設定 Azure 應用程式閘道的 Private Link

應用程式閘道 Private Link 可讓您透過跨越 VNet 和訂用帳戶的私人連線來將工作負載連線。 如需詳細資訊，請參閱應用程式閘道 Private Link。

設定選項

應用程式閘道 Private Link 可透過多個選項來設定，例如 (但不限於) Azure 入口網站、Azure PowerShell 和 Azure CLI。

Azure 入口網站

定義 Private Link 設定的子網路

若要啟用 Private Link 設定，則需要使用與應用程式閘道子網路不同的子網路來進行私人連結 IP 設定。 Private Link 所使用的子網路不得包含任何應用程式閘道。 子網路大小的調整取決於部署所需的連線數目。 配置給這個子網路的每個 IP 位址，都會確保可以在單一時間點透過 Private Link 建立 64000 個並行的 TCP 連線。 配置更多 IP 位址，舊能透過 Private Link 建立更多連線。 例如：n * 64K；其中 n 是將會佈建的 IP 位址數目。

注意

每個私人連結設定的 IP 位址數目上限為八個。 僅支援動態配置。

請完成下列步驟，以建立新的子網路：

新增、變更或刪除虛擬網路子網路

設定 Private Link

私人連結設定會定義應用程式閘道用來啟用私人端點連線的基礎結構。 建立 Private Link 設定時，請確定接聽程式會主動使用相應的前端 IP 設定。請完成下列步驟，以建立 Private Link 設定：

1. 移至 Azure 入口網站

2. 搜尋並選取 [應用程式閘道]。

3. 選取您想要啟用私人連結的應用程式閘道名稱。

4. 選取 [私人連結]

5. 設定下列項目：

   • 名稱：私人連結設定的名稱。
   • 私人連結子網路：應從中取用的子網路 IP 位址。
   • 前端 IP 設定：私人連結應將流量轉送至應用程式閘道的前端 IP 位址。
   • 私人 IP 位址設定：指定至少一個 IP 位址

6. 選取 [新增]。

7. 如果在不同的 Microsoft Entra 租用戶內設定私人端點，便須在 [應用程式閘道] 屬性刀鋒視窗中，取得並記下 [資源識別碼]。

設定私人端點

私人端點是網路介面，會使用想要連線到應用程式閘道的用戶端所屬虛擬網路中的私人 IP 位址。 每個用戶端都會使用私人端點的私人 IP 位址，透過通道將流量傳送至應用程式閘道。 若要建立私人端點，請完成下列步驟：

1. 選取 [私人端點連線] 索引標籤。
2. 選取 建立。
3. 在 [基本資料] 索引標籤上，設定私人端點的資源群組、名稱和區域。 選取 [下一步]。
4. 在 [資源] 索引標籤上，選取 [下一步]。
5. 在 [虛擬網路] 索引標籤上，設定應作為私人端點網路介面佈建目的地的虛擬網路和子網路。 設定私人端點應該擁有動態 IP 位址還是靜態 IP 位址。 選取 [下一步]。
6. 在 [標籤] 索引標籤上，選擇性地設定資源標籤。 選取 [下一步]。
7. 選取 建立。

注意

如果嘗試在私人端點建立作業的 [資源] 索引標籤上選取 [目標子資源] 時並沒有公用或私人 IP 設定資源，請確定接聽程式有在使用所採用的前端 IP 設定。 沒有相關聯接聽程式的前端 IP 設定將不會顯示為目標子資源。

注意

如果您要從另一個租用戶內佈建私人端點，則必須使用 Azure 應用程式閘道資源識別碼和前端 IP 設定的名稱來作為目標子資源。 例如，如果我有與應用程式閘道相關聯的私人 IP，而且私人 IP 入口網站的前端 IP 設定中所列出的名稱是 PrivateFrontendIp，則目標子資源值會是：PrivateFrontendIp。

注意

若要將私人端點移至另一個訂用帳戶，則必須先刪除 Private Link 與 Private Endpoint 之間現有的私人端點連線。 完成後，您必須在新的訂用帳戶中重新建立新的私人端點連線，以建立 Private Link 與私人端點之間的連線。

Azure PowerShell

若要透過 Azure PowerShell 在現有應用程式閘道上設定私人連結，請使用下列命令：

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

以下參考清單包含應用程式閘道上，有關 Private Link 設定的所有 Azure PowerShell：

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Azure CLI

若要透過 Azure CLI 在現有應用程式閘道上設定私人連結，請使用下列命令：

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

以下參考清單包含應用程式閘道上，有關 Private Link 設定的所有 Azure CLI：Azure CLI - Private Link

下一步

• 了解 Azure Private Link：什麼是 Azure Private Link？