Private Link en Application Gateway

  • Artículo

En la actualidad, puede implementar las cargas de trabajo críticas de forma segura detrás de Application Gateway y obtener la flexibilidad de las características de equilibrio de carga de nivel 7. El acceso a las cargas de trabajo de back-end es posible de dos maneras:

  • Dirección IP pública: las cargas de trabajo son accesibles por Internet.
  • Dirección IP privada: las cargas de trabajo son accesibles de forma privada a través de la red virtual o las redes conectadas.

Private Link en Application Gateway permite conectar cargas de trabajo sobre una conexión privada que abarca redes virtuales y suscripciones. Cuando se configura, un punto de conexión privado se coloca en la subred de una red virtual definida, lo que proporciona una dirección IP privada para los clientes que buscan comunicarse con la puerta de enlace. Para obtener una lista de otros servicios de PaaS que admiten la funcionalidad Private Link, consulte ¿Qué es Azure Private Link?.

Diagram showing Application Gateway Private Link

Características y funcionalidades

Private Link permite ampliar la conectividad privada a Application Gateway mediante un punto de conexión privado en los escenarios siguientes:

  • Red virtual en la misma región de Application Gateway o en otra
  • Red virtual en la misma suscripción de Application Gateway o en otra
  • La red virtual en la misma suscripción u otra, y el mismo u otro inquilino de Microsoft Entra de Application Gateway

También puede optar por bloquear el acceso público entrante (Internet) a Application Gateway y solo permitirlo mediante puntos de conexión privados. Todavía es necesario permitir el tráfico de administración entrante a Application Gateway. Para más información, vea Configuración de la infraestructura de Application Gateway.

Todas las características admitidas por Application Gateway se admiten cuando se accede mediante un punto de conexión privado, incluida la compatibilidad con AGIC.

Se necesitan cuatro componentes para implementar Private Link con Application Gateway:

  • Configuración de Private Link en Application Gateway

    Una configuración de Private Link se puede asociar a una dirección IP de front-end de Application Gateway, que se puede usar para establecer una conexión mediante un punto de conexión privado. Si no hay ninguna asociación con una dirección IP de front-end de Application Gateway, la característica de Private Link no se habilitará.

  • Dirección IP de front-end de Application Gateway

    La dirección IP pública o privada donde se debe asociar la configuración de Private Link en Application Gateway para habilitar las funcionalidades de Private Link.

  • Punto de conexión privado

    Un recurso de red de Azure que asigna una dirección IP privada en el espacio de direcciones de la red virtual. Se usa para conectarse a Application Gateway mediante la dirección IP privada similar a muchos otros servicios de Azure, como Storage, KeyVault, etc., que proporcionan acceso de vínculo privado.

  • Conexión de punto de conexión privado

    Una conexión en Application Gateway originada por puntos de conexión privados. Puede aprobar conexiones automáticamente o manualmente, así como rechazarlas para conceder o denegar el acceso.

Limitaciones

  • Se debe usar la versión de API 2020-03-01 o posterior para establecer configuraciones de Private Link.
  • No se admite el método de asignación de IP estática en el objeto de configuración de Private Link.
  • La subred usada para PrivateLinkConfiguration no puede ser la misma que la subred de Application Gateway.
  • La configuración de Private Link para Application Gateway no expone la propiedad "Alias" y se debe hacer referencia a ella mediante el identificador URI del recurso.
  • La creación del punto de conexión privado no crea ningún registro o zona DNS *.privatelink. Todos los registros DNS se deben especificar en las zonas existentes que se usan para Application Gateway.
  • Ni Azure Front Door ni Application Gateway admiten el encadenamiento mediante Private Link.
  • La configuración de Private Link para Application Gateway tiene un tiempo de espera de inactividad de aproximadamente 5 minutos (300 segundos). Para evitar alcanzar este límite, las aplicaciones que se conectan a través de puntos de conexión privados a Application Gateway deben usar intervalos de mantenimiento TCP de menos de 300 segundos.

Pasos siguientes