Защита источника с помощью Приватного канала в Azure Front Door ценовой категории "Премиум"

  • Статья

Приватный канал Azure обеспечивает доступ к службам PaaS Azure и к службам, размещенным в Azure, через частную конечную точку виртуальной сети. Трафик между вашей виртуальной сетью и службой проходит через магистральную сеть Майкрософт, что позволяет избежать рисков общедоступного Интернета.

Azure Front Door категории "Премиум" может подключаться к источнику с помощью Приватного канала. Источник может размещаться в виртуальной сети или размещаться как служба PaaS, например веб-приложение Azure или служба хранилища Azure. Приватный канал удаляет необходимость общедоступного доступа к источнику.

Схема Azure Front Door с включенным Приватным каналом.

При включении Приватного канала на источнике в Azure Front Door ценовой категории "Премиум" создается частная конечная точка от вашего имени в локальной частной сети управляемой Azure Front Door. Вы получаете запрос частной конечной точки Azure Front Door в источнике, ожидающий утверждения.

Внимание

Прежде чем трафик начнет передаваться в источник в частном порядке, необходимо утвердить подключение к частной конечной точке. Подключения к частным конечным точкам можно утверждать с помощью портала Azure, Azure CLI или Azure PowerShell. Дополнительные сведения см. в статье Управление подключением к частной конечной точке.

После включения источника для Приватный канал и утверждения подключения к частной конечной точке может потребоваться несколько минут для установки подключения. В это время запросы к источнику получают сообщение об ошибке Azure Front Door. Сообщение об ошибке исчезает после установки подключения.

После утверждения запроса частный IP-адрес назначается из виртуальной сети, управляемой Azure Front Door. Трафик между Azure Front Door и источником взаимодействует с использованием установленного частного канала через магистральную сеть Майкрософт. Входящий трафик к источнику теперь защищен при поступлении с Azure Front Door.

Снимок экрана: флажок для включения службы

Сопоставление частной конечной точки с профилем Azure Front Door

Создание частной конечной точки

В одном профиле Azure Front Door, если создаются два или более Приватный канал источников с одинаковым набором Приватный канал, идентификатором ресурса и идентификатором группы, то для всех таких источников создается только одна частная конечная точка. Подключения к серверной части можно включить с помощью этой частной конечной точки. Эта настройка означает, что необходимо утвердить частную конечную точку только один раз, так как создается только одна частная конечная точка. Если вы создаете более Приватный канал включенные источники с помощью того же набора Приватный канал расположения, идентификатора ресурса и идентификатора группы, вам больше не нужно утверждать частные конечные точки.

Отдельная частная конечная точка

Например, одна частная конечная точка создается для всех разных источников в разных группах источников, но в одном профиле Azure Front Door, как показано в следующей таблице:

Схема с одной частной конечной точкой, созданной для источников, созданных в том же профиле Azure Front Door.

Несколько частных конечных точек

Новая частная конечная точка создается в следующем сценарии:

  • Если регион, идентификатор ресурса или идентификатор группы изменяется:

    Схема, показывающая несколько частных конечных точек, созданных из-за изменений в регионе и идентификаторе ресурса для источника.

    Примечание.

    Расположение Приватный канал и имя узла изменились, что привело к созданию дополнительных частных конечных точек и требует утверждения для каждого из них.

  • При изменении профиля Azure Front Door:

    Схема, показывающая несколько частных конечных точек, созданных из-за того, что источник связан с несколькими профилями Azure Front Door.

    Примечание.

    Включение Приватный канал для источников в разных профилях Front Door создаст дополнительные частные конечные точки и требует утверждения для каждого из них.

Удаление частной конечной точки

При удалении профиля Azure Front Door частные конечные точки, связанные с профилем, также удаляются.

Отдельная частная конечная точка

Если AFD-Profile-1 удаляется, то частная конечная точка PE1 во всех источниках также удаляется.

Схема, показывающая, удаляется ли AFD-Profile-1, то PE1 во всех источниках удаляется.

Несколько частных конечных точек

  • Если AFD-Profile-1 удаляется, все частные конечные точки из PE1 до PE4 удаляются.

    Схема, показывающая, удаляется ли AFD-Profile-1, все частные конечные точки из PE1-PE4 удаляются.

  • Удаление профиля Azure Front Door не влияет на частные конечные точки, созданные для другого профиля Front Door.

    Схема, показывающая удаление профиля Azure Front Door, но не влияет на частные конечные точки в других профилях Front Door.

    Например:

    • Если AFD-Profile-2 удаляется, удаляется только PE5.
    • Если AFD-Profile-3 удаляется, удаляется только PE6.
    • Если AFD-Profile-4 удаляется, удаляется только PE7.
    • Если AFD-Profile-5 удаляется, удаляется только PE8.

Доступность по регионам

Приватный канал Azure Front Door доступен в следующих регионах:

Северная и Южная Америка Европа Африка Азиатско-Тихоокеанский регион
Brazil South Центральная Франция Северная часть ЮАР Восточная Австралия
Центральная Канада Центрально-Западная Германия Центральная Индия
Центральная часть США Северная Европа Восточная Япония
Восточная часть США Восточная Норвегия; Республика Корея, центральный регион
Восточная часть США 2 южная часть Соединенного Королевства Восточная Азия
Центрально-южная часть США Западная Европа
Западная часть США — 3 Центральная Швеция
US Gov (Аризона)
US Gov (Техас)

Ограничения

Поддержка прямого подключения к частной конечной точке в настоящее время ограничена:

  • Хранилище BLOB-объектов
  • Веб-приложение
  • Внутренние подсистемы балансировки нагрузки или любые службы, предоставляющие внутренние подсистемы балансировки нагрузки, такие как Служба Azure Kubernetes, приложения контейнеров Azure или Azure Red Hat OpenShift
  • Статический веб-сайт хранилища
  • Шлюз приложений (только предварительная версия). Не используйте в рабочих средах)

Примечание.

  • Эта функция не поддерживается с приложение Azure слотами службы или функциями.
  • Шлюз приложений Azure интеграция в настоящее время не поддерживается с помощью портал Azure.

Функция Приватного канала Azure Front Door не зависит от региона, но для минимальной задержки всегда следует выбирать ближайший к источнику регион Azure при включении конечной точки Приватного канала Azure Front Door.

Следующие шаги