Konfigurowanie łącza prywatnego usługi Azure Application Gateway

Usługa Application Gateway Private Link umożliwia łączenie obciążeń za pośrednictwem połączenia prywatnego obejmującego sieci wirtualne i subskrypcje. Aby uzyskać więcej informacji, zobacz Usługa Application Gateway Private Link.

Opcje konfiguracji

Usługę Application Gateway Private Link można skonfigurować za pomocą wielu opcji, takich jak witryna Azure Portal, program Azure PowerShell i interfejs wiersza polecenia platformy Azure.

Azure Portal

Definiowanie podsieci dla konfiguracji usługi Private Link

Aby włączyć konfigurację usługi Private Link, podsieć, inna niż podsieć usługi Application Gateway, jest wymagana do konfiguracji adresu IP łącza prywatnego. Usługa Private Link musi używać podsieci, która nie zawiera żadnych bram aplikacji. Ustalanie rozmiaru podsieci zależy od liczby połączeń wymaganych do wdrożenia. Każdy adres IP przydzielony do tej podsieci zapewnia 64-K współbieżnych połączeń TCP, które można ustanowić za pośrednictwem usługi Private Link w jednym punkcie w czasie. Przydziel więcej adresów IP, aby zezwolić na więcej połączeń za pośrednictwem usługi Private Link. Na przykład: n * 64Kgdzie n to liczba aprowizowanych adresów IP.

Uwaga

Maksymalna liczba adresów IP na konfigurację łącza prywatnego wynosi osiem. Obsługiwana jest tylko alokacja dynamiczna.

Wykonaj następujące kroki, aby utworzyć nową podsieć:

Dodawanie, zmienianie i usuwanie podsieci sieci wirtualnej

Konfigurowanie usługi Private Link

Konfiguracja łącza prywatnego definiuje infrastrukturę używaną przez usługę Application Gateway do włączania połączeń z prywatnych punktów końcowych. Podczas tworzenia konfiguracji usługi Private Link upewnij się, że odbiornik aktywnie korzysta z szanowanej konfiguracji adresu IP frontonu. Wykonaj następujące kroki, aby utworzyć konfigurację usługi Private Link:

1. Przejdź do witryny Azure Portal.

2. Wyszukaj i wybierz pozycję Application Gateways (Bramy aplikacji).

3. Wybierz nazwę bramy aplikacji, którą chcesz włączyć łącze prywatne.

4. Wybierz pozycję Link prywatny

5. Skonfiguruj następujące elementy:

   • Nazwa: nazwa konfiguracji łącza prywatnego.
   • Podsieć łącza prywatnego: adresy IP podsieci powinny być używane.
   • Konfiguracja adresu IP frontonu: adres IP frontonu, do którego łącze prywatne powinno przekazywać ruch do usługi Application Gateway.
   • Ustawienia prywatnego adresu IP: określ co najmniej jeden adres IP

6. Wybierz Dodaj.

7. W bloku właściwości usługi Application Gateway uzyskaj identyfikator zasobu i zanotuj go. Jest to wymagane, jeśli konfigurujesz prywatny punkt końcowy w innej dzierżawie usługi Microsoft Entra.

Konfigurowanie prywatnego punktu końcowego

Prywatny punkt końcowy to interfejs sieciowy, który używa prywatnego adresu IP z sieci wirtualnej zawierającej klientów, którzy chcą nawiązać połączenie z usługą Application Gateway. Każdy z klientów używa prywatnego adresu IP prywatnego punktu końcowego do tunelowania ruchu do usługi Application Gateway. Aby utworzyć prywatny punkt końcowy, wykonaj następujące kroki:

1. Wybierz kartę Połączenia z prywatnym punktem końcowym.
2. Wybierz pozycję Utwórz.
3. Na karcie Podstawowe skonfiguruj grupę zasobów, nazwę i region dla prywatnego punktu końcowego. Wybierz Dalej.
4. Na karcie Zasób wybierz pozycję Dalej.
5. Na karcie Sieć wirtualna skonfiguruj sieć wirtualną i podsieć, w której należy aprowizować interfejs sieciowy prywatnego punktu końcowego. Określ, czy prywatny punkt końcowy powinien mieć dynamiczny, czy statyczny adres IP. Wybierz Dalej.
6. Na karcie Tagi opcjonalnie skonfiguruj tagi zasobów. Wybierz Dalej.
7. Wybierz pozycję Utwórz.

Uwaga

Jeśli brakuje zasobu konfiguracji publicznego lub prywatnego adresu IP podczas próby wybrania podsób docelowy na karcie Zasób tworzenia prywatnego punktu końcowego, upewnij się, że odbiornik aktywnie korzysta z szanowanej konfiguracji adresu IP frontonu. Konfiguracje adresów IP frontonu bez skojarzonego odbiornika nie będą wyświetlane jako zasób docelowy.

Uwaga

Jeśli aprowizujesz prywatny punkt końcowy z innej dzierżawy, musisz użyć identyfikatora zasobu bramy aplikacja systemu Azure i nazwy konfiguracji adresu IP frontonu jako docelowego zasobu podrzędnego. Jeśli na przykład miałem prywatny adres IP skojarzony z usługą Application Gateway i nazwą wymienioną w konfiguracji adresu IP frontonu dla prywatnego adresu IP jest PrivateFrontendIp, docelową wartością zasobu podrzędnego będzie: PrivateFrontendIp.

Uwaga

Jeśli musisz przenieść prywatny punkt końcowy do innej subskrypcji, musisz najpierw usunąć istniejące połączenie prywatnego punktu końcowego między usługą Private Link i prywatnym punktem końcowym. Po zakończeniu tej czynności należy ponownie utworzyć nowe połączenie prywatnego punktu końcowego w nowej subskrypcji, aby nawiązać połączenie między usługą Private Link i prywatnym punktem końcowym.

Azure PowerShell

Aby skonfigurować link prywatny w istniejącej usłudze Application Gateway za pośrednictwem programu Azure PowerShell, użyj następujących poleceń:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Poniżej znajduje się lista wszystkich odwołań programu Azure PowerShell dla konfiguracji usługi Private Link w usłudze Application Gateway:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Interfejs wiersza polecenia platformy Azure

Aby skonfigurować link prywatny w istniejącej usłudze Application Gateway za pośrednictwem interfejsu wiersza polecenia platformy Azure, użyj następujących poleceń:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

Lista wszystkich odwołań interfejsu wiersza polecenia platformy Azure do konfiguracji usługi Private Link w usłudze Application Gateway jest dostępna tutaj: interfejs wiersza polecenia platformy Azure — Usługa Private Link

Następne kroki

• Dowiedz się więcej o usłudze Azure Private Link: co to jest usługa Azure Private Link.