Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✔️ Front Door Premium
Este artigo mostra como configurar a camada do Azure Front Door Premium para se conectar ao site estático de armazenamento de forma privada usando o serviço de Link Privado do Azure.
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Você pode criar uma conta gratuitamente.
Perfil Azure Front Door Premium com grupo de origem. Para obter mais informações, consulte Criar um Azure Front Door.
Um link privado. Para obter mais informações, consulte Criar um serviço de Link Privado.
O site estático de armazenamento está habilitado na sua conta de armazenamento. Saiba como habilitar o site estático.
Entre no portal do Azure com sua conta do Azure.
Perfil Azure Front Door Premium com grupo de origem. Para obter mais informações, consulte Criar um Azure Front Door.
Um link privado. Para obter mais informações, consulte Criar um serviço de Link Privado.
O site estático de armazenamento está habilitado na sua conta de armazenamento. Saiba como habilitar o site estático.
Azure Cloud Shell ou CLI do Azure.
As etapas neste artigo executam os comandos da CLI do Azure interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Abrir Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell no portal do Azure.
Você também pode instalar a CLI do Azure localmente para executar os comandos. Se você executar a CLI do Azure localmente, entre no Azure usando o comando az login.
Habilitar o Link Privado em um site estático de armazenamento
Nesta seção, você vai mapear o serviço de Link Privado para um ponto de extremidade privado criado na rede privada do Azure Front Door.
Entre no portal do Azure.
No perfil Azure Front Door Premium, em Configurações, selecione Grupos de origem.
Selecione o grupo de origem que contém a origem do site estático de armazenamento para a qual você deseja habilitar o Link Privado.
Selecione + Adicionar uma origem para adicionar uma nova origem de site estático de armazenamento ou selecione uma origem de site estático de armazenamento já criada na lista.
A tabela a seguir possui informações sobre quais valores selecionar nos respectivos campos ao habilitar o link privado com o Azure Front Door. Selecione ou insira as configurações a seguir para configurar o site estático de armazenamento que você deseja que o Azure Front Door Premium se conecte de modo privado.
Configuração Valor Nome Insira um nome para identificar essa origem do site estático de armazenamento. Tipo de origem Armazenamento (Site estático) Nome do host Selecione o host no menu suspenso que você deseja obter como origem. Cabeçalho de host de origem Você pode personalizar o cabeçalho de host da origem ou deixá-lo como padrão. Porta HTTP 80 (padrão) Porta HTTPS 443 (padrão) Prioridade Origens diferentes podem ter prioridades diferentes para fornecer as origens primária, secundária e de backup. Peso 1.000 (padrão). Atribua ponderações à origem diferente quando você quiser distribuir o tráfego. Região Selecione a mesma região ou a mais próxima à sua origem. Sub-recurso de destino O tipo de sub-recurso para o recurso selecionado anteriormente que pode ser acessado pelo seu ponto de extremidade privado. Você pode selecionar web ou web_secondary. Mensagem de solicitação Mensagem personalizada para ver ao aprovar o ponto de extremidade privado. Depois, selecione Adicionar para salvar a configuração. Em seguida, escolha Atualizar para salvar suas alterações.
Aprovar a conexão de ponto de extremidade privado da conta de armazenamento
Acesse a conta de armazenamento que você deseja conectar ao Azure Front Door Premium de forma privada. Selecione Rede em Configurações.
Em Rede, selecione Conexões de ponto de extremidade privado.
Selecione a solicitação de ponto de extremidade privada pendente do Azure Front Door Premium e, em seguida, selecione Aprovar.
Depois de aprovado, você pode ver que o status da conexão do ponto de extremidade privado está Aprovado.
Criar conexão de ponto de extremidade privado para web_secondary
Ao criar uma conexão de ponto de extremidade privado para o sub-recurso secundário do site estático de armazenamento, você precisa adicionar um sufixo -secondary ao cabeçalho de host da origem. Por exemplo, se o cabeçalho de host da origem for contoso.z13.web.core.windows.net, você precisará alterá-lo para contoso-secondary.z13.web.core.windows.net.
Depois que a origem for adicionada e a conexão de ponto de extremidade privada for aprovada, você poderá testar sua conexão de link privado com seu site estático de armazenamento.
Habilitar o Link Privado para um Site Estático de Armazenamento no Azure Front Door Premium
- Execute az afd origin create para criar uma nova origem do Azure Front Door. Insira as seguintes configurações para configurar o Site Estático de Armazenamento com o qual você deseja que o Azure Front Door Premium se conecte de modo privado. Observe que
private-link-___locationdeve estar em uma das regiões disponíveis eprivate-link-sub-resource-typedeve ser Web.
az afd origin create --enabled-state Enabled \
--resource-group testRG \
--origin-group-name default-origin-group \
--origin-name pvtStaticSite \
--profile-name testAFD \
--host-name example.z13.web.core.windows.net\
--origin-host-header example.z13.web.core.windows.net\
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-___location EastUS \
--private-link-request-message 'AFD Storage static website origin Private Link request.' \
--private-link-resource /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl \
--private-link-sub-resource-type web
Aprovar a conexão de ponto de extremidade privado da conta de armazenamento
Execute az network private-endpoint-connection list para listar as conexões de ponto de extremidade privado para a conta de armazenamento. Anote a "ID do recurso" da conexão de ponto de extremidade privado disponível em sua conta de armazenamento, na primeira linha de sua saída.
az network private-endpoint-connection list -g testRG -n testingafdpl --type Microsoft.Storage/storageAccountsExecute az network private-endpoint-connection approve para aprovar a conexão de ponto de extremidade privado.
az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl/privateEndpointConnections/testingafdpl.00000000-0000-0000-0000-000000000000
Criar conexão de ponto de extremidade privado para Web_Secondary
Ao criar uma conexão de ponto de extremidade privado com o sub-recurso secundário do site estático de armazenamento, você precisa adicionar um sufixo -secondary ao cabeçalho do host de origem. Por exemplo, se o cabeçalho do host de origem for example.z13.web.core.windows.net, você precisará alterá-lo para example-secondary.z13.web.core.windows.net.
Depois que a origem for adicionada e a conexão de ponto de extremidade privada for aprovada, você poderá testar sua conexão de link privado com seu site estático de armazenamento.
Erros comuns a serem evitados
Veja a seguir erros comuns ao configurar uma origem com o Link Privado do Azure habilitado:
- Adicionando a origem com o Link Privado do Azure habilitado a um grupo de origem existente que contém origens públicas. O Azure Front Door não permite a combinação de origens públicas e privadas no mesmo grupo de origem.