Azure Application Gateway Private Link konfigurálása

Az Application Gateway Private Link lehetővé teszi, hogy a számítási feladatokat virtuális hálózatokon és előfizetéseken átívelő privát kapcsolaton keresztül csatlakoztassa. További információ: Application Gateway Private Link.

Konfigurációs lehetőségek

Az Application Gateway Private Link több lehetőséggel is konfigurálható, például az Azure Portalon, az Azure PowerShellben és az Azure CLI-ben.

Azure Portalra

Alhálózat definiálása privát kapcsolat konfigurálásához

A privát kapcsolat konfigurációjának engedélyezéséhez egy, az Application Gateway alhálózatától eltérő alhálózatra van szükség a privát kapcsolat IP-konfigurációjában. A Private Linknek olyan alhálózatot kell használnia, amely nem tartalmaz Application Gateway-átjárókat. Az alhálózatok méretezését az üzembe helyezéshez szükséges kapcsolatok száma határozza meg. Az alhálózathoz lefoglalt IP-címek 64 K egyidejű TCP-kapcsolatokat biztosítnak, amelyek a Private Link használatával egy időben hozhatók létre. További IP-címek lefoglalása további kapcsolatok engedélyezéséhez a Private Linken keresztül. Például: n * 64K; ahol n a kiépített IP-címek száma.

Feljegyzés

A privát kapcsolat konfigurációnkénti IP-címek maximális száma nyolc. Csak a dinamikus foglalás támogatott.

Új alhálózat létrehozásához hajtsa végre az alábbi lépéseket:

Virtuális hálózat alhálózatának hozzáadása, módosítása vagy törlése

Privát kapcsolat konfigurálása

A privát kapcsolat konfigurációja határozza meg az Application Gateway által a privát végpontok kapcsolatainak engedélyezéséhez használt infrastruktúrát. A Private Link-konfiguráció létrehozásakor győződjön meg arról, hogy a figyelő aktívan használja a tiszteletben álló előtérbeli IP-konfigurációt. A Private Link-konfiguráció létrehozásához hajtsa végre az alábbi lépéseket:

1. Nyissa meg az Azure Portalt

2. Keresse meg és válassza ki az Application Gateway-eket.

3. Válassza ki annak az application gatewaynek a nevét, amelyet engedélyezni szeretne a privát kapcsolathoz.

4. Privát hivatkozás kiválasztása

5. Konfigurálja a következő elemeket:

   • Név: A privát kapcsolat konfigurációjának neve.
   • Privát kapcsolat alhálózata: Az alhálózat IP-címeit az alhálózatból kell felhasználni.
   • Előtérbeli IP-konfiguráció: Az előtérbeli IP-címnek, amelyre a privát kapcsolatnak továbbítania kell a forgalmat az Application Gatewayen.
   • Privát IP-cím beállításai: adjon meg legalább egy IP-címet

6. Válassza a Hozzáadás lehetőséget.

7. Az Application Gateways tulajdonságok paneljén szerezze be és jegyezze fel az erőforrás-azonosítót, ez akkor szükséges, ha egy privát végpontot állít be egy másik Microsoft Entra-bérlőn belül.

Privát végpont konfigurálása

A privát végpont egy olyan hálózati adapter, amely az Application Gatewayhez csatlakozni kívánó ügyfeleket tartalmazó virtuális hálózat privát IP-címét használja. Mindegyik ügyfél a privát végpont magánhálózati IP-címét használja az Application Gateway felé irányuló forgalom bújtatásához. Privát végpont létrehozásához hajtsa végre a következő lépéseket:

1. Válassza a Privát végponti kapcsolatok lapot.
2. Válassza a Létrehozás lehetőséget.
3. Az Alapszintű beállítások lapon konfiguráljon egy erőforráscsoportot, nevet és régiót a privát végponthoz. Válassza a Tovább lehetőséget.
4. Az Erőforrás lapon válassza a Tovább gombot.
5. A Virtuális hálózat lapon konfiguráljon egy virtuális hálózatot és alhálózatot, amelyre a privát végpont hálózati adapterét ki kell helyezni. Konfigurálja, hogy a privát végpontnak dinamikus vagy statikus IP-címmel kell-e rendelkeznie. Válassza a Tovább lehetőséget.
6. A Címkék lapon igény szerint konfigurálja az erőforráscímkéket. Válassza a Tovább lehetőséget.
7. Válassza a Létrehozás parancsot.

Feljegyzés

Ha a nyilvános vagy privát IP-konfigurációs erőforrás hiányzik, amikor a privát végpontlétrehozás Erőforrás lapján megkísérli kiválasztani a Cél alerőforrást, győződjön meg arról, hogy a figyelő aktívan használja a tiszteletben álló előtérbeli IP-konfigurációt. A társított figyelő nélküli előtérbeli IP-konfigurációk nem jelennek meg cél-alerőforrásként.

Feljegyzés

Ha egy másik bérlőn belülről hoz létre privát végpontot, akkor a cél alerőforrásként a Azure-alkalmazás Átjáró erőforrás-azonosítóját és a Frontend IP-konfiguráció nevét kell használnia. Ha például egy privát IP-cím van társítva az Application Gatewayhez, és a privát IP-címhez tartozó portál frontend IP-konfigurációjában szereplő név a PrivateFrontendIp, a cél alerőforrás értéke a következő lenne: PrivateFrontendIp.

Feljegyzés

Ha át kell helyeznie egy privát végpontot egy másik előfizetésbe, először törölnie kell a privát kapcsolat és a privát végpont közötti meglévő privát végpont kapcsolatot. A művelet befejezése után újra létre kell hoznia egy új privát végpontkapcsolatot az új előfizetésben, hogy kapcsolatot létesítsen a privát kapcsolat és a privát végpont között.

Azure PowerShell

Ha privát hivatkozást szeretne konfigurálni egy meglévő Application Gatewayen az Azure PowerShellen keresztül, használja a következő parancsokat:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Az alábbiakban felsoroljuk az Application Gateway privát kapcsolat konfigurálásának Azure PowerShell-hivatkozásait:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Azure CLI

Meglévő Application Gateway privát hivatkozásának Azure CLI-n keresztüli konfigurálásához használja a következő parancsokat:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

Az Application Gateway privát kapcsolat konfigurálásának Azure CLI-hivatkozásainak listája itt érhető el: Azure CLI CLI – Private Link

Következő lépések

• Tudnivalók az Azure Private Linkről: Az Azure Private Link ismertetése.