Conectar o Azure Front Door Premium a um Gateway de Aplicativo do Azure com o Private Link

Aplica-se a: ✔️ Front Door Premium

Este artigo orienta você pelas etapas para configurar um Azure Front Door Premium para se conectar de forma privada ao seu Gateway de Aplicativo do Azure usando o Azure Private Link.

Pré-requisitos

  • Um perfil do Azure Front Door Premium com um grupo de origem. Para obter mais informações, consulte Criar uma porta frontal do Azure.

  • Um Gateway de Aplicativo do Azure. Para obter mais informações sobre como criar um Gateway de Aplicativo, consulte Direcionar o tráfego da Web com o Gateway de Aplicativo do Azure usando a CLI do Azure.

  • Azure Cloud Shell ou CLI do Azure.

    As etapas neste artigo executam os comandos da CLI do Azure interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.

    Você também pode instalar a CLI do Azure localmente para executar os comandos. Se você executar a CLI do Azure localmente, entre no Azure usando o comando az login .

Nota

Ao configurar via portal Azure, a região escolhida na configuração de origem do Azure Front Door deve ser a mesma região onde o Application Gateway está localizado. Se quiseres que a região de origem do Azure Front Door e a região do Application Gateway sejam diferentes, usa CLI ou PowerShell. Pode precisar de usar diferentes regiões nos casos em que o Application Gateway está localizado numa região onde o Azure Front Door não suporta Private Link.

Habilitar a conectividade privada com o Gateway de Aplicativo do Azure

  1. Siga as instruções em Configurar Link Privado do Gateway de Aplicativo do Azure, mas não conclua a etapa final da criação de um ponto de extremidade privado.

  2. Vá ao separador de Visão Geral do seu Application Gateway e anote o nome do grupo de recursos, o nome do Gateway de Aplicações e o ID da subscrição.

  3. Em Configurações, selecione Link privado. Note o nome do serviço de ligação privada que aparece na coluna Nome nas configurações de ligação privada.

  4. Construa a ID do recurso do serviço de link privado usando os valores das etapas anteriores. O formato é /subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/privateLinkServices/_e41f87a2_{applicationGatewayName}_{privateLinkResource.Name}. Use este ID de recurso ao configurar a origem da Porta Principal.

Criar um grupo de origem e adicionar o gateway de aplicativo como origem

  1. No seu perfil do Azure Front Door Premium, aceda a Definições e selecione Grupos de origem.

  2. Selecione Adicionar.

  3. Insira um nome para o grupo de origem.

  4. Selecionar + Adicionar uma origem.

  5. Use a tabela a seguir para definir as configurações para a origem:

    Configuração Valor
    Nome Insira um nome para identificar essa origem.
    Tipo de origem Personalizado
    Nome do anfitrião Digite o nome do host do ouvinte do seu Application Gateway
    Cabeçalho de host de origem Digite o nome do host do ouvinte do seu Application Gateway
    Porta HTTP 80 (predefinição)
    Porta HTTPS 443 (padrão)
    Prioridade Atribua prioridades diferentes às origens para fins primários, secundários e de backup.
    Peso 1000 (padrão). Use pesos para distribuir o tráfego entre diferentes origens.
    Link privado Ativar serviço de link privado
    Selecione um link privado Por ID ou alias
    identificador/alias Insira o ID do recurso do serviço de link privado obtido durante a configuração do Application Gateway.
    Região Selecione a região onde o Application Gateway está localizado.
    Solicitar mensagem Insira uma mensagem personalizada para exibir durante a aprovação do Endpoint Privado.

    Captura de tela das configurações de origem para configurar o Application Gateway como uma origem privada.

  6. Selecione Adicionar para guardar as definições de origem.

  7. Selecione Adicionar para salvar as configurações do grupo de origem.

Aprovar o ponto de extremidade privado

  1. Vai ao Application Gateway que configuraste com o Private Link na secção anterior. Em Configurações, selecione Link privado.

  2. Selecione o separador Conexões de ponto de extremidade privado.

  3. Encontre a solicitação pendente de endereço de endpoint privado do Azure Front Door Premium e selecione Aprovar.

  4. Após a aprovação, o estado da ligação atualiza-se. Pode levar alguns minutos para que a conexão se estabeleça completamente. Uma vez estabelecido, você pode acessar seu Application Gateway através da Front Door. O acesso direto ao Application Gateway a partir da Internet pública é desativado assim que o ponto de extremidade privado é habilitado. Captura de ecrã do separador conexões de ponto de extremidade privado no portal do Application Gateway.

Habilitar a conectividade privada com o Gateway de Aplicativo do Azure

Siga as instruções em Configurar Link Privado do Gateway de Aplicativo do Azure, mas não conclua a etapa final da criação de um ponto de extremidade privado.

Criar um grupo de origem e adicionar o gateway de aplicativo como origem

  1. Utilize New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject para criar um objeto na memória para armazenar as definições da sonda de saúde.

    $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
    -ProbeIntervalInSecond 60 `
    -ProbePath "/" `
    -ProbeRequestType GET `
    -ProbeProtocol Http

  2. Use New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject para criar um objeto na memória para armazenar configurações de balanceamento de carga.

    $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
    -AdditionalLatencyInMillisecond 50 `
    -SampleSize 4 `
    -SuccessfulSamplesRequired 3

  3. Execute New-AzFrontDoorCdnOriginGroup para criar um grupo de origem que contenha seu gateway de aplicativo.

    $origingroup = New-AzFrontDoorCdnOriginGroup `
    -OriginGroupName myOriginGroup `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -HealthProbeSetting $healthProbeSetting `
    -LoadBalancingSetting $loadBalancingSetting

  4. Obtenha o nome de configuração IP frontend do Application Gateway com o comando Get-AzApplicationGatewayFrontendIPConfig .

    $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
$FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
$FrontEndIPs.name

  5. Use o comando New-AzFrontDoorCdnOrigin para adicionar o seu gateway de aplicação ao grupo de origem.

    New-AzFrontDoorCdnOrigin ` 
    -OriginGroupName myOriginGroup ` 
    -OriginName myAppGatewayOrigin ` 
    -ProfileName myFrontDoorProfile ` 
    -ResourceGroupName myResourceGroup ` 
    -HostName www.contoso.com ` 
    -HttpPort 80 ` 
    -HttpsPort 443 ` 
    -OriginHostHeader www.contoso.com ` 
    -Priority 1 ` 
    -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
    -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
    -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
    -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
    -Weight 1000 `

    Nota

    SharedPrivateLinkResourceGroupId é o nome da configuração IP frontend do Gateway de Aplicativo do Azure.

Aprovar o ponto de extremidade privado

  1. Execute Get-AzPrivateEndpointConnection para recuperar o nome da conexão do ponto de extremidade privado que precisa de aprovação.

    Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways

  2. Execute Approve-AzPrivateEndpointConnection para aprovar os detalhes da conexão do ponto de extremidade privado. Use o valor Name da saída na etapa anterior para aprovar a conexão.

    Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways

Configuração completa do Azure Front Door

Use o comando New-AzFrontDoorCdnRoute para criar uma rota que mapeie seu ponto de extremidade para o grupo de origem. Esta rota encaminha solicitações do ponto de extremidade para o seu grupo de origem.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

O seu perfil Azure Front Door está totalmente funcional depois de completar esta etapa final.

Habilitar a conectividade privada com o Gateway de Aplicativo do Azure

Siga as etapas em Configurar Ligação Privada do Gateway de Aplicativo do Azure, ignorando a última etapa de criação de um endpoint privado.

Criar um grupo de origem e adicionar o gateway de aplicativo como origem

  1. Execute az afd origin-group create para criar um grupo de origem.

    az afd origin-group create \
    --resource-group myResourceGroup \
    --origin-group-name myOriginGroup \
    --profile-name myFrontDoorProfile \
    --probe-request-type GET \
    --probe-protocol Http \
    --probe-interval-in-seconds 60 \
    --probe-path / \
    --sample-size 4 \
    --successful-samples-required 3 \
    --additional-latency-in-milliseconds 50

  2. Execute az network application-gateway frontend-ip list para obter o nome de configuração IP frontend do Application Gateway.

    az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup

  3. Execute az afd origin create para adicionar um gateway de aplicativo como uma origem ao grupo de origem.

    az afd origin create \
    --enabled-state Enabled \
    --resource-group myResourceGroup \
    --origin-group-name myOriginGroup \
    --origin-name myAppGatewayOrigin \
    --profile-name myFrontDoorProfile \
    --host-name www.contoso.com \
    --origin-host-header www.contoso.com \
    --http-port 80  \
    --https-port 443 \
    --priority 1 \
    --weight 500 \
    --enable-private-link true \
    --private-link-location centralus \
    --private-link-request-message 'Azure Front Door private connectivity request.' \
    --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
    --private-link-sub-resource-type myAppGatewayFrontendIPName

    Nota

    private-link-sub-resource-type é o nome da configuração de IP de frontend do Gateway de Aplicação do Azure.

Aprovar a conexão do endpoint privado

  1. Execute az network private-endpoint-connection list para obter a id da conexão de ponto de extremidade privada que precisa de aprovação.

    az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways

  2. Execute az network private-endpoint-connection approve para aprovar a ligação ao endpoint privado usando o id do passo anterior.

    az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc

Configuração completa do Azure Front Door

Execute az afd route create para criar uma rota que mapeie seu ponto de extremidade para o grupo de origem. Esta rota encaminha solicitações do ponto de extremidade para o seu grupo de origem.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

O seu perfil Azure Front Door está totalmente funcional depois de completar esta etapa final.

Erros comuns a evitar

Evite estes erros comuns ao configurar uma origem do Gateway de Aplicação do Azure com o Azure Private Link ativado:

  1. Configurar a origem do Azure Front Door antes de configurar o Azure Private Link no Gateway de Aplicação do Azure.
  2. Adicionar a origem do Gateway de Aplicações do Azure com o Azure Private Link a um grupo de origem existente que contém origens públicas. O Azure Front Door não permite misturar origens públicas e privadas no mesmo grupo de origem.
  3. Ultrapassar os 70 caracteres no comprimento combinado do nome do Gateway de Aplicação e do nome de configuração do Private Link, o que causa falhas de implementação.
  4. Não associar o IP do frontend do Application Gateway a um ouvinte.
  1. Configurando a origem com o tipo de origem como 'Application Gateway' em vez de 'Custom'. Quando você escolhe o tipo de origem como 'Application Gateway', o nome do host de origem é preenchido automaticamente com o endereço IP do Application Gateway. Este endereço IP preenchido automaticamente pode causar um CertificateNameValidation erro. Para evitar este erro para origens públicas, desative a validação do nome do sujeito do certificado. Para origens habilitadas para ligação privada, a validação do nome do assunto do certificado é obrigatória.
  1. Fornecer um nome incorreto de configuração IP de front-end do Gateway de Aplicativo do Azure como o valor para SharedPrivateLinkResourceGroupId.
  1. Fornecer um nome incorreto de configuração IP de front-end do Gateway de Aplicativo do Azure como o valor para private-link-sub-resource-type.

Próximo passo

Serviço de ligação privada com conta de armazenamento

  • Last updated on