Collegamento privato del gateway applicazione

  • Articolo

Oggigiorno è possibile distribuire i carichi di lavoro critici in modo sicuro dietro il gateway applicazione, ottenendo la flessibilità delle funzionalità di bilanciamento del carico di livello 7. È possibile accedere ai carichi di lavoro back-end in due modi:

  • Indirizzo IP pubblico: i carichi di lavoro sono accessibili tramite Internet.
  • Indirizzo IP privato: i carichi di lavoro sono accessibili privatamente tramite la rete virtuale o le reti connesse

Il collegamento privato per il gateway applicazione consente di connettere i carichi di lavoro tramite una connessione privata che si estende tra reti virtuali e abbonamenti. Quando configurato, un endpoint privato viene inserito nella subnet di una rete virtuale definita, fornendo un indirizzo IP privato per i client che cercano di comunicare con il gateway. Per un elenco di altri servizi PaaS che supportano la funzionalità collegamento privato, vedere Cos’è il collegamento privato di Azure?.

Diagram showing Application Gateway Private Link

Funzionalità e caratteristiche

Il collegamento privato consente di estendere la connettività privata al gateway applicazione tramite un endpoint privato negli scenari seguenti:

  • Rete virtuale nella stessa area o in un'area diversa dal gateway applicazione
  • Rete virtuale nella stesso abbonamento o in un abbonamento diverso dal gateway applicazione
  • Rete virtuale nella stesso abbonamento o in un abbonamento diverso e nello stesso o in un altro tenant diverso da Microsoft Entra dal gateway applicazione

È anche possibile scegliere di bloccare l'accesso pubblico in ingresso (Internet) al gateway applicazione e consentire l'accesso solo tramite endpoint privati. Il traffico di gestione in ingresso deve comunque essere consentito al gateway applicazione. Per altre informazioni, vedere configurazione dell'infrastruttura del gateway applicazione

Tutte le funzionalità supportate dal gateway applicazione sono supportate quando si accede tramite un endpoint privato, incluso il supporto per il gateway applicazione.

Per implementare il collegamento privato con il gateway applicazione sono necessari quattro componenti:

  • Configurazione del collegamento privato del gateway applicazione

    Una configurazione di collegamento privato può essere associata a un indirizzo IP front-end del gateway applicazione, che viene quindi usato per stabilire una connessione usando un endpoint privato. Se non esiste alcuna associazione a un indirizzo IP front-end del gateway applicazione, la funzionalità Collegamento privato non è abilitata.

  • Indirizzo IP front-end del gateway applicazione

    L’indirizzo IP pubblico o privato a cui deve essere associata la configurazione del collegamento privato del gateway applicazione per abilitare le funzionalità di collegamento privato.

  • Endpoint privato

    Una risorsa di rete di Azure che assegna un indirizzo IP privato nello spazio indirizzi della rete virtuale. Viene usato per connettersi al gateway applicazione tramite l'indirizzo IP privato simile a molti altri servizi di Azure che forniscono l'accesso al collegamento privato; ad esempio Archiviazione e KeyVault.

  • Connessione endpoint privato

    Connessione nel gateway applicazione originata da endpoint privati. È possibile auto-approvare, approvare manualmente o rifiutare le connessioni per concedere o negare l'accesso.

Limiti

  • L'API versione 2020-03-01 o successiva deve essere usata per le configurazioni del collegamento privato.
  • Il metodo di assegnamento dell’IP statico nell'oggetto Configurazione collegamento privato non è supportato.
  • La subnet usata per PrivateLinkConfiguration non può essere uguale alla subnet del gateway applicazione.
  • La configurazione del collegamento privato per il gateway applicazione non espone la proprietà "Alias" e deve essere fatto riferimento tramite l'URI della risorsa.
  • La creazione di endpoint privati non crea un record DNS *.privatelink o una zona. Tutti i record DNS devono essere immessi nelle zone esistenti usate per il gateway applicazione.
  • Frontdoor di Azure e gateway applicazione non supportano il concatenamento tramite collegamento privato.
  • La configurazione del collegamento privato per il gateway applicazione ha un timeout di inattività di circa 5 minuti (300 secondi). Per evitare di raggiungere questo limite, le applicazioni che si connettono tramite endpoint privati al gateway applicazione devono usare intervalli keepalive TCP inferiori a 300 secondi.

Passaggi successivi