Configurer Azure Application Gateway Private Link

Azure Application Gateway Private Link vous permet d’établir des connexions privées sécurisées à votre instance Application Gateway à partir de charges de travail couvrant des réseaux virtuels et des abonnements. Cette fonctionnalité fournit une connectivité privée sans exposer le trafic vers l’Internet public. Pour plus d’informations, consultez Application Gateway Private Link.

Options de configuration

Vous pouvez configurer Application Gateway Private Link à l’aide de plusieurs méthodes :

• Portail Azure
• Azure PowerShell
• Azure CLI (Interface de ligne de commande Azure)

Conditions préalables

Avant de configurer Private Link, vérifiez que vous disposez des options suivantes :

• Une passerelle Application Gateway existante
• Un réseau virtuel avec un sous-réseau dédié pour Private Link (distinct du sous-réseau Application Gateway)
• Autorisations appropriées pour créer et configurer des ressources Private Link

Considérations relatives au sous-réseau pour la configuration de Private Link

Pour activer la configuration private Link, vous devez disposer d’un sous-réseau dédié distinct du sous-réseau Application Gateway. Ce sous-réseau est utilisé exclusivement pour les configurations IP Private Link et ne peut pas contenir d’instances Application Gateway.

• Chaque adresse IP allouée à ce sous-réseau prend en charge jusqu’à 65 536 connexions TCP simultanées via Private Link
• Pour calculer les adresses IP requises : n × 65,536 connexions, où n se trouve le nombre d’adresses IP approvisionnées
• Nombre maximal de huit adresses IP par configuration private Link
• Seule l’allocation d’adresses IP dynamiques est prise en charge
• Le sous-réseau doit avoir des stratégies de réseau de service Private Link désactivées

Important

La longueur combinée du nom d’Application Gateway et du nom de configuration Private Link ne doit pas dépasser 70 caractères pour éviter les échecs de déploiement.

Pour créer un sous-réseau dédié pour Private Link, consultez Ajouter, modifier ou supprimer un sous-réseau de réseau virtuel.

Remarque

Si votre application cliente se connecte à App Gateway via une adresse IP privée, nécessite un délai d’inactivité supérieur > à 4 minutes et que l’application cliente n’envoie pas de paquets TCP keep-alive, contactez-le appgw-idle-timeout@microsoft.com pour demander l’initiation de keep-alive à partir d’Application Gateway.

portail Azure

Désactiver les stratégies réseau sur le sous-réseau Private Link

Pour autoriser la connectivité Private Link, vous devez désactiver les stratégies réseau du service Private Link sur le sous-réseau désigné pour les configurations IP Private Link.

Pour désactiver les stratégies réseau, procédez comme suit :

1. Accédez au portail Azure .
2. Recherchez et sélectionnez Réseaux virtuels.
3. Sélectionnez le réseau virtuel contenant le sous-réseau Private Link.
4. Dans le volet de navigation gauche, sélectionnez Sous-réseaux.
5. Sélectionnez le sous-réseau désigné pour Private Link.
6. Sous Stratégies réseau du service Liaison privée, sélectionnez Désactivé.
7. Sélectionnez Enregistrer pour appliquer les modifications.
   1. Patientez quelques minutes pour que les modifications soient prises en compte.
8. Vérifiez que le paramètre Stratégies réseau du service de liaison privée est désormais désactivé.

Configurer une liaison privée

La configuration private Link définit l’infrastructure qui active les connexions à partir de points de terminaison privés à votre instance Application Gateway. Avant de créer la configuration Private Link, vérifiez qu’un écouteur est configuré activement pour utiliser la configuration IP frontale cible.

Procédez comme suit pour créer la configuration private Link :

1. Recherchez et sélectionnez Application Gateways.
2. Sélectionnez votre instance Application Gateway.
3. Dans le volet de navigation gauche, sélectionnez Lien privé, puis sélectionnez + Ajouter.
4. Configurez les paramètres suivants :
   • Nom : entrez un nom pour la configuration private Link
   • Sous-réseau de liaison privée : sélectionnez le sous-réseau dédié pour les adresses IP Private Link
   • Configuration d’adresse IP frontale : sélectionnez la configuration IP frontale vers laquelle Private Link doit transférer le trafic vers
   • Paramètres d’adresse IP privée : configurer au moins une adresse IP
5. Sélectionnez Ajouter pour créer la configuration.
6. À partir de vos paramètres Application Gateway, copiez et enregistrez l’ID de ressource. Cet identificateur est requis lors de la configuration de points de terminaison privés à partir de différents locataires Microsoft Entra.

Configurer un point de terminaison privé

Un point de terminaison privé est une interface réseau qui utilise une adresse IP privée de votre réseau virtuel pour se connecter en toute sécurité à Azure Application Gateway. Les clients utilisent l’adresse IP privée du point de terminaison privé pour établir des connexions à Application Gateway via un tunnel sécurisé.

Pour créer un point de terminaison privé, procédez comme suit :

1. Dans le portail Application Gateway, sélectionnez l’onglet Connexions de point de terminaison privé .
2. Sélectionnez + Point de terminaison privé.
3. Sous l’onglet Informations de base :
   • Configurer le groupe de ressources, le nom et la région pour le point de terminaison privé
   • Sélectionner Suivant : Ressource >
4. Sous l’onglet Ressource :
   • Vérifier les paramètres de ressource cible
   • Sélectionner Suivant : Réseau >virtuel
5. Sous l’onglet Réseau virtuel :
   • Sélectionnez le réseau virtuel et le sous-réseau où l’interface réseau du point de terminaison privé sera créée
   • Sélectionnez Suivant : DNS >
6. Sous l’onglet DNS :
   • Configurer les paramètres DNS en fonction des besoins
   • Sélectionner Suivant : Balises >
7. Sous l’onglet Balises :
   • Si vous le souhaitez, ajoutez des balises de ressource
   • Sélectionner Suivant : Vérifier + créer >
8. Passez en revue la configuration et sélectionnez Créer.

Important

Si la ressource de configuration IP publique ou privée est manquante lors de la tentative de sélection d’une sous-ressource cible sous l’onglet Ressource de la création d’un point de terminaison privé, vérifiez qu’un écouteur utilise activement la configuration IP frontale respectée. Les configurations IP frontales sans écouteur associé ne peuvent pas être affichées en tant que sous-ressource cible.

Remarque

Lors de l’approvisionnement d’un point de terminaison privé à partir d’un autre locataire Microsoft Entra, vous devez utiliser l’ID de ressource Azure Application Gateway et spécifier le nom de configuration IP frontend comme sous-ressource cible. Par exemple, si votre configuration IP privée est nommée PrivateFrontendIp dans le portail, utilisez PrivateFrontendIp comme valeur de sous-ressource cible.

Azure PowerShell

Configurer Private Link à l’aide de PowerShell

Utilisez les commandes PowerShell suivantes pour configurer Private Link sur une passerelle Application Gateway existante :

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Informations de référence sur les applets de commande PowerShell

Les applets de commande Azure PowerShell suivantes sont disponibles pour gérer les configurations de liaison privée Application Gateway :

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Azure CLI

Configurer Private Link à l’aide d’Azure CLI

Utilisez les commandes Azure CLI suivantes pour configurer Private Link sur une passerelle Application Gateway existante :

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Remarque

Pour déplacer un point de terminaison privé vers un autre abonnement, vous devez supprimer la connexion existante entre la liaison privée et le point de terminaison privé. Après la suppression, créez une connexion de point de terminaison privé dans l’abonnement cible pour rétablir la connectivité.

Avertissement

La configuration de liaison privée entraîne momentanément une interruption du trafic (moins de 1 minute) lorsqu’elle est activée ou désactivée. Les modifications sont recommandées pour être effectuées pendant une fenêtre de maintenance ou une période de faible trafic. Pendant ce temps, vous pouvez voir les délais d’expiration de connexion ou les codes d’état HTTP 4XX retournés lors de la requête. Ajouter/Supprimer/Approuver/Rejeter des points de terminaison privés n’entraîne pas d’interruption du trafic.

Informations de référence sur Azure CLI

Pour obtenir une référence complète des commandes Azure CLI pour la configuration d’Application Gateway Private Link, consultez Azure CLI - Application Gateway Private Link.

Étapes suivantes

Pour en savoir plus sur Azure Private Link et les services connexes :

• Qu’est-ce que Liaison privée Azure ?
• Vue d’ensemble d’Application Gateway Private Link
• Vue d’ensemble du service Private Link
• Vue d’ensemble des points de terminaison privés