Настройка приватного канала Шлюза приложений Azure

Шлюз приложений Приватный канал позволяет подключать рабочие нагрузки через частное подключение, охватывающее виртуальные сети и подписки. Дополнительные сведения см. в Шлюз приложений Приватный канал.

Варианты конфигурации

Шлюз приложений Приватный канал можно настроить с помощью нескольких параметров, таких как, но не ограничено, портал Azure, Azure PowerShell и Azure CLI.

Портал Azure

Определение подсети для конфигурации Приватный канал

Чтобы включить конфигурацию Приватный канал, подсеть, отличную от подсети Шлюз приложений, требуется для конфигурации IP-адреса приватного канала. Приватный канал должен использовать подсеть, которая не содержит Шлюз приложений. Размер подсети определяется количеством подключений, необходимых для развертывания. Каждый IP-адрес, выделенный этой подсети, обеспечивает одновременные TCP-подключения 64-K, которые можно установить через Приватный канал в один момент времени. Выделите больше IP-адресов, чтобы разрешить больше подключений через Приватный канал. Например: n * 64Kгде n находится число подготовленных IP-адресов.

Примечание.

Максимальное количество IP-адресов на конфигурацию приватного канала составляет восемь. Поддерживается только динамическое выделение.

Выполните следующие действия, чтобы создать новую подсеть:

Добавление, изменение или удаление подсети виртуальной сети

Настройка приватного канала

Конфигурация приватного канала определяет инфраструктуру, используемую Шлюз приложений для включения подключений из частных конечных точек. При создании конфигурации Приватный канал убедитесь, что прослушиватель активно использует уважаемую интерфейсную IP-конфигурацию. Выполните следующие действия, чтобы создать конфигурацию Приватный канал:

1. Перейдите на портал Azure.

2. Найдите и выберите Шлюз приложений.

3. Выберите имя шлюза приложений, который требуется включить приватный канал.

4. Выбор приватного канала

5. Настройте следующие элементы:

   • Имя: имя конфигурации приватного канала.
   • Подсеть приватного канала: IP-адреса подсети должны использоваться из подсети.
   • Конфигурация внешнего IP-адреса: внешний IP-адрес, который должен перенаправлять трафик в Шлюз приложений.
   • Параметры частного IP-адреса: укажите по крайней мере один IP-адрес

6. Выберите Добавить.

7. В колонке свойств Шлюз приложений получите и запишите идентификатор ресурса, это необходимо, если вы настраиваете частную конечную точку в другом клиенте Microsoft Entra.

Настройка частной конечной точки

Частная конечная точка — это сетевой интерфейс, использующий частный IP-адрес из виртуальной сети, содержащей клиенты, желающие подключиться к Шлюз приложений. Каждый из клиентов использует частный IP-адрес частной конечной точки для туннелирования трафика в Шлюз приложений. Чтобы создать частную конечную точку, выполните следующие действия.

1. Выберите вкладку Подключения к частной конечной точке.
2. Нажмите кнопку создания.
3. На вкладке "Основы" настройте группу ресурсов, имя и регион для частной конечной точки. Выберите Далее.
4. На вкладке "Ресурс" нажмите кнопку "Далее".
5. На вкладке виртуальная сеть настройте виртуальную сеть и подсеть, в которой должен быть подготовлен сетевой интерфейс частной конечной точки. Настройте, должна ли частная конечная точка иметь динамический или статический IP-адрес. Выберите Далее.
6. На вкладке "Теги" при необходимости настройте теги ресурсов. Выберите Далее.
7. Нажмите кнопку создания.

Примечание.

Если при попытке выбрать целевой вложенный ресурс на вкладке "Ресурс " создания частной конечной точки отсутствует ресурс общедоступной или частной IP-конфигурации, убедитесь, что прослушиватель активно использует уважаемую ip-конфигурацию внешнего интерфейса. Интерфейсные IP-конфигурации без связанного прослушивателя не будут отображаться в качестве целевого подресурса.

Примечание.

Если вы подготавливаете частную конечную точку из другого клиента, вам потребуется использовать идентификатор ресурса Шлюз приложений Azure и имя конфигурации внешнего IP-адреса в качестве целевого подресурса. Например, если у меня есть частный IP-адрес, связанный с Шлюз приложений, и имя, указанное в конфигурации внешнего IP-адреса портала для частного IP-адреса privateFrontendIp, целевое значение подресурсов будет: PrivateFrontendIp.

Примечание.

Если необходимо переместить частную конечную точку в другую подписку, необходимо сначала удалить существующее подключение частной конечной точки между Приватный канал и частной конечной точкой. После завершения этого необходимо повторно создать подключение к частной конечной точке в новой подписке, чтобы установить подключение между Приватный канал и частной конечной точкой.

Azure PowerShell

Чтобы настроить приватный канал на существующем Шлюз приложений с помощью Azure PowerShell, используйте следующие команды:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Ниже приведен список всех ссылок Azure PowerShell для Приватный канал конфигурации в Шлюз приложений:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Azure CLI

Чтобы настроить приватный канал на существующем Шлюз приложений с помощью Azure CLI, используйте следующие команды:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

Список всех ссылок Azure CLI для конфигурации Приватный канал в Шлюз приложений доступен здесь: Azure CLI — Приватный канал

Следующие шаги

• Узнайте о Приватный канал Azure: что такое Приватный канал Azure.