Connettere Frontdoor di Azure Premium a un Gateway applicazione di Azure con Collegamento privato (anteprima)

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

• Azure PowerShell installato in locale o Azure Cloud Shell.

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione	Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure.

Per usare Azure Cloud Shell:

1. Avviare Cloud Shell.

2. Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.

3. Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.

4. Premere Invio per eseguire il codice o il comando.

• Avere un profilo Frontdoor di Azure Premium funzionante e un endpoint. Per altre informazioni su come creare un profilo Frontdoor di Azure, vedere Creare un servizio Frontdoor - PowerShell.

• Avere un Gateway applicazione di Azure funzionante. Per altre informazioni su come creare un Gateway applicazione, vedere Indirizzare il traffico Web con un gateway applicazione di Azure usando Azure PowerShell

Abilitare la connettività privata al Gateway applicazione di Azure

Seguire le istruzioni in Configurare il collegamento privato del gateway applicazione di Azure, ma non completare il passaggio finale della creazione di un endpoint privato.

Creare un gruppo di origine e aggiungere il gateway applicazione come origine

1. Usare New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject per creare un oggetto in memoria per archiviare le impostazioni del probe di integrità.

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. Usare New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject per creare un oggetto in memoria per l'archiviazione delle impostazioni di bilanciamento del carico.

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. Eseguire New-AzFrontDoorCdnOriginGroup per creare un gruppo di origine contenente il gateway applicazione.

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. Ottenere il nome di configurazione IP front-end del gateway applicazione con il comando Get-AzApplicationGatewayFrontendIPConfig.

   $AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup
   $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig  -ApplicationGateway $AppGw
   $FrontEndIPs.name
   

5. Usare il comando New-AzFrontDoorCdnOrigin per aggiungere il gateway applicazione al gruppo di origine.

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAppGatewayOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName 10.0.0.4 ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader 10.0.0.4 ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` 
       -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

   Nota

   SharedPrivateLinkResourceGroupId è il nome della configurazione IP front-end del Gateway applicazione di Azure.

Approvare l'endpoint privato

1. Eseguire Get-AzPrivateEndpointConnection per recuperare il nome della connessione dell'endpoint privato che richiede l'approvazione.

   Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

2. Eseguire Approve-AzPrivateEndpointConnection per approvare i dettagli della connessione dell'endpoint privato. Usare il valore Nome dell'output del passaggio precedente per approvare la connessione.

   Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
   

Completare la configurazione di Frontdoor di Azure

Usare il comando New-AzFrontDoorCdnRoute per creare una route che esegue il mapping dell'endpoint al gruppo di origine. Questa route inoltra le richieste dall'endpoint al gruppo di origine.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Il profilo Frontdoor di Azure è ora completamente funzionante dopo aver completato il passaggio finale.

Prerequisiti

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

• Un profilo e un endpoint di Frontdoor di Azure Premium funzionanti. Vedere Creare un servizio Frontdoor - Interfaccia della riga di comando.

• Un Gateway applicazione di Azure funzionante. Vedere Indirizzare il traffico Web con il Gateway applicazione di Azure - Interfaccia della riga di comando di Azure.

Abilitare la connettività privata al Gateway applicazione di Azure

Seguire i passaggi descritti in Configurare il collegamento privato del Gateway applicazione di Azure, ignorando l'ultimo passaggio della creazione di un endpoint privato.

Creare un gruppo di origine e aggiungere il gateway applicazione come origine

1. Eseguire az afd origin-group create per creare un gruppo di origine.

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. Eseguire az network application-gaeay frontend-ip list per ottenere il nome di configurazione IP front-end del gateway applicazione.

   az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroup
   

3. Eseguire az afd origin create per aggiungere un gateway applicazione come origine al gruppo di origine.

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAppGatewayOrigin \
       --profile-name myFrontDoorProfile \
       --host-name 10.0.0.4 \
       --origin-host-header 10.0.0.4 \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \
       --private-link-sub-resource-type myAppGatewayFrontendIPName
   

   Nota

   private-link-sub-resource-type è il nome della configurazione IP front-end del Gateway applicazione di Azure.

Approvare la connessione dell'endpoint privato

1. Eseguire az network private-endpoint-connection list per ottenere l'ID della connessione dell'endpoint privato che richiede l'approvazione.

   az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgateways
   

2. Eseguire az network private-endpoint-connection approve per approvare la connessione dell'endpoint privato usando l'ID del passaggio precedente.

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
   

Completare la configurazione di Frontdoor di Azure

Eseguire az afd route create per creare una route che esegue il mapping dell'endpoint al gruppo di origine. Questa route inoltra le richieste dall'endpoint al gruppo di origine.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

Il profilo Frontdoor di Azure è ora completamente funzionante dopo aver completato il passaggio finale.

3. Specificare un nome di configurazione IP front-end del Gateway applicazione di Azure non corretto come valore per SharedPrivateLinkResourceGroupId.

3. Specificare un nome di configurazione IP front-end del Gateway applicazione di Azure non corretto come valore per private-link-sub-resource-type.