Application Gateway の Private Link

  • [アーティクル]

現在、お客様は重要なワークロードを Application Gateway の背後に安全にデプロイし、レイヤー 7 の負荷分散機能の柔軟性を活用することができます。 バックエンド ワークロードへのアクセスは、次の 2 つの方法で可能です。

  • パブリック IP アドレス - ワークロードにインターネット経由でアクセスできます。
  • プライベート IP アドレス - ワークロードには、仮想ネットワークまたは接続されたネットワークを介してプライベートでアクセスできます

Application Gateway の Private Link では、VNet とサブスクリプションにまたがるプライベート接続経由でワークロードを接続できます。 構成すると、定義された仮想ネットワークのサブネットにプライベート エンドポイントが配置され、ゲートウェイと通信しようとしているクライアントのためのプライベート IP アドレスが提供されます。 Private Link 機能をサポートする他の PaaS サービスの一覧については、「Azure Private Link とは」を参照してください。

Diagram showing Application Gateway Private Link

特徴と機能

Private Link では、プライベート エンドポイントを経由して、プライベート接続を Application Gateway へと拡張できます。対応するシナリオは次のとおりです。

  • Application Gateway と同じまたは異なるリージョン内の VNet
  • Application Gateway と同じまたは異なるサブスクリプション内の VNet
  • Application Gateway と同じまたは異なるサブスクリプション内で、同じまたは異なる Microsoft Entra テナント内の VNet

なお、Application Gateway への受信パブリック (インターネット) アクセスをブロックし、プライベート エンドポイント経由でのみアクセスを許可することもできます。 その場合も、受信管理トラフィックはアプリケーション ゲートウェイに対して許可される必要があります。 詳細については、「Application Gateway インフラストラクチャの構成」を参照してください

Application Gateway でサポートされるすべての機能は、プライベート エンドポイントを介してアクセスする場合にもサポートされます (AGIC のサポートを含む)。

Application Gateway を使用して Private Link を実装するには、次の 4 つのコンポーネントが必要です。

  • Application Gateway Private Link 構成

    プライベート リンク構成は、Application Gateway フロントエンド IP アドレスに関連付けることができます。これは、プライベート エンドポイントを使用した接続を確立するために使用されます。 Application Gateway フロントエンド IP アドレスに関連付けられていない場合、Private Link 機能は有効になりません。

  • Application Gateway フロントエンド IP アドレス

    Private Link 機能を有効にするために、Application Gateway Private Link 構成を関連付ける必要があるパブリックまたはプライベート IP アドレス。

  • プライベート エンドポイント

    VNet アドレス空間にプライベート IP アドレスを割り当てる Azure ネットワーク リソース。 これは、プライベート リンク アクセスを提供する他の多くの Azure サービス (Storage、KeyVault など) と同様、プライベート IP アドレスを介して Application Gateway に接続するために使用されます。

  • プライベート エンドポイント接続

    プライベート エンドポイントによって生成された Application Gateway 上の接続。 接続を自動承認、手動で承認、または拒否して、アクセスを許可または拒否することができます。

制限事項

  • Private Link 構成を構成するには、API バージョン 2020-03-01 以降を使用する必要があります。
  • Private Link 構成オブジェクトでの静的 IP 割り当て方法はサポートされていません。
  • PrivateLinkConfiguration に使用されるサブネットは、Application Gateway サブネットと同じにすることはできません。
  • Application Gateway のプライベート リンク構成では、"Alias" プロパティは公開されません。リソース URI を介して参照する必要があります。
  • プライベート エンドポイントの作成時には、*.privatelink DNS レコードやゾーンは作成されません。 すべての DNS レコードは、Application Gateway に使用されている既存のゾーンに入力する必要があります。
  • Azure Front Door と Application Gateway では、Private Link を介したチェーンはサポートされていません。
  • Application Gateway の Private Link 構成のアイドル タイムアウトは最大 5 分 (300 秒) です。 この制限に達しないようにするには、プライベート エンドポイント経由で Application Gateway に接続するアプリケーションで、300 秒未満の TCP キープアライブ間隔を使用する必要があります。

次のステップ