Konfigurasi Private Link Azure Application Gateway

Azure Application Gateway Private Link memungkinkan Anda membuat koneksi privat yang aman ke Application Gateway Anda dari beban kerja yang mencakup seluruh jaringan virtual (VNet) dan langganan. Fitur ini menyediakan konektivitas privat tanpa mengekspos lalu lintas ke internet publik. Untuk informasi selengkapnya, lihat Application Gateway Private Link.

Opsi konfigurasi

Anda dapat mengonfigurasi Application Gateway Private Link menggunakan beberapa metode:

• portal Azure
• Azure PowerShell
• Azure CLI (antarmuka baris perintah Azure)

Prasyarat

Sebelum mengonfigurasi Private Link, pastikan Anda memiliki:

• Gerbang Aplikasi yang telah ada
• Jaringan virtual dengan subnet khusus untuk Private Link (terpisah dari subnet Application Gateway)
• Izin yang sesuai untuk membuat dan mengonfigurasi sumber daya Private Link

Pertimbangan subnet untuk konfigurasi Private Link

Untuk mengaktifkan konfigurasi Private Link, Anda harus memiliki subnet khusus yang terpisah dari subnet Application Gateway. Subnet ini digunakan secara eksklusif untuk konfigurasi IP Private Link dan tidak dapat berisi instans Application Gateway apa pun.

• Setiap alamat IP yang dialokasikan untuk subnet ini mendukung hingga 65.536 koneksi TCP bersamaan melalui Private Link
• Untuk menghitung alamat IP yang diperlukan: n × 65,536 koneksi, di mana n adalah jumlah alamat IP yang disediakan
• Maksimum delapan alamat IP per konfigurasi Private Link
• Hanya alokasi alamat IP dinamis yang didukung
• Subnet harus memiliki Kebijakan Jaringan Layanan Private Link yang dinonaktifkan

Penting

Panjang gabungan nama Application Gateway dan nama konfigurasi Private Link tidak boleh melebihi 70 karakter untuk menghindari kegagalan penyebaran.

Untuk membuat subnet khusus untuk Private Link, lihat Menambahkan, mengubah, atau menghapus subnet jaringan virtual.

Catatan

Jika aplikasi klien Anda tersambung ke App Gateway melalui IP privat, memerlukan batas waktu diam lebih dari > 4 menit, dan aplikasi klien tidak mengirim paket TCP tetap aktif, hubungi agprivateip-keepalive@microsoft.com untuk meminta inisiasi tetap aktif dari Application Gateway.

Portal Azure

Menonaktifkan kebijakan jaringan pada subnet Private Link

Untuk mengizinkan konektivitas Private Link, Anda harus menonaktifkan Kebijakan Jaringan Layanan Private Link pada subnet yang ditunjuk untuk konfigurasi IP Private Link.

Saat Anda menggunakan portal untuk membuat instans layanan Private Link, pengaturan ini secara otomatis dinonaktifkan sebagai bagian dari proses pembuatan. Penyebaran menggunakan klien Azure apa pun (PowerShell, Azure CLI, atau templat) memerlukan langkah tambahan untuk mengubah properti ini.

Contoh berikut menjelaskan cara mengaktifkan dan menonaktifkan privateLinkServiceNetworkPolicies jaringan virtual bernama myVNet dengan subnet default yang 10.1.0.0/24 dihosting dalam grup sumber daya bernama myResourceGroup.

PowerShell

Bagian ini menjelaskan cara menonaktifkan kebijakan titik akhir privat subnet dengan menggunakan Azure PowerShell. Dalam kode berikut, ganti default dengan nama subnet virtual Anda.

$subnet = 'default'

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $subnet}).privateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

CLI

Bagian ini menjelaskan cara menonaktifkan kebijakan titik akhir privat subnet dengan menggunakan Azure CLI.

az network vnet subnet update \
    --name default \
    --vnet-name myVNet \
    --resource-group myResourceGroup \
    --disable-private-link-service-network-policies yes

JSON

Bagian ini menjelaskan cara menonaktifkan kebijakan titik akhir privat subnet dengan menggunakan templat Azure Resource Manager.

{ 
    "name": "myVNet", 
    "type": "Microsoft.Network/virtualNetworks", 
    "apiVersion": "2019-04-01", 
    "location": "WestUS", 
    "properties": { 
        "addressSpace": { 
            "addressPrefixes": [ 
                "10.1.0.0/16" 
             ] 
        }, 
        "subnets": [ 
               { 
                 "name": "default", 
                 "properties": { 
                        "addressPrefix": "10.1.0.0/24", 
                        "privateLinkServiceNetworkPolicies": "Disabled" 
                    } 
                } 
        ] 
    } 
} 
 

Konfigurasikan Tautan Pribadi

Konfigurasi Private Link menentukan infrastruktur yang memungkinkan koneksi dari Titik Akhir Privat ke Application Gateway Anda. Sebelum membuat konfigurasi Private Link, pastikan bahwa pendengar dikonfigurasi secara aktif untuk menggunakan konfigurasi IP frontend target.

Ikuti langkah-langkah ini untuk membuat konfigurasi Private Link:

1. Cari dan pilih Application Gateways.
2. Pilih instans Application Gateway Anda.
3. Di panel navigasi kiri, pilih Tautan privat, lalu pilih + Tambahkan.
4. Konfigurasikan pengaturan berikut:
   • Nama: Masukkan nama untuk konfigurasi Private Link
   • Subnet tautan privat: Pilih subnet khusus untuk alamat IP Private Link
   • Konfigurasi IP Frontend: Pilih konfigurasi IP frontend untuk meneruskan lalu lintas ke Private Link.
   • Pengaturan alamat IP privat: Mengonfigurasi setidaknya satu alamat IP
5. Pilih Tambahkan untuk membuat konfigurasi.
6. Dari pengaturan Application Gateway Anda, salin dan simpan ID Sumber Daya. Pengidentifikasi ini diperlukan saat menyiapkan Titik Akhir Privat dari penyewa Microsoft Entra yang berbeda.

Mengonfigurasikan Titik Akhir Privat

Titik Akhir Privat adalah antarmuka jaringan yang menggunakan alamat IP privat dari jaringan virtual Anda untuk terhubung dengan aman ke Azure Application Gateway. Klien menggunakan alamat IP privat Titik Akhir Privat untuk membuat koneksi ke Application Gateway melalui terowongan yang aman.

Untuk membuat Titik Akhir Privat, ikuti langkah-langkah berikut:

1. Di portal Application Gateway, pilih tab Koneksi titik akhir privat .
2. Pilih + Titik akhir privat.
3. Pada tab Dasar:
   • Mengonfigurasi grup sumber daya, nama, dan wilayah untuk Titik Akhir Privat
   • Pilih Berikutnya: Sumber Daya >
4. Pada tab Sumber Daya :
   • Verifikasikan pengaturan sumber daya tujuan
   • Pilih Berikutnya: Virtual Network >
5. Pada tab Virtual Network :
   • Pilih jaringan virtual dan subnet tempat antarmuka jaringan Titik Akhir Privat akan dibuat
   • Pilih Berikutnya: DNS >
6. Pada tab DNS :
   • Mengonfigurasi pengaturan DNS sesuai kebutuhan
   • Pilih Berikutnya: Tag >
7. Pada tab Tag :
   • Secara opsional tambahkan tag sumber daya
   • Pilih Berikutnya: Tinjau + buat >
8. Tinjau konfigurasi dan pilih Buat.

Penting

Jika sumber daya konfigurasi IP publik atau privat hilang saat mencoba memilih sub-sumber daya Target pada tab Sumber Daya pembuatan titik akhir privat, pastikan pendengar secara aktif memanfaatkan konfigurasi IP frontend yang sesuai. Konfigurasi IP frontend tanpa listener terkait tidak dapat ditampilkan sebagai sub-sumber daya Target.

Catatan

Saat menyediakan Endpoint Privat dari penyewa Microsoft Entra yang berbeda, Anda harus menggunakan ID Sumber Daya Azure Application Gateway dan menentukan nama konfigurasi IP frontend sebagai sub-sumber daya target. Misalnya, jika konfigurasi IP privat Anda dinamai PrivateFrontendIp di portal, gunakan PrivateFrontendIp sebagai nilai sub-sumber daya target.

Azure PowerShell

Mengonfigurasi Private Link menggunakan PowerShell

Gunakan perintah PowerShell berikut untuk mengonfigurasi Private Link pada Application Gateway yang sudah ada:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Referensi PowerShell cmdlet

Cmdlet Azure PowerShell berikut ini tersedia untuk mengelola konfigurasi Azure Application Gateway Private Link:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Azure CLI

Mengonfigurasi Private Link menggunakan Azure CLI

Gunakan perintah Azure CLI berikut untuk mengonfigurasi Private Link pada Application Gateway yang sudah ada:

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Catatan

Untuk memindahkan Titik Akhir Privat ke langganan lain, Anda harus menghapus koneksi yang ada antara Private Link dan Titik Akhir Privat. Setelah penghapusan, buat koneksi Titik Akhir Privat baru di langganan target untuk membangun kembali konektivitas.

Perhatian

Konfigurasi tautan privat akan menyebabkan gangguan lalu lintas (kurang dari 1 menit) saat diaktifkan atau dinonaktifkan. Perubahan disarankan untuk dilakukan selama jendela pemeliharaan atau periode lalu lintas rendah. Selama waktu ini, Anda mungkin melihat batas waktu koneksi atau kode status http 4XX yang dikembalikan berdasarkan permintaan. Menambahkan/Menghapus/Menyetujui/Menolak titik akhir privat tidak akan menyebabkan gangguan lalu lintas.

Referensi Azure CLI

Untuk referensi perintah Azure CLI yang komprehensif untuk konfigurasi Azure Gateway Private Link, lihat Azure CLI - Application Gateway Private Link.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang Azure Private Link dan layanan terkait:

• Apa itu Azure Private Link?
• Gambaran Umum Private Link untuk Application Gateway
• Gambaran umum layanan Private Link
• Gambaran umum titik akhir privat