Konfigurieren von Azure Application Gateway Private Link

Application Gateway Private Link ermöglicht es Ihnen, Ihre Workloads über eine private Verbindung über VNets und Abonnements hinweg zu verbinden. Weitere Informationen finden Sie unter Application Gateway Private Link.

Konfigurationsoptionen

Application Gateway Private Link kann über mehrere Optionen wie das Azure-Portal, Azure PowerShell und die Azure CLI konfiguriert werden.

Azure-Portal

Definieren eines Subnetzes für die Private Link-Konfiguration

Zum Aktivieren der Private Link-Konfiguration ist ein Subnetz, das sich vom Application Gateway-Subnetz unterscheidet, für die IP-Konfiguration für private Verbindungen erforderlich. Private Link muss ein Subnetz verwenden, das keine Application Gateway-Instanzen enthält. Die Subnetzdimensionierung wird durch die Anzahl der Verbindungen bestimmt, die für Ihre Bereitstellung erforderlich sind. Jede IP-Adresse, die diesem Subnetz zugeordnet ist, stellt 64.000 gleichzeitige TCP-Verbindungen sicher, die über Private Link zu einem einzelnen Zeitpunkt eingerichtet werden können. Weisen Sie weitere IP-Adressen zu, um mehr Verbindungen über Private Link zu ermöglichen. Zum Beispiel: n * 64K; wobei n die Anzahl der bereitgestellten IP-Adressen darstellt.

Hinweis

Die maximale Anzahl von IP-Adressen pro Konfiguration für private Verknüpfungen beträgt acht. Nur dynamische Zuteilung wird unterstützt.

Hinweis

Der Name des Anwendungsgateways und der name der privaten Verknüpfung dürfen maximal 70 Zeichen lang sein. Um Bereitstellungsfehler aufgrund von Namenslängeneinschränkungen zu vermeiden, stellen Sie sicher, dass sowohl der Name des Anwendungsgateways als auch der Konfigurationsname für private Verknüpfungen ausreichend kurz gehalten werden.

Führen Sie die folgenden Schritte aus, um ein neues Subnetz zu erstellen:

Hinzufügen, Ändern oder Löschen von Subnetzen virtueller Netzwerke

Konfigurieren von Private Link

Die Konfiguration für private Verbindungen definiert die Infrastruktur, die von Application Gateway verwendet wird, um Verbindungen von privaten Endpunkten zu ermöglichen. Stellen Sie beim Erstellen der Private-Link-Konfiguration sicher, dass ein Listener aktiv die ausgewählte Frontend-IP-Konfiguration verwendet. Führen Sie die folgenden Schritte aus, um die Konfiguration für private Verknüpfungen zu erstellen:

1. Navigieren Sie zum Azure-Portal.

2. Suchen und wählen Sie Anwendungsgateways aus.

3. Wählen Sie den Namen des Anwendungsgateways aus, für das Sie eine private Verbindung aktivieren möchten.

4. Wählen Sie dann "Privater Link " aus, und wählen Sie dann +Hinzufügen aus.

5. Konfigurieren Sie die folgenden Elemente:

   • Name: Der Name der Konfiguration für private Verbindungen.
   • Subnetz der privaten Verbindung: Das Subnetz, aus dem IP-Adressen genutzt werden sollten.
   • Front-End-IP-Konfiguration: Die Front-End-IP-Adresse, an die die private Verbindung Datenverkehr an Application Gateway weiterleiten soll.
   • Einstellungen für private IP-Adressen: Geben Sie mindestens eine IP-Adresse an.

6. Wählen Sie Hinzufügen aus.

7. Rufen Sie in den Einstellungen Ihres Anwendungsgateways die Ressourcen-ID ab und notieren Sie sie. Dies ist erforderlich, wenn Sie einen privaten Endpunkt innerhalb eines anderen Microsoft Entra-Mandanten einrichten.

Konfigurieren des privaten Endpunkts

Ein privater Endpunkt ist eine Netzwerkschnittstelle, die eine private IP-Adresse aus dem virtuellen Netzwerk verwendet, die Clients enthält, die eine Verbindung mit Application Gateway herstellen möchten. Jeder der Clients verwendet die private IP-Adresse des privaten Endpunkts, um den Datenverkehr an Application Gateway zu tunneln. Führen Sie die folgenden Schritte aus, um einen privaten Endpunkt zu erstellen:

1. Wählen Sie die Registerkarte Verbindungen mit privatem Endpunkt aus.
2. Wählen Sie + Privater Endpunkt aus.
3. Konfigurieren Sie auf der Registerkarte Grundlagen eine Ressourcengruppe, einen Namen und eine Region für den privaten Endpunkt. Wählen Sie Weiter: Ressource > aus.
4. Wählen Sie auf der Registerkarte " Ressource " die Option "Weiter: Virtuelles Netzwerk >" aus.
5. Konfigurieren Sie auf der Registerkarte Virtuelles Netzwerk ein virtuelles Netzwerk und ein Subnetz, in dem die Netzwerkschnittstelle des privaten Endpunkts bereitgestellt werden soll. Wählen Sie Weiter: DNS> aus.
6. Konfigurieren Sie auf der Registerkarte Tags optional Ressourcentags. Wählen Sie Weiter: Tags> aus.
7. Wählen Sie Weiter: Überprüfen und erstellen> und dann Erstellen aus.

Hinweis

Wenn die öffentliche oder private IP-Konfigurationsressource fehlt, wenn Sie versuchen, eine Zielunterressource auf der Registerkarte Ressource der Erstellung privater Endpunkte auszuwählen, stellen Sie sicher, dass ein Listener die respektierte Front-End-IP-Konfiguration aktiv verwendet. Front-End-IP-Konfigurationen ohne zugeordnete Listener werden nicht als Zielunterressource angezeigt.

Hinweis

Wenn Sie einen privaten Endpunkt aus einem anderen Mandanten bereitstellen, müssen Sie die Ressourcen-ID von Azure Application Gateway und den Namen der Front-End-IP-Konfiguration als Zielunterressource verwenden. Wenn beispielsweise eine private IP-Adresse der Application Gateway-Instanz zugeordnet war und der Name in der Front-End-IP-Konfiguration des Portals für die private IP PrivateFrontendIp lautet, wäre der Unterressourcenwert des Ziels PrivateFrontendIp.

Hinweis

Wenn Sie einen privaten Endpunkt in ein anderes Abonnement verschieben müssen, müssen Sie zuerst die vorhandene Verbindung mit privatem Endpunkt zwischen Private Link und dem privaten Endpunkt löschen. Nachdem dies abgeschlossen ist, müssen Sie im neuen Abonnement eine neue Verbindung mit privatem Endpunkt erstellen, um eine Verbindung zwischen Private Link und dem privaten Endpunkt herzustellen.

Azure PowerShell

Um Private Link für eine vorhandene Application Gateway-Instanz über Azure PowerShell zu konfigurieren, verwenden Sie die folgenden Befehle:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Es folgt eine Liste aller Azure PowerShell-Verweise für die Private Link-Konfiguration für Application Gateway:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Azure CLI

Um Private Link für eine vorhandene Application Gateway-Instanz über die Azure CLI zu konfigurieren, verwenden Sie die folgenden Befehle:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

Eine Liste aller Azure CLI-Verweise für die Private Link-Konfiguration für Application Gateway ist hier verfügbar: Azure CLI – Private Link

Nächste Schritte

• Erfahren Sie mehr über Azure Private Link: Was ist Azure Private Link?.