywisty ruch?
  • Tak.

Treści powiązane

  • Last updated on