Application Gateway – Configurer Private Link
Aujourd’hui, vous pouvez déployer vos charges de travail critiques en toute sécurité derrière Application Gateway, en obtenant la flexibilité des fonctionnalités d’équilibrage de charge de couche 7. L’accès aux charges de travail back-end est possible de deux manières :
- Adresse IP publique : vos charges de travail sont accessibles sur Internet.
- Adresse IP privée : vos charges de travail sont accessibles en privé via votre réseau virtuel/réseaux connectés
Private Link pour Application Gateway vous permet de connecter des charges de travail via une connexion privée couvrant les réseaux virtuels et les abonnements. Une fois configuré, un point de terminaison privé est placé dans le sous-réseau d'un réseau virtuel défini, fournissant une adresse IP privée aux clients cherchant à communiquer avec la passerelle. Pour obtenir la liste d’autres services PaaS qui prennent en charge Private Link fonctionnalités, consultez Qu’est-ce que Azure Private Link.
Fonctionnalités et capacités
Private Link vous permet d’étendre la connectivité privée à Application Gateway via un point de terminaison privé dans les scénarios suivants :
- Réseau virtuel dans la même région ou différente de Application Gateway
- Réseau virtuel dans le même abonnement ou différent de Application Gateway
- Réseau virtuel dans le même abonnement ou dans un abonnement différent et dans le même ou un locataire Microsoft Entra différent d'Application Gateway
Vous pouvez également choisir de bloquer l’accès public entrant (Internet) à Application Gateway et d’autoriser l’accès uniquement via des points de terminaison privés. Le trafic de gestion entrante doit toujours être autorisé à Application Gateway. Pour plus d’informations, consultez Configuration de l’infrastructure Application Gateway
Toutes les fonctionnalités prises en charge par Application Gateway sont prises en charge lors de l’accès via un point de terminaison privé, notamment la prise en charge d’AGIC.
Composants Private Link
Quatre composants sont requis pour implémenter Private Link avec Application Gateway :
Configuration Application Gateway Private Link
Une configuration de liaison privée peut être associée à une adresse IP frontale d’Application Gateway, qui est ensuite utilisée pour établir une connexion à l’aide d’un point de terminaison privé. S’il n’y a aucune association avec une adresse IP frontale d’Application Gateway, la fonctionnalité Private Link n’est pas activée.
Adresse IP front-end Application Gateway
Adresse IP publique ou privée où la configuration Application Gateway Private Link doit être associée pour activer les fonctionnalités Private Link.
Point de terminaison privé
Ressource réseau Azure qui alloue une adresse IP privée dans votre espace d’adressage de réseau virtuel. Il est utilisé pour se connecter à Application Gateway via l'adresse IP privée, similaire à de nombreux autres services Azure qui fournissent un accès par liaison privée ; par exemple, Stockage et KeyVault.
Connexion de point de terminaison privé
Une connexion sur Application Gateway provient de points de terminaison privés. Vous pouvez approuver automatiquement, approuver manuellement ou rejeter les connexions pour accorder ou refuser l'accès.
Limites
- L’API version 2020-03-01 ou ultérieure doit être utilisée pour configurer les configurations Private Link.
- La méthode d’allocation IP statique dans l’objet Configuration Private Link n’est pas prise en charge.
- Le sous-réseau utilisé pour PrivateLinkConfiguration ne peut pas être le même que le sous-réseau Application Gateway.
- La configuration Private link pour Application Gateway n’expose pas la propriété « Alias » et doit être référencée via l’URI de ressource.
- La création d’un point de terminaison privé ne crée pas d’enregistrement ou de zone DNS *.privatelink. Tous les enregistrements DNS doivent être entrés dans des zones existantes utilisées pour votre Application Gateway.
- Azure Front Door et Application Gateway ne prennent pas en charge le chaînage via Private Link.
- La configuration de Private Link pour Application Gateway a un délai d’inactivité d’environ 5 minutes (300 secondes). Pour éviter d'atteindre cette limite, les applications qui se connectent via des points de terminaison privés à Application Gateway doivent utiliser des intervalles de maintien TCP inférieurs à 300 secondes.