Configurare il collegamento privato del gateway applicazione di Azure

Articolo
05/08/2024

Il collegamento privato del gateway applicazione consente di connettere i carichi di lavoro tramite una connessione privata che si estende tra più reti virtuali e sottoscrizioni. Per altre informazioni, vedere Collegamento privato del gateway applicazione.

Diagram showing Application Gateway Private Link

Opzioni di configurazione

Sono disponibili più opzioni per configurare il collegamento privato del gateway applicazione, ad esempio il portale di Azure, Azure PowerShell e l'interfaccia della riga di comando di Azure.

Definire una subnet per la configurazione del collegamento privato

Per abilitare la configurazione del collegamento privato, è necessaria una subnet diversa dalla subnet del gateway applicazione per la configurazione IP del collegamento privato. Il collegamento privato deve usare una subnet che non contiene alcun gateway applicazione. Le dimensioni della subnet sono determinate dal numero di connessioni necessarie per la distribuzione. Ogni indirizzo IP allocato a questa subnet garantisce connessioni TCP simultanee da 64 K che possono essere stabilite tramite collegamento privato in un momento specifico. Allocare più indirizzi IP per consentire più connessioni tramite collegamento privato. Ad esempio: n * 64K; dove n è il numero di indirizzi IP di cui viene effettuato il provisioning.

Nota

Il numero massimo di indirizzi IP per ogni configurazione di collegamento privato è otto. È supportata solo l'allocazione dinamica.

Per creare una nuova subnet, seguire questa procedura:

Aggiungere, modificare o eliminare una subnet di rete virtuale

Configurare il collegamento privato

La configurazione del collegamento privato definisce l'infrastruttura usata dal gateway applicazione per abilitare le connessioni da endpoint privati. Durante la creazione della configurazione del collegamento privato, assicurarsi che un listener usi attivamente la configurazione IP front-end rispettata. Completare i passaggi seguenti per creare la configurazione del collegamento privato:

Accedere al portale di Azure
Cercare e selezionare Gateway applicazione.
Selezionare il nome del gateway applicazione per cui si vuole abilitare il collegamento privato.
Selezionare Collegamento privato
Configurare gli elementi seguenti:
- Nome: nome della configurazione del collegamento privato.
- Subnet del collegamento privato: indirizzi IP della subnet da usare.
- Configurazione IP front-end: indirizzo IP front-end a cui il collegamento privato deve inoltrare il traffico nel gateway applicazione.
- Impostazioni dell'indirizzo IP privato: specificare almeno un indirizzo IP
Selezionare Aggiungi.
Nel pannello delle proprietà per i Gateway applicazione recuperare e prendere nota dell'ID risorsa, necessario se si configura un endpoint privato all'interno di un tenant Microsoft Entra diverso.

Configurare l'endpoint privato

Un endpoint privato è un'interfaccia di rete che usa un indirizzo IP privato della rete virtuale contenente i client che desiderano connettersi al gateway applicazione. Ognuno dei client usa l'indirizzo IP privato dell'endpoint privato per eseguire il tunneling del traffico verso il gateway applicazione. Per creare un endpoint privato, seguire questa procedura:

Selezionare la scheda Connessioni endpoint privato.
Seleziona Crea.
Nella scheda Informazioni di base configurare un gruppo di risorse, il nome e l'area da usare per l'endpoint privato. Selezionare Avanti.
Nella scheda Risorsa selezionare Avanti.
Nella scheda Rete virtuale configurare una rete virtuale e una subnet in cui effettuare il provisioning dell'interfaccia di rete dell'endpoint privato. Configurare se l'endpoint privato deve avere un indirizzo IP dinamico o statico. Selezionare Avanti.
Nella scheda Tag configurare facoltativamente i tag delle risorse. Selezionare Avanti.
Seleziona Crea.

Nota

Se la risorsa Configurazione IP pubblico o privato non è presente quando si tenta di selezionare una sottorisorsa di destinazione, nella scheda Risorsa della creazione dell'endpoint privato assicurarsi che un listener usi attivamente la configurazione IP front-end rispettata. Le configurazioni IP front-end senza un listener associato non verranno visualizzate come Sottorisorsa di destinazione.

Nota

Se si effettua il provisioning di un endpoint privato dall'interno di un altro tenant, sarà necessario usare l'ID risorsa del gateway applicazione di Azure e il Nome della configurazione IP front-end come sottorisorsa di destinazione. Ad esempio, se si dispone di un indirizzo IP privato associato al gateway applicazione e il nome elencato nella configurazione IP front-end del portale per l'indirizzo IP privato è PrivateFrontendIp, il valore della sottorisorsa di destinazione sarà: PrivateFrontendIp.

Nota

Se è necessario spostare un endpoint privato in un'altra sottoscrizione, è prima necessario eliminare la connessione endpoint privato esistente tra il collegamento privato e l'endpoint privato. Al termine, sarà necessario ricreare una nuova connessione endpoint privato nella nuova sottoscrizione per stabilire una connessione tra il collegamento privato e l'endpoint privato.

Per configurare un collegamento privato in un gateway applicazione esistente tramite Azure PowerShell, usare i comandi seguenti:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Di seguito è riportato un elenco di tutti i riferimenti di Azure PowerShell per la configurazione del collegamento privato nel gateway applicazione:

Per configurare un collegamento privato in un gateway applicazione esistente tramite l'interfaccia della riga di comando di Azure, usare i comandi seguenti:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

Un elenco di tutti i riferimenti dell'interfaccia della riga di comando di Azure per la configurazione del collegamento privato nel gateway applicazione è disponibile qui: Interfaccia della riga di comando di Azure - Collegamento privato

Passaggi successivi

Informazioni sul collegamento privato di Azure: Che cos'è il collegamento privato di Azure?

Share via

Configurare il collegamento privato del gateway applicazione di Azure

Opzioni di configurazione

Passaggi successivi

Risorse aggiuntive