Compartilhar via

Conectar o Azure Front Door Premium a uma origem do Gateway de Aplicativo do Azure com o Link Privado

Aplica-se a: ✔️ Front Door Premium

Este artigo descreve as etapas necessárias para configurar um Azure Front Door Premium para se conectar de modo privado ao Gateway de Aplicativo do Azure usando o Link Privado do Azure.

Pré-requisitos

  • Um perfil Premium do Azure Front Door com um grupo de origem. Para obter mais informações, consulte Criar um Azure Front Door.

  • Um Gateway de Aplicativo do Azure. Para obter mais informações sobre como criar um Gateway de Aplicativo, consulte o tráfego direto da Web com o Gateway de Aplicativo do Azure usando a CLI do Azure.

  • Azure Cloud Shell ou CLI do Azure.

    As etapas neste artigo executam os comandos da CLI do Azure interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Abrir Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell no portal do Azure.

    Você também pode instalar a CLI do Azure localmente para executar os comandos. Se você executar a CLI do Azure localmente, entre no Azure usando o comando az login.

Observação

Ao configurar por meio do portal do Azure, a região escolhida na configuração de origem do Azure Front Door deve ser a mesma região em que o Gateway de Aplicativo está localizado. Se você quiser que a região de origem do Azure Front Door e a região do Gateway de Aplicativo sejam diferentes, use a CLI/PowerShell. Isso será necessário nos casos em que o Gateway de Aplicativo está localizado em uma região em que o Azure Front Door não dá suporte ao Link Privado.

Habilitar a conectividade privada com o Gateway de Aplicativo do Azure

  1. Siga as instruções descritas em Configurar o Link Privado do Gateway de Aplicativo do Azure, mas não conclua a etapa final da criação de um ponto de extremidade privado.

  2. Vá para a guia Visão Geral do Gateway de Aplicativo, anote o nome do grupo de recursos, o nome do Gateway de Aplicativo e a ID da Assinatura.

  3. Em Configurações, selecione Link Privado. Anote o nome do serviço de link privado visto na coluna Nome na guia Configurações de link privado

  4. Construa a ID do recurso do serviço de link privado usando os valores das etapas anteriores. O formato é /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/privateLinkServices/_e41f87a2_{applicationGatewayName}_{privateLinkResource.Name}. Essa ID de recurso é usada ao configurar a origem do Front Door.

Crie um grupo de origem e adicione o gateway de aplicação como uma origem

  1. No perfil do Azure Front Door Premium, em Configurações, selecione Grupos de origem.

  2. Selecione em Adicionar

  3. Insira um nome para o grupo de origem

  4. Selecione + Adicionar uma origem

  5. Use a tabela a seguir para definir as configurações da origem:

    Configuração Valor
    Nome Insira um nome para identificar essa origem.
    Tipo de origem Personalizado
    Nome do host Digite o nome do host do ouvinte do seu Gateway de Aplicativo do Azure
    Cabeçalho de host de origem Digite o nome do host do ouvinte do seu Gateway de Aplicativo do Azure
    Porta HTTP 80 (padrão)
    Porta HTTPS 443 (padrão)
    Prioridade Atribua prioridades diferentes às origens para fins primários, secundários e de backup.
    Peso 1.000 (padrão). Use pesos para distribuir o tráfego entre diferentes origens.
    Link privado Habilitar o serviço de link privado
    Selecionar um link privado Por ID ou alias
    ID/alias Insira a ID do recurso de serviço de link privado obtida ao configurar o Gateway de Aplicações.
    Região Selecione a região em que o Gateway de Aplicativo está localizado.
    Mensagem de solicitação Insira uma mensagem personalizada a ser exibida ao aprovar o Ponto de extremidade Privado.

    Captura de tela das configurações de origem para configurar o Gateway de Aplicativo como uma origem privada.

  6. Selecione Adicionar para salvar suas configurações de origem

  7. Selecione Adicionar para salvar as configurações do grupo de origem.

Aprovar o ponto de extremidade privado

  1. Navegue até o Gateway de Aplicativo configurado com o Link Privado na seção anterior. Em Configurações, selecione Link Privado.

  2. Selecione a guia Conexões de ponto de extremidade privado.

  3. Localize a solicitação de ponto de extremidade privado pendente do Azure Front Door Premium e selecione Aprovar.

  4. Após a aprovação, o status da conexão será atualizado. Pode levar alguns minutos para que a conexão seja estabelecida completamente. Uma vez estabelecido, você pode acessar o Gateway de Aplicativo pelo Front Door. O acesso direto ao Gateway de Aplicativo a partir da Internet pública é desabilitado quando o ponto de extremidade privado está habilitado. Captura de tela da guia de conexões de ponto de extremidade privado no portal do Gateway de Aplicativo.

Habilitar a conectividade privada com o Gateway de Aplicativo do Azure

Siga as instruções descritas em Configurar o Link Privado do Gateway de Aplicativo do Azure, mas não conclua a etapa final da criação de um ponto de extremidade privado.

Crie um grupo de origem e adicione o gateway de aplicação como uma origem

  1. Use New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject para criar um objeto na memória a fim de armazenar as configurações de investigação de integridade.

    $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
    -ProbeIntervalInSecond 60 `
    -ProbePath "/" `
    -ProbeRequestType GET `
    -ProbeProtocol Http

  2. Use New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject para criar um objeto na memória a fim de armazenar as configurações de balanceamento de carga.

    $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
    -AdditionalLatencyInMillisecond 50 `
    -SampleSize 4 `
    -SuccessfulSamplesRequired 3

  3. Execute New-AzFrontDoorCdnOriginGroup para criar um grupo de origem que contenha o gateway de aplicativo.

    $origingroup = New-AzFrontDoorCdnOriginGroup `
    -OriginGroupName myOriginGroup `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -HealthProbeSetting $healthProbeSetting `
    -LoadBalancingSetting $loadBalancingSetting

  4. Obtenha o nome da configuração de IP de front-end do Gateway de Aplicativo com o comando Get-AzApplicationGatewayFrontendIPConfig.

    $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
$FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
$FrontEndIPs.name

  5. Use o comando New-AzFrontDoorCdnOrigin para adicionar o gateway de aplicativo ao grupo de origem.

    New-AzFrontDoorCdnOrigin ` 
    -OriginGroupName myOriginGroup ` 
    -OriginName myAppGatewayOrigin ` 
    -ProfileName myFrontDoorProfile ` 
    -ResourceGroupName myResourceGroup ` 
    -HostName www.contoso.com ` 
    -HttpPort 80 ` 
    -HttpsPort 443 ` 
    -OriginHostHeader www.contoso.com ` 
    -Priority 1 ` 
    -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
    -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
    -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
    -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
    -Weight 1000 `

    Observação

    SharedPrivateLinkResourceGroupId é o nome da configuração de IP de front-end do Gateway de Aplicativo do Azure.

Aprovar o ponto de extremidade privado

  1. Execute Get-AzPrivateEndpointConnection para recuperar o nome da conexão do ponto de extremidade privado que precisa de aprovação.

    Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways

  2. Execute Approve-AzPrivateEndpointConnection para aprovar os detalhes da conexão do ponto de extremidade privado. Use o valor de Name da saída na etapa anterior para aprovar a conexão.

    Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways

Concluir a instalação do Azure Front Door

Use o comando New-AzFrontDoorCdnRoute para criar uma rota que mapeia o ponto de extremidade para o grupo de origem. Essa rota encaminha solicitações do ponto de extremidade para o seu grupo de origem.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Seu perfil do Azure Front Door já está totalmente funcional após a conclusão da etapa final.

Habilitar a conectividade privada com o Gateway de Aplicativo do Azure

Siga as etapas descritas em Configurar o Link Privado do Gateway de Aplicativo do Azure, ignorando a última etapa de criação de um ponto de extremidade privado.

Crie um grupo de origem e adicione o gateway de aplicação como uma origem

  1. Execute az afd origin-group create para criar um grupo de origem.

    az afd origin-group create \
    --resource-group myResourceGroup \
    --origin-group-name myOriginGroup \
    --profile-name myFrontDoorProfile \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

  2. Execute az network application-gateway frontend-ip list para obter o nome da configuração de IP do frontend do Gateway de Aplicativo do Azure.

    az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup

  3. Execute az afd origin create para adicionar um gateway de aplicativo como uma origem ao grupo de origem.

    az afd origin create \
    --enabled-state Enabled \
    --resource-group myResourceGroup \
    --origin-group-name myOriginGroup \
    --origin-name myAppGatewayOrigin \
    --profile-name myFrontDoorProfile \
    --host-name www.contoso.com \
    --origin-host-header www.contoso.com \
    --http-port 80  \
    --https-port 443 \
    --priority 1 \
    --weight 500 \
    --enable-private-link true \
    --private-link-location centralus \
    --private-link-request-message 'Azure Front Door private connectivity request.' \
    --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
    --private-link-sub-resource-type myAppGatewayFrontendIPName

    Observação

    private-link-sub-resource-type é o nome da configuração de IP de front-end do Gateway de Aplicativo do Azure.

Aprovar a conexão de ponto de extremidade privado

  1. Execute az network private-endpoint-connection list para obter a ID da conexão do ponto de extremidade privado que precisa de aprovação.

    az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways

  2. Execute az network private-endpoint-connection approve para aprovar a conexão do ponto de extremidade privado usando a ID da etapa anterior.

    az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc

Concluir a instalação do Azure Front Door

Execute az afd route create para criar uma rota que mapeia o ponto de extremidade para o grupo de origem. Essa rota encaminha solicitações do ponto de extremidade para o seu grupo de origem.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Seu perfil do Azure Front Door já está totalmente funcional após a conclusão da etapa final.

Erros comuns a serem evitados

Estes são erros comuns ao configurar uma origem do Gateway de Aplicativo do Azure com o Link Privado do Azure habilitado:

  1. Configurar a origem do Azure Front Door antes de configurar o Link Privado do Azure no Gateway de Aplicativo do Azure.
  2. Adicionar a origem do Gateway de Aplicativo do Azure com o Link Privado do Azure a um grupo de origem existente que contém origens públicas. O Azure Front Door não permite a combinação de origens públicas e privadas no mesmo grupo de origem.
  3. O comprimento combinado do nome do Gateway de Aplicativo e do nome de configuração de Link Privado não deve exceder 70 caracteres para evitar falhas de implantação.
  4. Não associar o IP de front-end do Gateway de Aplicativo a um ouvinte.
  1. Configurando a origem com o tipo de origem como “Gateway de Aplicativo” em vez de “Personalizar”. Quando você escolhe o tipo de origem como 'Gateway de Aplicativo', o nome do host de origem é preenchido automaticamente com o endereço IP do Gateway de Aplicativo. Isso pode levar ao erro “CertificateNameValidation”. Esse problema pode ser evitado em origens públicas desabilitando a validação do nome do assunto do certificado. No entanto, para origens habilitadas para link privado, a validação do assunto do certificado é obrigatória.
  1. Fornecer um nome incorreto de configuração de IP de front-end do Gateway de Aplicativo do Azure como o valor para SharedPrivateLinkResourceGroupId.
  1. Fornecer um nome incorreto de configuração de IP de front-end do Gateway de Aplicativo do Azure como o valor para private-link-sub-resource-type.

Próxima etapa

Serviço de Link Privado com conta de armazenamento

  • Last updated on