你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure CLI 通过专用链接将 Azure Front Door Premium 连接到应用服务源

2025-05-20

适用于： ✔️ Front Door Premium

本文将介绍如何使用 Azure CLI 将 Azure Front Door 高级版配置为通过 Azure 专用链接以私密方式连接到应用服务。

先决条件

在 Azure Cloud Shell 中使用 Bash 环境。有关详细信息，请参阅 Azure Cloud Shell 入门。
如需在本地运行 CLI 参考命令，请安装 Azure CLI。如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。
- 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。若要完成身份验证过程，请遵循终端中显示的步骤。有关其他登录选项，请参阅使用 Azure CLI 向 Azure 进行身份验证。
- 出现提示时，请在首次使用时安装 Azure CLI 扩展。有关扩展的详细信息，请参阅使用和管理 Azure CLI 中的扩展。
- 运行 az version 以查找安装的版本和依赖库。若要升级到最新版本，请运行 az upgrade。

先决条件：

具有活动订阅的 Azure 帐户。免费创建帐户。
功能正常的 Azure Front Door 高级版配置文件、终结点和源组。有关详细信息，请参阅创建 Azure Front Door - CLI。
功能正常的专用 Web 应用。请参阅此文档，了解如何进行设置。

注意

专用终结点要求应用服务计划或函数托管计划满足某些要求。有关详细信息，请参阅对 Azure Web 应用使用专用终结点。

在 Azure Front Door Premium 中启用应用服务专用链接

运行 az afd origin create 命令创建新的 Azure Front Door 源。使用以下设置来配置你希望 Azure Front Door 高级版以私密方式连接的应用服务。确保 private-link-___location 位于某个可用区域，且 private-link-sub-resource-type 为 sites。

az afd origin create --enabled-state Enabled \
                     --resource-group myRGFD \
                     --origin-group-name og1 \
                     --origin-name pvtwebapp \
                     --profile-name contosoAFD \
                     --host-name example.contoso.com \
                     --origin-host-header example.contoso.com \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-___location EastUS \
                     --private-link-request-message 'AFD app service origin Private Link request.' \
                     --private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Web/sites/webapp1/appServices \
                     --private-link-sub-resource-type sites

批准来自应用服务的 Azure Front Door Premium 专用终结点连接

运行 az network private-endpoint-connection list 命令来列出 Web 应用的专用终结点连接。记下输出第一行中提供的专用终结点连接的 Resource ID。
```
az network private-endpoint-connection list --name webapp1 --resource-group myRGFD --type Microsoft.Web/sites
```

运行 az network private-endpoint-connection 批准命令以批准专用终结点连接。

az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Web/sites/webapp1/privateEndpointConnections/00000000-0000-0000-0000-000000000000

批准后，连接需要几分钟才能完全建立。现在，可以从 Azure Front Door 高级版访问应用服务。启用专用终结点后，将禁用从公共 Internet 直接访问应用服务的功能。

要避免的常见错误

配置启用了 Azure 专用链接的源时，常见错误如下：

将启用了 Azure 专用链接的源添加到包含公共源的现有源组。 Azure Front Door 不允许在同一源组中混合公共和专用源。

后续步骤

了解应用服务的专用链接服务。

通过