Conectar o Azure Front Door Premium a um Gerenciamento de API do Azure com Private Link

• Um perfil Azure Front Door Premium e um endpoint. Para obter mais informações sobre como criar um perfil do Azure Front Door, consulte Criar um Front Door usando o portal do Azure.

• Entre no portal do Azure com sua conta do Azure.

• Um perfil Azure Front Door Premium e um endpoint. Para obter mais informações sobre como criar um perfil do Azure Front Door, consulte Criar uma Front Door usando o Azure PowerShell

• Azure Cloud Shell ou Azure PowerShell.

  As etapas neste artigo executam os cmdlets do Azure PowerShell interativamente no Azure Cloud Shell. Para executar os cmdlets no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.

  Você também pode instalar o Azure PowerShell localmente para executar os cmdlets. Se você executar o PowerShell localmente, entre no Azure usando o cmdlet Connect-AzAccount .

• Um perfil Azure Front Door Premium e um endpoint. Para obter mais informações sobre como criar um perfil do Azure Front Door, consulte Criar uma Front Door usando a CLI do Azure.

• Azure Cloud Shell ou CLI do Azure.

  As etapas neste artigo executam os comandos da CLI do Azure interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.

  Você também pode instalar a CLI do Azure localmente para executar os comandos. Se você executar a CLI do Azure localmente, entre no Azure usando o comando az login .

Criar um grupo de origem e adicionar a instância de Gerenciamento de API como origem

1. Em Configurações do seu perfil do Azure Front Door Premium, selecione Grupos de origem.

2. Selecione Adicionar

3. Insira um nome para o grupo de origem.

4. Selecionar + Adicionar uma origem

5. Use a tabela a seguir para definir as configurações de origem:

   Configuração	Valor
   Nome	Insira um nome para identificar essa origem.
   Tipo de origem	Selecione Gerenciamento de API.
   Nome do anfitrião	Selecione o/a anfitrião/ã da lista pendente que deseja como a origem.
   Cabeçalho de origem do host	Será preenchido automaticamente com o host da instância de Gerenciamento de API escolhida.
   Porta HTTP	80 (padrão).
   Porta HTTPS	443 (padrão).
   Prioridade	Atribua prioridades diferentes às origens para fins primários, secundários e de backup.
   Peso	1000 (padrão). Use pesos para distribuir o tráfego entre diferentes origens.
   Região	Selecione a região que corresponde ou está mais próxima da sua origem.
   Subrecurso de destino	Selecione Gateway.
   Solicitar mensagem	Insira uma mensagem personalizada para exibir ao aprovar o ponto de extremidade privado.

   

6. Selecione Adicionar para salvar suas configurações de origem

7. Selecione Adicionar para salvar as configurações do grupo de origem.

Aprovar o Ponto de Extremidade Privado

1. Vá para a instância de Gerenciamento de API que você configurou com o Private Link na seção anterior.

2. Em Implantação + infraestrutura, selecione Rede.

3. Selecione a guia Conexões de ponto de extremidade privado de entrada.

4. Encontre a solicitação de ponto de extremidade privado pendente do Azure Front Door Premium e selecione Aprovar.

5. Após a aprovação, o status da conexão será atualizado. Pode levar alguns minutos para que a conexão se estabeleça completamente. Uma vez estabelecido, você pode acessar seu gerenciamento de API através do Front Door.

   

Criar um grupo de origem e adicionar a instância de Gerenciamento de API como origem

1. Use New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject para criar um objeto na memória para armazenar as configurações da sonda de integridade.

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. Use New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject para criar um objeto na memória para armazenar configurações de balanceamento de carga.

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. Execute New-AzFrontDoorCdnOriginGroup para criar um grupo de origem que contenha sua instância de Gerenciamento de API.

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. Use o comando New-AzFrontDoorCdnOrigin para adicionar sua instância de Gerenciamento de API ao grupo de origem.

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAPIMOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName myapim.azure-api.net ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader myapim.azure-api.net ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM ` 
       -SharedPrivateLinkResourceGroupId Gateway ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

Aprovar o Ponto de Extremidade Privado

1. Execute Get-AzPrivateEndpointConnection para recuperar o nome da conexão do ponto de extremidade privado que precisa de aprovação.

   $PrivateEndpoint = Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAPIM -PrivateLinkResourceType Microsoft.ApiManagement/service
   

2. Execute Approve-AzPrivateEndpointConnection para aprovar os detalhes da conexão do ponto de extremidade privado. Use o valor Name da saída na etapa anterior para aprovar a conexão.

   Get-AzPrivateEndpointConnection -Name $PrivateEndpoint.Name -ResourceGroupName myResourceGroup -ServiceName myAPIM -PrivateLinkResourceType Microsoft.ApiManagement/service
   

Configuração completa do Azure Front Door

Use o comando New-AzFrontDoorCdnRoute para criar uma rota que mapeie seu ponto de extremidade para o grupo de origem. Esta rota encaminha solicitações do endpoint para o seu grupo de origem.

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

Seu perfil do Azure Front Door agora está totalmente funcional depois de concluir a etapa final.

Criar um grupo de origem e adicionar a instância de Gerenciamento de API como origem

1. Execute az afd origin-group create para criar um grupo de origem.

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. Execute az afd origin create para adicionar a instância de Gerenciamento de API como uma origem ao grupo de origem.

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAPIMOrigin \
       --profile-name myFrontDoorProfile \
       --host-name myapim.azure-api.net \
       --origin-host-header myapim.azure-api.net \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-___location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM \
       --private-link-sub-resource-type Gateway
   

Aprovar a conexão de ponto de extremidade privado

1. Execute az network private-endpoint-connection list para obter o nome da conexão de ponto de extremidade privada que precisa de aprovação.

   az network private-endpoint-connection list --name myAPIM --resource-group myResourceGroup --type Microsoft.ApiManagement/service
   

2. Execute az network private-endpoint-connection approve para aprovar a conexão de ponto de extremidade privado usando o nome da etapa anterior.

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   

Configuração completa do Azure Front Door

Execute az afd route create para criar uma rota que mapeie seu ponto de extremidade para o grupo de origem. Esta rota encaminha solicitações do endpoint para o seu grupo de origem.

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-___domain Enabled

Seu perfil do Azure Front Door agora está totalmente funcional depois de concluir a etapa final.