Conecte o Azure Front Door Premium a um site estático de armazenamento com o Private Link
Este artigo orienta você pela camada Premium do Azure Front Door para se conectar ao seu site estático de armazenamento de forma privada usando o serviço Azure Private Link.
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa. Você pode criar uma conta gratuitamente.
- Crie um serviço de Link Privado para o seu servidor Web de origem.
- O site estático de armazenamento está ativado na sua conta de armazenamento. Saiba como ativar o site estático.
Ativar link privado para um site estático de armazenamento
Nesta seção, você mapeia o serviço de Link Privado para um ponto de extremidade privado criado na rede privada do Azure Front Door.
Inicie sessão no portal do Azure.
No seu perfil do Azure Front Door Premium, em Configurações, selecione Grupos de origem.
Selecione o grupo de origem que contém a origem estática do site de armazenamento para a qual você deseja habilitar o Private Link.
Selecione + Adicionar uma origem para adicionar uma nova origem de site estático de armazenamento ou selecione uma origem de site estático de armazenamento criado anteriormente na lista.
A tabela a seguir tem as informações de quais valores selecionar nos respetivos campos enquanto habilita o link privado com o Azure Front Door. Selecione ou insira as seguintes configurações para configurar o site estático de armazenamento com o qual você deseja que o Azure Front Door Premium se conecte de forma privada.
Definição Valor Nome Insira um nome para identificar a origem estática desse site de armazenamento. Tipo de origem Armazenamento (site estático) Nome do anfitrião Selecione o host na lista suspensa que você deseja como origem. Cabeçalho de anfitrião de origem Você pode personalizar o cabeçalho do host da origem ou deixá-lo como padrão. Porta HTTP 80 (predefinição) Porta HTTPS 443 (padrão) Prioridade Origens diferentes podem ter prioridades diferentes para fornecer origens primárias, secundárias e de backup. Espessura 1000 (padrão). Atribua pesos à sua origem diferente quando quiser distribuir tráfego. País/Região Selecione a região que é a mesma ou mais próxima da sua origem. Subrecurso de destino O tipo de subrecurso para o recurso selecionado anteriormente que seu ponto de extremidade privado pode acessar. Você pode selecionar web ou web_secondary. Solicitar mensagem Mensagem personalizada para ver ao aprovar o ponto de extremidade privado. Em seguida, selecione Adicionar para salvar sua configuração. Em seguida, selecione Atualizar para salvar as alterações.
Aprovar conexão de ponto final privado da conta de armazenamento
Aceda à conta de armazenamento que pretende ligar ao Azure Front Door Premium de forma privada. Selecione Rede em Configurações.
Em Rede, selecione Conexões de ponto de extremidade privado.
Selecione a solicitação de ponto de extremidade privado pendente do Azure Front Door Premium e selecione Aprovar.
Depois de aprovado, você pode ver que o status da conexão do ponto de extremidade privado é Aprovado.
Criar conexão de ponto de extremidade privado para web_secondary
Ao criar uma conexão de ponto de extremidade privado com o subrecurso secundário do site estático de armazenamento, você precisa adicionar um sufixo -secondary ao cabeçalho do host de origem. Por exemplo, se o cabeçalho do host de origem estiver contoso.z13.web.core.windows.net, você precisará alterá-lo para contoso-secondary.z13.web.core.windows.net.
Depois que a origem for adicionada e a conexão de ponto final privado for aprovada, você poderá testar sua conexão de link privado com seu site estático de armazenamento.
Este artigo irá guiá-lo através de como configurar a camada Premium do Azure Front Door para se conectar à sua Conta de Armazenamento de forma privada usando o serviço Azure Private Link com a CLI do Azure.
Pré-requisitos - CLI
Pré-requisitos
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
- Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
- Tenha um perfil do Azure Front Door Premium em funcionamento, um ponto de extremidade e um grupo de origem. Para obter mais informações sobre como criar um perfil do Azure Front Door, consulte Criar uma porta frontal - CLI.
Habilitar link privado para um site estático de armazenamento no Azure Front Door Premium
- Execute az afd origin create para criar uma nova origem do Azure Front Door. Insira as configurações a seguir para configurar o site estático de armazenamento com o qual você deseja que o Azure Front Door Premium se conecte de forma privada. Observe que o
private-link-locationdeve estar em uma das regiões disponíveis e oprivate-link-sub-resource-typedeve ser web.
az afd origin create --enabled-state Enabled \
--resource-group testRG \
--origin-group-name default-origin-group \
--origin-name pvtStaticSite \
--profile-name testAFD \
--host-name example.z13.web.core.windows.net\
--origin-host-header example.z13.web.core.windows.net\
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location EastUS \
--private-link-request-message 'AFD Storage static website origin Private Link request.' \
--private-link-resource /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl \
--private-link-sub-resource-type web
Aprovar conexão de ponto final privado da conta de armazenamento
- Execute az network private-endpoint-connection list para listar as conexões de ponto de extremidade privado para sua conta de armazenamento. Anote o 'ID do recurso' da conexão de ponto final privado disponível em sua conta de armazenamento, na primeira linha de sua saída.
az network private-endpoint-connection list -g testRG -n testingafdpl --type Microsoft.Storage/storageAccounts
- Execute az network private-endpoint-connection approve para aprovar a conexão de ponto de extremidade privado.
az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl/privateEndpointConnections/testingafdpl.00000000-0000-0000-0000-000000000000
Criar conexão de ponto de extremidade privado para Web_Secondary
Ao criar uma conexão de ponto de extremidade privado com o subrecurso secundário do site estático de armazenamento, você precisa adicionar um sufixo -secundário ao cabeçalho do host de origem. Por exemplo, se o cabeçalho do host de origem for example.z13.web.core.windows.net, você precisará alterá-lo para example-secondary.z13.web.core.windows.net.
Depois que a origem for adicionada e a conexão de ponto final privado for aprovada, você poderá testar sua conexão de link privado com seu site estático de armazenamento.
Próximos passos
Saiba mais sobre o serviço Private Link com conta de armazenamento.