Compartilhar via

Conectar o Azure Front Door Premium com uma origem de conta de armazenamento usando o Link Privado

Aplica-se a: ✔️ Front Door Premium

Este artigo orienta você pela configuração do Azure Front Door Premium para se conectar privadamente a uma origem da conta de armazenamento usando o serviço de Link Privado do Azure.

Pré-requisitos

  • Um link privado. Para obter mais informações, consulte Criar um serviço de Link Privado.

  • Azure Cloud Shell ou CLI do Azure.

    As etapas neste artigo executam os comandos da CLI do Azure interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Abrir Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e colá-lo no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell no portal do Azure.

    Você também pode instalar a CLI do Azure localmente para executar os comandos. Se você executar a CLI do Azure localmente, entre no Azure usando o comando az login.

Observação

Os pontos de extremidade privados exigem que sua Conta de Armazenamento atenda a requisitos específicos. Para obter mais informações, consulte Usar pontos de extremidade privados para o Armazenamento do Microsoft Azure.

Nesta seção, você vai mapear o serviço de Link Privado para um ponto de extremidade privado criado na rede privada do Azure Front Door.

  1. No perfil Azure Front Door Premium, em Configurações, selecione Grupos de origem.

  2. Selecione o grupo de origem que contém a origem da conta de armazenamento para a qual você deseja habilitar o link privado.

  3. Selecione + Adicionar uma origem para adicionar uma nova origem de conta de armazenamento ou selecione uma origem de conta de armazenamento já criada na lista.

  4. Selecione ou insira os seguintes valores para configurar o blob de armazenamento com o qual você deseja que o Azure Front Door Premium se conecte em particular.

    Configuração Valor
    Nome Insira um nome para identificar essa origem do blog de armazenamento.
    Tipo de origem Armazenamento (Blobs do Azure)
    Nome do host Selecione o host no menu suspenso que você deseja obter como origem.
    Cabeçalho de host de origem Você pode personalizar o cabeçalho de host da origem ou deixá-lo como padrão.
    Porta HTTP 80 (padrão)
    Porta HTTPS 443 (padrão)
    Prioridade Origens diferentes podem ter prioridades diferentes para fornecer as origens primária, secundária e de backup.
    Peso 1.000 (padrão). Atribua ponderações à origem diferente quando você quiser distribuir o tráfego.
    Região Selecione a mesma região ou a mais próxima à sua origem.
    Sub-recurso de destino O tipo de sub-recurso para o recurso selecionado anteriormente que pode ser acessado pelo seu ponto de extremidade privado.
    Mensagem de solicitação Mensagem personalizada para ver ao aprovar o ponto de extremidade privado.

    Captura de tela da habilitação do link privado para uma conta de armazenamento.

  5. Selecione Adicionar para salvar sua configuração.

  6. Selecione Atualizar para salvar as configurações do grupo de origem.

Observação

Verifique se o caminho de origem na regra de roteamento está configurado corretamente com o caminho do arquivo de contêiner de armazenamento para que as solicitações de arquivo possam ser adquiridas.

Use o comando az afd origin create para criar uma nova origem do Azure Front Door. O valor private-link-___location deve ser de uma das regiões disponíveis e o valor private-link-sub-resource-type é blob.

az afd origin create --enabled-state Enabled \
                     --resource-group 'myResourceGroup' \
                     --origin-group-name 'og1' \
                     --origin-name 'mystorageorigin' \
                     --profile-name 'contosoAFD' \
                     --host-name 'mystorage.blob.core.windows.net' \
                     --origin-host-header 'mystorage.blob.core.windows.net' \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-___location 'EastUS' \
                     --private-link-request-message 'AFD storage origin Private Link request.' \
                     --private-link-resource '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage' \
                     --private-link-sub-resource-type blob

Aprovar conexão de ponto de extremidade privado da conta de armazenamento no Azure Front Door

  1. Vá para a conta de armazenamento para a qual você configurou o Link Privado na seção anterior.

  2. Em Configurações, selecione Rede.

  3. Em Rede, selecione Conexões de ponto de extremidade privado.

  4. Selecione a solicitação de ponto de extremidade privada pendente do Azure Front Door Premium e, em seguida, selecione Aprovar.

    Captura de tela da solicitação de endpoint privado de armazenamento pendente.

  1. Use o comando az network private-endpoint-connection list para listar as conexões de ponto de extremidade privado para sua conta de armazenamento. Observe a Resource ID da conexão do ponto de extremidade privado da saída.

    az network private-endpoint-connection list --name 'mystorage' --resource-group 'myResourceGroup' --type 'Microsoft.Storage/storageAccounts'

  2. Use o comando az network private-endpoint-connection approve para aprovar a conexão de ponto de extremidade privado.

    az network private-endpoint-connection approve --id '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'

Leva alguns minutos para que a conexão seja totalmente estabelecida após a aprovação. Depois de estabelecido, você pode acessar sua conta de armazenamento em particular por meio do Azure Front Door Premium. O acesso à Internet pública à conta de armazenamento será desabilitado quando o ponto de extremidade privado estiver habilitado.

Observação

Se o blob ou o contêiner na conta de armazenamento não permitir acesso anônimo, as solicitações feitas no blob/contêiner deverão ser autorizadas. Uma opção para autorizar uma solicitação é usar as Assinaturas de Acesso Compartilhado.

Erros comuns a serem evitados

Veja a seguir erros comuns ao configurar uma origem com o Link Privado do Azure habilitado:

  • Adicionando a origem com o Link Privado do Azure habilitado a um grupo de origem existente que contém origens públicas. O Azure Front Door não permite a combinação de origens públicas e privadas no mesmo grupo de origem.
  • Não usar tokens SAS durante a conexão com a conta de armazenamento que não permite acesso anônimo.

Conteúdo relacionado

  • Last updated on