Konfigurace služby Private Link pro službu Azure Application Gateway

Služba Private Link služby Application Gateway umožňuje propojit úlohy přes privátní připojení, které se přebírají napříč virtuálními sítěmi a předplatnými. Další informace najdete v tématu Private Link služby Application Gateway.

Možnosti konfigurace

Službu Private Link služby Application Gateway je možné nakonfigurovat prostřednictvím několika možností, jako je azure portal, Azure PowerShell a Azure CLI, ale není omezený.

Azure Portal

Definování podsítě pro konfiguraci služby Private Link

Pro konfiguraci IP adresy privátního propojení se vyžaduje podsíť Private Link, která se liší od podsítě služby Application Gateway. Private Link musí používat podsíť, která neobsahuje žádné služby Application Gateway. Určení velikosti podsítě určuje počet připojení požadovaných pro vaše nasazení. Každá IP adresa přidělená této podsíti zajišťuje 64 K souběžných připojení TCP, která je možné navázat prostřednictvím služby Private Link v jednom bodu v čase. Přidělením dalších IP adres povolíte více připojení přes Private Link. Příklad: n * 64K; kde n je počet zřízených IP adres.

Poznámka:

Maximální počet IP adres na konfiguraci privátního propojení je osm. Podporuje se pouze dynamické přidělování.

Pokud chcete vytvořit novou podsíť, proveďte následující kroky:

Přidání, změna nebo odstranění podsítě virtuální sítě

Konfigurace Private Linku

Konfigurace služby Private Link definuje infrastrukturu používanou službou Application Gateway k povolení připojení z privátních koncových bodů. Při vytváření konfigurace služby Private Link se ujistěte, že naslouchací proces aktivně využívá respektovanou konfiguraci front-endové IP adresy. Provedením následujících kroků vytvořte konfiguraci služby Private Link:

1. Přejděte na web Azure Portal.

2. Vyhledejte a vyberte Application Gateway.

3. Vyberte název aplikační brány, kterou chcete povolit privátní propojení.

4. Výběr možnosti Private Link

5. Nakonfigurujte následující položky:

   • Název: Název konfigurace privátního propojení.
   • Podsíť privátního propojení: IP adresy podsítě by se měly využívat.
   • Konfigurace front-endové IP adresy: IP adresa front-endu, do které má privátní propojení směrovat provoz do služby Application Gateway.
   • Nastavení privátní IP adresy: Zadejte aspoň jednu IP adresu.

6. Vyberte Přidat.

7. V okně vlastností služby Application Gateway získejte ID prostředku a poznamenejte si ho, pokud nastavujete privátní koncový bod v jiném tenantovi Microsoft Entra.

Konfigurace privátního koncového bodu

Privátní koncový bod je síťové rozhraní, které používá privátní IP adresu z virtuální sítě obsahující klienty, kteří se chtějí připojit k vaší službě Application Gateway. Každý klient používá privátní IP adresu privátního koncového bodu k tunelování provozu do služby Application Gateway. Pokud chcete vytvořit privátní koncový bod, proveďte následující kroky:

1. Vyberte kartu Připojení privátních koncových bodů.
2. Vyberte Vytvořit.
3. Na kartě Základy nakonfigurujte skupinu prostředků, název a oblast pro privátní koncový bod. Vyberte Další.
4. Na kartě Prostředek vyberte Další.
5. Na kartě Virtuální síť nakonfigurujte virtuální síť a podsíť, ve které by se mělo zřídit síťové rozhraní privátního koncového bodu. Nakonfigurujte, jestli má privátní koncový bod mít dynamickou nebo statickou IP adresu. Vyberte Další.
6. Na kartě Značky volitelně nakonfigurujte značky prostředků. Vyberte Další.
7. Vyberte Vytvořit.

Poznámka:

Pokud při pokusu o výběr cílového dílčího prostředku na kartě Prostředek vytvoření privátního koncového bodu chybí prostředek konfigurace veřejné nebo privátní IP adresy, ujistěte se, že naslouchací proces aktivně využívá respektovanou konfiguraci IP adresy front-endu. Konfigurace front-endových IP adres bez přidruženého naslouchacího procesu se nezobrazí jako cílový dílčí prostředek.

Poznámka:

Pokud zřizujete privátní koncový bod z jiného tenanta, budete muset jako cílový dílčí prostředek využít ID prostředku brány Aplikace Azure a název konfigurace front-endové IP adresy. Pokud bych měl například privátní IP adresu přidruženou ke službě Application Gateway a název uvedený v konfiguraci front-endové IP adresy portálu pro privátní IP adresu je PrivateFrontendIp, hodnota cílového dílčího prostředku by byla: PrivateFrontendIp.

Poznámka:

Pokud potřebujete přesunout privátní koncový bod do jiného předplatného, musíte nejprve odstranit stávající připojení privátního koncového bodu mezi privátním propojením a privátním koncovým bodem. Po dokončení je potřeba znovu vytvořit nové připojení privátního koncového bodu v novém předplatném, abyste vytvořili připojení mezi private linkem a privátním koncovým bodem.

Azure PowerShell

Pokud chcete nakonfigurovat private link na existující službě Application Gateway přes Azure PowerShell, použijte následující příkazy:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Následuje seznam všech odkazů Azure PowerShellu pro konfiguraci služby Private Link ve službě Application Gateway:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Azure CLI

Pokud chcete nakonfigurovat private link na existující službě Application Gateway přes Azure CLI, použijte následující příkazy:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

Seznam všech odkazů na Azure CLI pro konfiguraci služby Private Link ve službě Application Gateway najdete tady: Azure CLI CLI – Private Link

Další kroky

• Další informace o službě Azure Private Link: Co je Azure Private Link.