適用於: ✔️ Front Door 進階版
本文會引導您設定 Azure Front Door Premium,以使用 Azure Private Link 私下連線到 App Service(Web 應用程式或函式應用程式)。
先決條件
- 具有有效訂閱的 Azure 帳戶。 免費建立帳戶。
具有來源群組的 Azure Front Door Premium 設定檔。 如需詳細資訊,請參閱建立 Azure Front Door。
Private Link。 如需詳細資訊,請參閱建立 Private Link 服務。
使用您的 Azure 帳戶登入 Azure 入口網站 。
具有來源群組的 Azure Front Door Premium 設定檔。 如需詳細資訊,請參閱建立 Azure Front Door。
Private Link。 如需詳細資訊,請參閱建立 Private Link 服務。
Azure Cloud Shell 或 Azure CLI。
本文中的步驟會在 Azure Cloud Shell 中以互動方式執行 Azure CLI 命令。 若要在 Cloud Shell 中執行命令,請選取程式碼區塊右上角的 [開啟 Cloud Shell]。 選取 [複製] 以複製程式碼,並將它貼到 Cloud Shell 中以執行。 您也可以從 Azure 入口網站內執行 Cloud Shell。
您也可以在本機安裝 Azure CLI 以執行命令。 如果您在本機執行 Azure CLI,請使用 az login 命令登入 Azure。
附註
私人端點要求您的 App Service 方案符合特定需求。 如需詳細資訊,請參閱針對 Azure Web 應用程式使用私人端點。 App Service 位置不支援此功能。
在 Azure Front Door 進階版中啟用 App Service (Web 應用程式或函數應用程式) 的 Private Link
在此節中,您會將 Private Link 服務對應至在 Azure Front Door 的私人網路中的私人端點。
在您的 Azure Front Door Premium 設定檔中,移至 [設定] 並選取 [來源群組]。
選擇應該包含您想要啟用 Private Link 的 App Service (Web 應用程式或函式應用程式) 來源的來源群組。
選取 [+ 新增來源 ] 以新增來源,或從清單中選取現有的來源。 使用下表來設定來源的設定:
設定 值 名稱 輸入名稱以識別此來源。 原點類型 應用程式服務 主機名稱 從下拉式清單中選取您想要作為來源的主機。 原始主機標頭 自訂來源的主機標頭,或將其保留為預設值。 HTTP 連接埠 80 (預設值) HTTPS 連接埠 443 (預設值) 優先順序 針對主要、次要和備份目的,將不同的優先順序指派給來源。 重量 1000 (預設)。 使用權數在不同來源之間散發流量。 區域 選取符合或最接近您的來源的區域。 目標子資源 選擇網站作為所選取資源的子資源類型。 要求訊息 輸入自訂訊息,以在核准私人端點時顯示。 
選取 [新增] 以儲存設定,然後選取 [更新] 以儲存來源群組設定。
使用 az afd origin create 命令來建立新的 Azure Front Door 來源。
private-link-location 值必須來自可用區域,且 private-link-sub-resource-type 值是網站。
az afd origin create --enabled-state Enabled \
--resource-group 'myResourceGroup' \
--origin-group-name 'og1' \
--origin-name 'myapporigin' \
--profile-name 'contosoAFD' \
--host-name 'example.contoso.com' \
--origin-host-header 'example.contoso.com' \
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location 'EastUS' \
--private-link-request-message 'AFD app service origin Private Link request.' \
--private-link-resource /'subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Web/sites/webapp1/appServices' \
--private-link-sub-resource-type sites
核准來自 App Service 的 Azure Front Door 進階版私人端點連線
流覽至您在上一節中使用 Private Link 設定的 App Service。 在 [設定] 底下,選取 [網路]。
在 [網路] 區段中,選取 [設定私人端點連線]。
尋找來自 Azure Front Door 進階版的「擱置中」私人端點要求,然後選取 [核准]。
使用 az network private-endpoint-connection list 命令以列出 Web 應用程式的私人端點連線。 記下輸出第一行中私人端點連線的
Resource ID。az network private-endpoint-connection list --name 'webapp1' --resource-group 'myResourceGroup' --type 'Microsoft.Web/sites'使用 az network private-endpoint-connection approve 命令來核准私人端點連線。
az network private-endpoint-connection approve --id '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Web/sites/webapp1/privateEndpointConnections/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'
在核准之後,連線可能需要幾分鐘的時間才能完全建立。 建立之後,您可以透過 Azure Front Door Premium 存取 Web 應用程式或函式應用程式。 一旦啟用私人端點,就會停用從公用因特網直接存取應用程式。
要避免的常見錯誤
設定已啟用 Azure Private Link 的來源時,常見的錯誤如下:
- 將已啟用 Azure Private Link 的來源新增至包含公用來源的現有原始來源群組。 Azure Front Door 不允許在相同的來源群組中混合使用公用來源和私人來源。