Med Azure Application Gateway Private Link kan du upprätta säkra, privata anslutningar till din Application Gateway från arbetsbelastningar som sträcker sig över virtuella nätverk (VNet) och prenumerationer. Den här funktionen ger privata anslutningar utan att exponera trafik till det offentliga Internet. Mer information finns i Private Link för Application Gateway.
Konfigurationsalternativ
Du kan konfigurera Application Gateway Private Link med flera metoder:
- Azure-portalen
- Azure PowerShell
- Azure CLI (kommandoradsgränssnittet för Azure)
Förutsättningar
Kontrollera att du har följande innan du konfigurerar Private Link:
- En befintlig applikationsgateway
- Ett virtuellt nätverk med ett dedikerat undernät för Private Link (separat från Application Gateway-undernätet)
- Lämpliga behörigheter för att skapa och konfigurera Private Link-resurser
Definiera ett undernät för Private Link-konfiguration
Om du vill aktivera Private Link-konfiguration måste du skapa ett dedikerat undernät som är separat från Application Gateway-undernätet. Det här undernätet används uteslutande för IP-konfigurationer för Private Link och får inte innehålla några Application Gateway-instanser.
Storleksöverväganden för undernät:
- Varje IP-adress som allokeras till det här undernätet stöder upp till 65 536 samtidiga TCP-anslutningar via Private Link
- Så här beräknar du nödvändiga IP-adresser:
n × 65,536 anslutningar, där n är antalet IP-adresser som har etablerats
- Maximalt åtta IP-adresser per Private Link-konfiguration
- Endast dynamisk IP-adressallokering stöds
Viktigt!
Den kombinerade längden på Application Gateway-namnet och Private Link-konfigurationsnamnet får inte överstiga 70 tecken för att undvika distributionsfel.
Information om hur du skapar ett dedikerat undernät för Private Link finns i Lägga till, ändra eller ta bort ett virtuellt nätverksundernät.
Private Link-konfigurationen definierar infrastrukturen som aktiverar anslutningar från privata slutpunkter till din Application Gateway. Innan du skapar Private Link-konfigurationen kontrollerar du att en lyssnare är aktivt konfigurerad för att använda IP-konfigurationen för målklientdelen.
Följ dessa steg för att skapa Private Link-konfigurationen:
- Gå till Azure-portalen.
- Sök efter och välj Application Gateways.
- Välj din Application Gateway-instans.
- I det vänstra navigeringsfönstret väljer du Privat länk och sedan + Lägg till.
- Konfigurera följande inställningar:
-
Namn: Ange ett namn för Private Link-konfigurationen
-
Undernät för privat länk: Välj det dedikerade undernätet för IP-adresser för Private Link
-
Ip-konfiguration för klientdelen: Välj den IP-konfiguration för klientdelen som Private Link ska vidarebefordra trafik till
-
Inställningar för privat IP-adress: Konfigurera minst en IP-adress
- Välj Lägg till för att skapa konfigurationen.
- Kopiera och spara resurs-ID från dina Application Gateway-inställningar. Den här identifieraren krävs när du konfigurerar privata slutpunkter från olika Microsoft Entra-klienter.
En privat slutpunkt är ett nätverksgränssnitt som använder en privat IP-adress från ditt virtuella nätverk för att ansluta säkert till Azure Application Gateway. Klienter använder den privata slutpunktens privata IP-adress för att upprätta anslutningar till Application Gateway via en säker tunnel.
Följ dessa steg för att skapa en privat slutpunkt:
- I Application Gateway-portalen väljer du fliken Privata slutpunktsanslutningar .
- Välj + Privat slutpunkt.
- På fliken Grundläggande :
- Konfigurera resursgruppen, namnet och regionen för den privata slutpunkten
- Välj Nästa: Resurs >
- På fliken Resurs :
- Verifiera målresursinställningarna
- Välj Nästa: Virtuellt nätverk >
- På fliken Virtuellt nätverk :
- Välj det virtuella nätverk och undernät där nätverksgränssnittet för privat slutpunkt ska skapas
- Välj Nästa: DNS >
- På fliken DNS :
- Konfigurera DNS-inställningar efter behov
- Välj Nästa: Taggar >
- På fliken Taggar :
- Du kan också lägga till resurstaggar
- Välj Nästa: Granska + skapa >
- Granska konfigurationen och välj Skapa.
Viktigt!
Om den offentliga eller privata IP-konfigurationsresursen saknas när du försöker välja en Målunderresurs på fliken Resurs vid skapandet av en privat slutpunkt, säkerställ att en listener aktivt använder den relevanta IP-konfigurationen för frontend. Frontend-IP-konfigurationer utan en associerad lyssnare kan inte visas som en målunderresurs.
Kommentar
När du etablerar en privat slutpunkt från en annan Microsoft Entra-klient måste du använda resurs-ID:t för Azure Application Gateway och ange ip-konfigurationsnamnet för klientdelen som målunderresurs.
Om din privata IP-konfiguration till exempel namnges PrivateFrontendIp i portalen använder PrivateFrontendIp du som målvärde för underresursen.
Försiktighet
När du flyttar en privat slutpunkt till en annan prenumeration måste du först ta bort den befintliga anslutningen mellan Private Link och Private Endpoint. Efter borttagningen skapar du en ny privat slutpunktsanslutning i målprenumerationen för att återupprätta anslutningen.
Förutsättningar
Kontrollera att du har följande innan du använder PowerShell-kommandon:
- Azure PowerShell-modul installerad och konfigurerad
- Lämpliga behörigheter för att ändra Application Gateway och nätverksresurser
- En befintlig Application Gateway- och virtuell nätverkstjänst (VNet)
Använd följande PowerShell-kommandon för att konfigurera Private Link på en befintlig Application Gateway:
# Disable Private Link Service Network Policies
# https://free.blessedness.top/azure/private-link/disable-private-endpoint-network-policy
$net =@{
Name = 'AppGW-PL-PSH'
ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net
($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"
# Apply the network policy changes
$vnet | Set-AzVirtualNetwork
# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name
# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
-Name "ipConfig01" `
-Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
-Primary
# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
-ApplicationGateway $agw `
-Name "privateLinkConfig01" `
-IpConfiguration $PrivateLinkIpConfiguration
# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set
-AzApplicationGatewayFrontendIPConfig
-ApplicationGateway $agw -Name "appGwPublicFrontendIp"
-PublicIPAddressId $agwPip
-PrivateLinkConfigurationId $privateLinkConfiguration
# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw
# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://free.blessedness.top/azure/private-link/disable-private-endpoint-network-policy
$net =@{
Name = 'AppGW-PL-Endpoint-PSH-VNET'
ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net
($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"
$vnet_plendpoint | Set-AzVirtualNetwork
# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"
## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection
PowerShell-cmdlet-referens
Följande Azure PowerShell-cmdletar är tillgängliga för hantering av Application Gateway Private Link-konfigurationer:
Förutsättningar
Kontrollera att du har följande innan du använder Azure CLI-kommandon:
- Azure CLI installerat och konfigurerat
- Lämpliga behörigheter för att ändra Application Gateway och nätverksresurser
- En befintlig Application Gateway- och virtuell nätverkstjänst (VNet)
Använd följande Azure CLI-kommandon för att konfigurera Private Link på en befintlig Application Gateway:
# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://free.blessedness.top/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
--name AppGW-PL-Subnet \
--vnet-name AppGW-PL-CLI-VNET \
--resource-group AppGW-PL-CLI-RG \
--disable-private-link-service-network-policies true
# List available Frontend IP configurations
az network application-gateway frontend-ip list \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
--frontend-ip appGwPublicFrontendIp \
--name privateLinkConfig01 \
--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Verify Private Link configuration
az network application-gateway private-link list \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
--name MySubnet \
--vnet-name AppGW-PL-Endpoint-CLI-VNET \
--resource-group AppGW-PL-Endpoint-CLI-RG \
--disable-private-endpoint-network-policies true
# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
--name AppGWPrivateEndpoint \
--resource-group AppGW-PL-Endpoint-CLI-RG \
--vnet-name AppGW-PL-Endpoint-CLI-VNET \
--subnet MySubnet \
--group-id appGwPublicFrontendIp \
--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
--connection-name AppGW-PL-Connection
Azure CLI-referens
Omfattande Azure CLI-kommandoreferens för Private Link-konfiguration för Application Gateway finns i Azure CLI – Application Gateway Private Link.
Nästa steg
Mer information om Azure Private Link och relaterade tjänster: