Łącze prywatne usługi Application Gateway
Obecnie możesz bezpiecznie wdrażać krytyczne obciążenia za usługą Application Gateway, co zapewnia elastyczność funkcji równoważenia obciążenia warstwy 7. Dostęp do obciążeń zaplecza jest możliwy na dwa sposoby:
- Publiczny adres IP — obciążenia są dostępne za pośrednictwem Internetu.
- Prywatny adres IP — obciążenia są dostępne prywatnie za pośrednictwem sieci wirtualnej / połączonych sieci
Usługa Private Link dla usługi Application Gateway umożliwia łączenie obciążeń za pośrednictwem połączenia prywatnego obejmującego sieci wirtualne i subskrypcje. Po skonfigurowaniu prywatny punkt końcowy jest umieszczany w podsieci zdefiniowanej sieci wirtualnej, zapewniając prywatny adres IP dla klientów, którzy chcą komunikować się z bramą. Aby uzyskać listę innych usług PaaS, które obsługują funkcje usługi Private Link, zobacz Co to jest usługa Azure Private Link.
Funkcje i możliwości
Usługa Private Link umożliwia rozszerzenie łączności prywatnej z usługą Application Gateway za pośrednictwem prywatnego punktu końcowego w następujących scenariuszach:
- Sieć wirtualna w tym samym lub innym regionie niż usługa Application Gateway
- Sieć wirtualna w tej samej lub innej subskrypcji z usługi Application Gateway
- Sieć wirtualna w tej samej lub innej subskrypcji i tej samej lub innej dzierżawie usługi Microsoft Entra z usługi Application Gateway
Możesz również zablokować dostęp publiczny (Internet) dla ruchu przychodzącego do usługi Application Gateway i zezwolić na dostęp tylko za pośrednictwem prywatnych punktów końcowych. Ruch związany z zarządzaniem przychodzącym nadal musi być dozwolony do bramy aplikacji. Aby uzyskać więcej informacji, zobacz Konfiguracja infrastruktury usługi Application Gateway
Wszystkie funkcje obsługiwane przez usługę Application Gateway są obsługiwane w przypadku uzyskiwania dostępu za pośrednictwem prywatnego punktu końcowego, w tym obsługi programu AGIC.
Składniki usługi Private Link
Do zaimplementowania usługi Private Link z usługą Application Gateway wymagane są cztery składniki:
Konfiguracja usługi Application Gateway Private Link
Konfigurację łącza prywatnego można skojarzyć z adresem IP frontonu usługi Application Gateway, który jest następnie używany do nawiązywania połączenia przy użyciu prywatnego punktu końcowego. Jeśli nie ma skojarzenia z adresem IP frontonu usługi Application Gateway, funkcja Private Link nie jest włączona.
Adres IP frontonu usługi Application Gateway
Publiczny lub prywatny adres IP, w którym należy skojarzyć konfigurację usługi Application Gateway Private Link w celu włączenia funkcji usługi Private Link.
Prywatny punkt końcowy
Zasób sieciowy platformy Azure, który przydziela prywatny adres IP w przestrzeni adresowej sieci wirtualnej. Służy do nawiązywania połączenia z usługą Application Gateway za pośrednictwem prywatnego adresu IP podobnego do wielu innych usług platformy Azure, które zapewniają dostęp za pośrednictwem łącza prywatnego; na przykład Storage i KeyVault.
Połączenie prywatnego punktu końcowego
Połączenie w usłudze Application Gateway pochodzi z prywatnych punktów końcowych. Możesz automatycznie zatwierdzać, zatwierdzać ręcznie lub odrzucać połączenia w celu udzielenia lub odmowy dostępu.
Ograniczenia
- Do konfigurowania konfiguracji usługi Private Link należy użyć interfejsu API w wersji 2020-03-01 lub nowszej.
- Statyczna metoda alokacji adresów IP w obiekcie konfiguracji usługi Private Link nie jest obsługiwana.
- Podsieć używana do konfiguracji PrivateLinkConfiguration nie może być taka sama jak podsieć usługi Application Gateway.
- Konfiguracja łącza prywatnego dla usługi Application Gateway nie uwidacznia właściwości "Alias" i musi być przywołyna za pośrednictwem identyfikatora URI zasobu.
- Tworzenie prywatnego punktu końcowego nie powoduje utworzenia rekordu DNS ani strefy *.privatelink. Wszystkie rekordy DNS powinny być wprowadzane w istniejących strefach używanych dla usługi Application Gateway.
- Usługi Azure Front Door i Application Gateway nie obsługują tworzenia łańcuchów za pośrednictwem usługi Private Link.
- Konfiguracja usługi Private Link dla usługi Application Gateway ma limit czasu bezczynności o wartości ok. 5 minut (300 sekund). Aby uniknąć osiągnięcia tego limitu, aplikacje łączące się za pośrednictwem prywatnych punktów końcowych z usługą Application Gateway muszą używać interwałów utrzymania protokołu TCP krótszych niż 300 sekund.