Connecter Azure Front Door Premium à une Azure Application Gateway à l’aide de Private Link (préversion)

Prérequis

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.

• Azure PowerShell installé localement ou Azure Cloud Shell.

Azure Cloud Shell

Azure héberge Azure Cloud Shell, un environnement d’interpréteur de commandes interactif que vous pouvez utiliser dans votre navigateur. Vous pouvez utiliser Bash ou PowerShell avec Cloud Shell pour utiliser les services Azure. Vous pouvez utiliser les commandes préinstallées Cloud Shell pour exécuter le code de cet article sans avoir à installer quoi que ce soit dans votre environnement local.

Pour démarrer Azure Cloud Shell :

Option	Exemple/Lien
Sélectionnez Essayer dans le coin supérieur droite d’un bloc de codes ou de commandes. La sélection de Essayer ne copie pas automatiquement le code ni la commande dans Cloud Shell.
Accédez à https://shell.azure.com ou sélectionnez le bouton Lancer Cloud Shell pour ouvrir Cloud Shell dans votre navigateur.
Sélectionnez le bouton Cloud Shell dans la barre de menus en haut à droite du portail Azure.

Pour utiliser Azure Cloud Shell :

1. Démarrez Cloud Shell.

2. Sélectionnez le bouton Copier sur un bloc de codes (ou un bloc de commandes) pour copier le code ou la commande.

3. Collez le code ou la commande dans la session Cloud Shell en sélectionnant Ctrl+Maj+V sur Windows et Linux ou en sélectionnant Cmd+Maj+V sur macOS.

4. Sélectionnez Entrée pour exécuter le code ou la commande.

• Disposer d’un profil Azure Front Door Premium et d’un point de terminaison fonctionnels. Pour plus d’informations sur la création d’un profil Azure Front Door, consultez Créer une instance Front Door – PowerShell.

• Disposer d’une passerelle Azure Application Gateway fonctionnelle. Pour plus d’informations sur la création d’une Application Gateway, consultez Trafic web direct avec Azure Application Gateway à l’aide d’Azure PowerShell

Activer la connectivité privée vers Azure Application Gateway

Suivez les instructions fournies dans Configurer Azure Application Gateway Private Link, mais n’effectuez pas la dernière étape consistant à créer un point de terminaison privé.

Créer un groupe d’origines et ajouter la passerelle applicative en tant qu’origine

1. Utilisez la commande New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject pour créer un objet en mémoire pour stocker les paramètres de la sonde d’intégrité.

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. Utilisez la commande New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject pour créer un objet en mémoire pour stocker les paramètres d’équilibrage de charge.

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. Exécutez la commande New-AzFrontDoorCdnOriginGroup pour créer un groupe d’origines qui contient votre passerelle applicative.

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. Obtenez le nom de configuration IP front-end de l’Application Gateway à l’aide de la commande Get-AzApplicationGatewayFrontendIPConfig.

   $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
   $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
   $FrontEndIPs.name
   

5. Utilisez la commande New-AzFrontDoorCdnOrigin pour ajouter votre passerelle applicative au groupe d’origines.

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAppGatewayOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName 10.0.0.4 ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader 10.0.0.4 ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
       -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

   Remarque

   SharedPrivateLinkResourceGroupId est le nom de la configuration IP frontale d’Azure Application Gateway.

Approuver le point de terminaison privé

1. Exécutez la commande Get-AzPrivateEndpointConnection pour récupérer le nom de connexion de la connexion du point de terminaison privé qui doit être approuvée.

   Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

2. Exécutez Approve-AzPrivateEndpointConnection pour approuver les détails de connexion du point de terminaison privé. Utilisez la valeur Nom de la sortie de l’étape précédente pour approuver la connexion.

   Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

Terminer la configuration d’Azure Front Door

Utilisez la commande New-AzFrontDoorCdnRoute pour créer un itinéraire qui mappe votre point de terminaison au groupe d’origines. Cet itinéraire transfère les requêtes du point de terminaison au groupe d’origin.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Votre profil Azure Front Door est désormais entièrement fonctionnel après avoir terminé la dernière étape.

Prérequis

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.

• Profil et point de terminaison Azure Front Door Premium fonctionnels. Consultez Créer une instance Front Door – CLI.

• Une Azure Application Gateway fonctionnelle. Consultez Diriger le trafic web avec Azure Application Gateway – Azure CLI.

Activer la connectivité privée vers Azure Application Gateway

Suivez les étapes décrites dans Configurer Azure Application Gateway Private Link, en ignorant la dernière étape de la création d’un point de terminaison privé.

Créer un groupe d’origines et ajouter la passerelle applicative en tant qu’origine

1. Exécutez la commande az afd origin-group create pour créer un groupe d’origines.

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. Exécutez la commande az network application-gaeay frontend-ip list pour obtenir le nom de configuration IP frontend de l’Application Gateway.

   az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
   

3. Exécutez la commande az afd origin create pour ajouter une passerelle applicative en tant qu’origine au groupe d’origines.

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAppGatewayOrigin \
       --profile-name myFrontDoorProfile \
       --host-name 10.0.0.4 \
       --origin-host-header 10.0.0.4 \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
       --private-link-sub-resource-type myAppGatewayFrontendIPName
   

   Remarque

   private-link-sub-resource-type est le nom de configuration IP frontend d’Azure Application Gateway.

Approuver la connexion Private Endpoint

1. Exécutez la commande az network private-endpoint-connection list pour obtenir l’ID de la connexion du point de terminaison privé qui doit être approuvée.

   az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
   

2. Exécutez la commande az network private-endpoint-connection approve pour approuver la connexion du point de terminaison privé à l’aide de l’ID de l’étape précédente.

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
   

Terminer la configuration d’Azure Front Door

Exécutez la commande az afd route create pour créer un itinéraire qui mappe votre point de terminaison au groupe d’origine. Cet itinéraire transfère les requêtes du point de terminaison au groupe d’origin.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Votre profil Azure Front Door est désormais entièrement fonctionnel après avoir terminé la dernière étape.

3. Nom de configuration IP frontend Azure Application Gateway fourni incorrect comme valeur pour SharedPrivateLinkResourceGroupId.

3. Nom de configuration IP frontend Azure Application Gateway fourni incorrect comme valeur pour private-link-sub-resource-type.