适用于: ✔️ Front Door Premium
本文介绍如何配置 Azure Front Door 高级层,以使用 Azure 专用链接服务私下连接到存储静态网站。
Prerequisites
- 拥有有效订阅的 Azure 帐户。 可以创建帐户。
包含源组的 Azure Front Door Premium 配置文件。 有关详细信息,请参阅 创建 Azure Front Door。
专用链接。 有关详细信息,请参阅 创建专用链接服务。
你的存储帐户上启用了存储静态网站。 了解如何启用静态网站。
使用 Azure 帐户登录到 Azure 门户。
包含源组的 Azure Front Door Premium 配置文件。 有关详细信息,请参阅 创建 Azure Front Door。
专用链接。 有关详细信息,请参阅 创建专用链接服务。
你的存储帐户上启用了存储静态网站。 了解如何启用静态网站。
Azure CLI。 可以在本地安装 Azure CLI 以运行命令。 如果在本地运行 Azure CLI,请使用 az login 命令登录到 Azure。
启用与存储静态网站的专用链接
在本节中,你将专用链接服务映射到在 Azure Front Door 专用网络中创建的专用终结点。
登录到 Azure 门户。
在 Azure Front Door Premium 配置文件的 “设置”下,选择“ 源组”。
选择包含要为其启用专用链接的存储静态网站原点的原点组。
选择“+ 添加原点”,以添加新的存储静态网站原点,或从该列表中选择以前创建的存储静态网站原点。
下表指示了在启用与 Azure Front Door 的专用链接时,在相应字段中要选择哪些值。 选择或输入以下设置,以配置你希望 Azure Front Door Premium 与之建立专用连接的存储静态网站。
Setting Value Name 输入一个名称来标识此存储静态网站原点。 原点类型 存储(静态网站) 主机名 从下拉列表中选择要用作源的主机。 源主机标头 您可以自定义源的主机头,也可以将其保留为默认值。 HTTP 端口 80 (默认值) HTTPS 端口 443 (默认值) Priority 不同的源可以具有不同的优先级,以分别提供主要、次要和备份源。 Weight 1000(默认值)。 当你想要分散流量时,请为不同的源分配权重。 Region 选择与源相同或最近的区域。 目标子资源 之前选定的且你的专用终结点可访问的资源的子资源类型。 可以选择 Web 或 web_secondary。 请求消息 自定义批准专用终结点时显示的消息。 然后选择“添加”以保存配置。 选择“更新”以保存更改。
从存储帐户批准专用终结点连接
转到要以私密方式连接到 Azure Front Door Premium 的存储帐户。 在“设置”下选择“网络”。
在 “网络”中,选择 “专用终结点连接”。
选择 Azure Front Door Premium 中待处理的专用终结点请求,然后选择“批准”。
批准后,可以看到专用终结点连接状态为“已批准”。
创建与 web_secondary 的专用终结点连接
创建与存储静态网站的辅助子资源的专用终结点连接时,需要向原点主机头添加 -secondary 后缀。 例如,如果源主机标头 contoso.z13.web.core.chinacloudapi.cn,则需要将其更改为 contoso-secondary.z13.web.core.chinacloudapi.cn。
添加原点并批准专用终结点连接后,可以测试与存储静态网站的专用链接连接。
在 Azure Front Door Premium 中启用存储静态网站的专用链接
- 运行 az afd origin create 以创建新的 Azure Front Door 源。 输入以下设置,以配置你希望 Azure Front Door Premium 与之建立专用连接的存储静态网站。 请注意,
private-link-location必须位于某个可用区域,并且private-link-sub-resource-type必须是 Web。
az afd origin create --enabled-state Enabled \
--resource-group testRG \
--origin-group-name default-origin-group \
--origin-name pvtStaticSite \
--profile-name testAFD \
--host-name example.z13.web.core.chinacloudapi.cn\
--origin-host-header example.z13.web.core.chinacloudapi.cn\
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location ChinaEast2 \
--private-link-request-message 'AFD Storage static website origin Private Link request.' \
--private-link-resource /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl \
--private-link-sub-resource-type web
从存储帐户批准专用终结点连接
运行 az network private-endpoint-connection list,列出存储帐户的专用终结点连接。 查看输出第一行,记下存储帐户中可用的专用终结点连接的“资源 ID”。
az network private-endpoint-connection list -g testRG -n testingafdpl --type Microsoft.Storage/storageAccounts运行 az network private-endpoint-connection approve cmdlet,批准专用终结点连接。
az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl/privateEndpointConnections/testingafdpl.00000000-0000-0000-0000-000000000000
创建与 Web_Secondary 的专用终结点连接
创建与存储静态网站的辅助子资源的专用终结点连接时,需要向原点主机头添加 -secondary 后缀。 例如,如果原始主机标头是 example.z13.web.core.chinacloudapi.cn,则需要将其更改为 example-secondary.z13.web.core.chinacloudapi.cn。
添加原点并批准专用终结点连接后,可以测试与存储静态网站的专用链接连接。
要避免的常见错误
配置启用了 Azure 专用链接的源时,常见错误如下:
- 将启用了 Azure 专用链接的源添加到包含公共源的现有源组。 Azure Front Door 不允许在同一源组中混合公共和专用源。