Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: ✔️ Front Door Premium
Den här artikeln vägleder dig genom stegen för att konfigurera en Azure Front Door Premium för att ansluta privat till din Azure Application Gateway med Hjälp av Azure Private Link.
Förutsättningar
- Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
En Azure Front Door Premium-profil och en slutpunkt. Mer information finns i Skapa en Azure Front Door.
En Azure Application Gateway. Mer information om hur du skapar en applikationsgateway finns i Dirigera webbtrafik med Azure Application Gateway genom Azure-portalen
Logga in på Azure-portalen med ditt Azure-konto.
En Azure Front Door Premium-profil och en slutpunkt. Mer information finns i Skapa en Azure Front Door.
En Azure Application Gateway. Mer information om hur du skapar en Application Gateway finns i Direct web traffic with Azure Application Gateway using Azure PowerShell (Direkt webbtrafik med Azure Application Gateway med Azure PowerShell)
Azure Cloud Shell eller Azure PowerShell.
Stegen i den här artikeln kör Azure PowerShell-cmdletarna interaktivt i Azure Cloud Shell. Om du vill köra cmdletarna i Cloud Shell väljer du Öppna Cloud Shell i det övre högra hörnet i ett kodblock. Välj Kopiera för att kopiera koden och klistra sedan in den i Cloud Shell för att köra den. Du kan också köra Cloud Shell inifrån Azure Portal.
Du kan också installera Azure PowerShell lokalt för att köra cmdletarna. Om du kör PowerShell lokalt loggar du in på Azure med hjälp av cmdleten Connect-AzAccount .
En Azure Front Door Premium-profil med en ursprungsgrupp. Mer information finns i Skapa en Azure Front Door.
En Azure Application Gateway. Mer information om hur du skapar en Application Gateway finns i Direct web traffic with Azure Application Gateway using Azure CLI (Direkt webbtrafik med Azure Application Gateway med Azure CLI).
Azure Cloud Shell eller Azure CLI.
Stegen i den här artikeln kör Azure CLI-kommandona interaktivt i Azure Cloud Shell. Om du vill köra kommandona i Cloud Shell väljer du Öppna Cloud Shell i det övre högra hörnet i ett kodblock. Välj Kopiera för att kopiera koden och klistra in den i Cloud Shell för att köra den. Du kan också köra Cloud Shell inifrån Azure Portal.
Du kan också installera Azure CLI lokalt för att köra kommandona. Om du kör Azure CLI lokalt loggar du in på Azure med kommandot az login .
Aktivera privat anslutning till Azure Application Gateway
Följ anvisningarna i Konfigurera Azure Application Gateway Private Link, men slutför inte det sista steget för att skapa en privat slutpunkt.
Gå till fliken Översikt för Application Gateway, anteckna resursgruppens namn, Application Gateway-namn och prenumerations-ID.
Under Inställningar väljer du Privat länk. Anteckna namnet på den privata länktjänsten som visas under kolumnen Namn på fliken Konfigurationer av privata länkar
Konstruera resurs-ID:t för den privata länktjänsten med hjälp av värdena från föregående steg. Formatet är
/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/privateLinkServices/_e41f87a2_{applicationGatewayName}_{privateLinkResource.Name}. Det här resurs-ID:t används när du konfigurerar Front Door-ursprunget.
Skapa en ursprungsgrupp och lägg till programgatewayen som ursprung
I din Azure Front Door Premium-profil går du till Inställningar och väljer Ursprungsgrupper.
Välj på Lägg till
Ange ett namn för ursprungsgruppen
Välj + Lägg till ett ursprung
Använd följande tabell för att konfigurera inställningarna för ursprunget:
Inställning Värde Namn Ange ett namn för att identifiera det här ursprunget. Ursprungstyp Skräddarsydd Värdnamn Ange värdnamnet för lyssnaren för din Application Gateway Värdadress för ursprung Ange värdnamnet för lyssnaren för din Application Gateway HTTP-port 80 (standardvärde) HTTPS-port 443 (förvald) Prioritet Tilldela olika prioriteringar till ursprung för primära, sekundära och säkerhetskopieringsändamål. Vikt 1 000 (standard). Använd vikter för att distribuera trafik mellan olika ursprung. Privat länk Aktivera privat länktjänst Välj en privat länk Efter ID eller alias ID/alias Ange resurs-ID:t för private link-tjänsten som hämtades när Application Gateway konfigurerades. Region Välj den region som matchar eller som är närmast ditt ursprung. Begärandemeddelande Ange ett anpassat meddelande som ska visas när du godkänner den privata slutpunkten. 
Välj Lägg till för att spara dina ursprungsinställningar
Välj Lägg till för att spara inställningarna för ursprungsgruppen.
Godkänn den privata slutpunkten
Gå till den Application Gateway som du konfigurerade med Private Link i föregående avsnitt. Under Inställningar väljer du Privat länk.
Välj fliken Privata slutpunktsanslutningar .
Hitta den väntande privata anslutningsbegäran från Azure Front Door Premium och välj Godkänn.
Efter godkännandet uppdateras anslutningsstatusen. Det kan ta några minuter innan anslutningen upprättas helt. När den är etablerad kan du komma åt din Application Gateway via Front Door. Direktåtkomst till Application Gateway från det offentliga Internet inaktiveras när den privata slutpunkten har aktiverats.
Aktivera privat anslutning till Azure Application Gateway
Följ anvisningarna i Konfigurera Azure Application Gateway Private Link, men slutför inte det sista steget för att skapa en privat slutpunkt.
Skapa en ursprungsgrupp och lägg till programgatewayen som ursprung
Använd New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject för att skapa ett minnesinternt objekt för att lagra inställningarna för hälsokontroll.
$healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject ` -ProbeIntervalInSecond 60 ` -ProbePath "/" ` -ProbeRequestType GET ` -ProbeProtocol HttpAnvänd New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject för att skapa ett minnesinternt objekt för lagring av belastningsutjämningsinställningar.
$loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject ` -AdditionalLatencyInMillisecond 50 ` -SampleSize 4 ` -SuccessfulSamplesRequired 3Kör New-AzFrontDoorCdnOriginGroup för att skapa en ursprungsgrupp som innehåller din programgateway.
$origingroup = New-AzFrontDoorCdnOriginGroup ` -OriginGroupName myOriginGroup ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HealthProbeSetting $healthProbeSetting ` -LoadBalancingSetting $loadBalancingSettingHämta klientdelens IP-konfigurationsnamn för Application Gateway med kommandot Get-AzApplicationGatewayFrontendIPConfig .
$AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $AppGw $FrontEndIPs.nameAnvänd kommandot New-AzFrontDoorCdnOrigin för att lägga till programgatewayen i ursprungsgruppen.
New-AzFrontDoorCdnOrigin ` -OriginGroupName myOriginGroup ` -OriginName myAppGatewayOrigin ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HostName www.contoso.com ` -HttpPort 80 ` -HttpsPort 443 ` -OriginHostHeader www.contoso.com ` -Priority 1 ` -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` -Weight 1000 `Kommentar
SharedPrivateLinkResourceGroupIdär namnet på IP-konfigurationen för Azure Application Gateway-klientdelen.
Godkänn den privata slutpunkten
Kör Get-AzPrivateEndpointConnection för att hämta anslutningsnamnet för den privata slutpunktsanslutning som behöver godkännas.
Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgatewaysKör Approve-AzPrivateEndpointConnection för att godkänna information om den privata slutpunktens anslutning. Använd värdet Namn från utdata i föregående steg för att godkänna anslutningen.
Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
Slutför konfigurationen av Azure Front Door
Använd kommandot New-AzFrontDoorCdnRoute för att skapa en väg som mappar slutpunkten till ursprungsgruppen. Den här vägen vidarebefordrar begäranden från slutpunkten till ursprungsgruppen.
# Create a route to map the endpoint to the origin group
$Route = New-AzFrontDoorCdnRoute `
-EndpointName myFrontDoorEndpoint `
-Name myRoute `
-ProfileName myFrontDoorProfile `
-ResourceGroupName myResourceGroup `
-ForwardingProtocol MatchRequest `
-HttpsRedirect Enabled `
-LinkToDefaultDomain Enabled `
-OriginGroupId $origingroup.Id `
-SupportedProtocol Http,Https
Din Azure Front Door-profil är nu fullt fungerande när du har slutfört det sista steget.
Aktivera privat anslutning till Azure Application Gateway
Följ stegen i Konfigurera Azure Application Gateway Private Link och hoppa över det sista steget för att skapa en privat slutpunkt.
Skapa en ursprungsgrupp och lägg till programgatewayen som ursprung
Kör az afd origin-group create för att skapa en ursprungsgrupp.
az afd origin-group create \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --profile-name myFrontDoorProfile \ --probe-request-type GET \ --probe-protocol Http \ --probe-interval-in-seconds 60 \ --probe-path / \ --sample-size 4 \ --successful-samples-required 3 \ --additional-latency-in-milliseconds 50Kör az network application-gateway frontend-ip list för att hämta klientdelens IP-konfigurationsnamn för Application Gateway.
az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroupKör az afd origin create för att lägga till en programgateway som ursprung i ursprungsgruppen.
az afd origin create \ --enabled-state Enabled \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --origin-name myAppGatewayOrigin \ --profile-name myFrontDoorProfile \ --host-name www.contoso.com \ --origin-host-header www.contoso.com \ --http-port 80 \ --https-port 443 \ --priority 1 \ --weight 500 \ --enable-private-link true \ --private-link-location centralus \ --private-link-request-message 'Azure Front Door private connectivity request.' \ --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \ --private-link-sub-resource-type myAppGatewayFrontendIPNameKommentar
private-link-sub-resource-typeär ip-konfigurationsnamnet för Azure Application Gateway-klientdelen.
Godkänna den privata slutpunktsanslutningen
Kör az network private-endpoint-connection list för att hämta ID :t för den privata slutpunktsanslutning som behöver godkännande.
az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgatewaysKör az network private-endpoint-connection approve för att godkänna den privata slutpunktsanslutningen med hjälp av ID:t från föregående steg.
az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
Slutför konfigurationen av Azure Front Door
Kör az afd route create för att skapa en väg som mappar slutpunkten till ursprungsgruppen. Den här vägen vidarebefordrar begäranden från slutpunkten till ursprungsgruppen.
az afd route create \
--resource-group myResourceGroup \
--profile-name myFrontDoorProfile \
--endpoint-name myFrontDoorEndpoint \
--forwarding-protocol MatchRequest \
--route-name myRoute \
--https-redirect Enabled \
--origin-group myOriginGroup \
--supported-protocols Http Https \
--link-to-default-domain Enabled
Din Azure Front Door-profil är nu fullt fungerande när du har slutfört det sista steget.
Vanliga misstag att undvika
Följande är vanliga misstag när du konfigurerar ett Azure Application Gateway-ursprung med Azure Private Link aktiverat:
Konfigurera Azure Front Door-ursprung innan du konfigurerar Azure Private Link på Azure Application Gateway.
Konfigurera ursprunget med ursprungstypen som "Application Gateway" i stället för "Anpassad". När du väljer ursprungstypen som "Application Gateway" fylls ursprungsvärdnamnet automatiskt i med IP-adressen för Application Gateway. Detta kan leda till felet ”CertificateNameValidation”. Det här problemet kan undvikas i offentliga källor genom att stänga av validering av certifikatämnesnamn. Men för ursprung med privata länkar aktiverade är verifiering av certifikatets ämnesnamn obligatorisk.
Lägga till Azure Application Gateway-ursprunget med Azure Private Link i en befintlig ursprungsgrupp som innehåller offentligt ursprung. Azure Front Door tillåter inte att offentliga och privata ursprung blandas i samma ursprungsgrupp.
- Ange ett felaktigt IP-konfigurationsnamn för Azure Application Gateway som värde för
SharedPrivateLinkResourceGroupId.
- Ange ett felaktigt IP-konfigurationsnamn för Azure Application Gateway som värde för
private-link-sub-resource-type.
- Den kombinerade längden på Application Gateway-namnet och Private Link-konfigurationsnamnet får inte överstiga 70 tecken för att undvika distributionsfel.