Mengonfigurasi Private Link Azure Application Gateway

Artikel
02/21/2024

Azure Application Gateway Private Link memungkinkan Anda menyambungkan beban kerja melalui koneksi privat yang mencakup seluruh VNet dan langganan. Untuk informasi selengkapnya, lihat Application Gateway Private Link.

Diagram showing Application Gateway Private Link

Opsi konfigurasi

Azure Application Gateway Private Link dapat dikonfigurasi melalui beberapa opsi, seperti, tetapi tidak terbatas pada, portal Azure, Azure PowerShell, dan Azure CLI.

Menentukan subnet untuk Konfigurasi Private Link

Untuk mengaktifkan Konfigurasi Private Link, subnet, berbeda dari subnet Application Gateway, diperlukan untuk konfigurasi IP tautan privat. Private Link harus menggunakan subnet yang tidak berisi Application Gateway apa pun. Ukuran subnet ditentukan oleh jumlah koneksi yang diperlukan untuk penyebaran Anda. Setiap alamat IP yang dialokasikan untuk subnet ini memastikan koneksi TCP bersamaan 64 K yang dapat dibuat melalui Private Link pada satu titik waktu. Alokasikan lebih banyak alamat IP untuk memungkinkan lebih banyak koneksi melalui Private Link. Misalnya: n * 64K; di mana n adalah jumlah alamat IP yang disediakan.

Catatan

Jumlah maksimum alamat IP per konfigurasi tautan privat adalah delapan. Hanya alokasi dinamis yang didukung.

Selesaikan langkah-langkah berikut untuk membuat subnet baru:

Menambahkan, mengubah, atau menghapus subnet jaringan virtual

Konfigurasikan Private Link

Konfigurasi Tautan privat menentukan infrastruktur yang digunakan oleh Application Gateway untuk mengaktifkan koneksi dari Titik Akhir Privat. Saat membuat konfigurasi Private Link, pastikan listener secara aktif menggunakan konfigurasi IP frontend yang dihormati. Selesaikan langkah-langkah berikut untuk membuat konfigurasi Private Link:

Masuk ke portal Azure
Cari dan pilih Application Gateways.
Pilih nama gateway aplikasi yang ingin Anda aktifkan tautan privatnya.
Pilih Tautan privat
Konfigurasikan item berikut:
- Nama: Nama konfigurasi tautan privat.
- Subnet tautan privat: Alamat IP subnet harus digunakan.
- Konfigurasi IP Frontend: Alamat IP frontend yang harus diteruskan oleh tautan privat ke lalu lintas di Application Gateway.
- Pengaturan alamat IP privat: tentukan setidaknya satu alamat IP
Pilih Tambahkan.
Dalam bilah properti Application Gateways Anda, dapatkan dan catat ID Sumber Daya, ini diperlukan jika Anda menyiapkan Titik Akhir Privat dalam penyewa Microsoft Entra yang berbeda.

Mengonfigurasi Titik Akhir Privat

Titik akhir privat adalah antarmuka jaringan yang menggunakan alamat IP privat dari jaringan virtual yang berisi klien yang ingin terhubung ke Application Gateway Anda. Masing-masing klien menggunakan alamat IP privat Titik Akhir Privat untuk mengalihkan lalu lintas ke Application Gateway. Untuk membuat titik akhir privat, selesaikan langkah-langkah berikut:

Pilih tab Koneksi titik akhir privat.
Pilih Buat.
Pada tab Dasar , konfigurasikan grup sumber daya, nama, dan wilayah untuk Titik Akhir Privat. Pilih Selanjutnya.
Pada tab Sumber Daya , pilih Berikutnya.
Pada tab Virtual Network , konfigurasikan jaringan virtual dan subnet tempat antarmuka jaringan titik akhir privat harus disediakan. Konfigurasikan apakah titik akhir privat harus memiliki alamat IP dinamis atau statis. Pilih Selanjutnya.
Pada tab Tag , konfigurasikan tag sumber daya secara opsional. Pilih Selanjutnya.
Pilih Buat.

Catatan

Jika sumber daya konfigurasi IP publik atau privat hilang saat mencoba memilih sub-sumber daya Target pada tab Sumber Daya pembuatan titik akhir privat, pastikan pendengar secara aktif menggunakan konfigurasi IP frontend yang dihormati. Konfigurasi IP frontend tanpa listener terkait tidak akan ditampilkan sebagai sub-sumber daya Target.

Catatan

Jika Anda menyediakan Titik Akhir Privat dari dalam penyewa lain, Anda harus menggunakan ID Sumber Daya Azure Application Gateway dan Nama konfigurasi IP Frontend sebagai sub-sumber daya target. Misalnya, jika saya memiliki IP privat yang terkait dengan Application Gateway dan Nama yang tercantum dalam konfigurasi IP Frontend portal untuk IP privat adalah PrivateFrontendIp, nilai sub-sumber daya target adalah: PrivateFrontendIp.

Catatan

Jika Anda harus memindahkan Titik Akhir Privat ke langganan lain, Anda harus terlebih dahulu menghapus koneksi Titik Akhir Privat yang ada antara Private Link dan Titik Akhir Privat. Setelah ini selesai, Anda harus membuat ulang koneksi Titik Akhir Privat baru di langganan baru untuk membuat koneksi antara Private Link dan Titik Akhir Privat.

Untuk mengonfigurasi Tautan privat pada Application Gateway yang sudah ada melalui Azure PowerShell, gunakan perintah berikut:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Berikut ini adalah daftar semua referensi Azure PowerShell untuk Konfigurasi Private Link di Application Gateway:

Untuk mengonfigurasi tautan Privat pada Application Gateway yang sudah ada melalui Azure CLI, gunakan perintah berikut:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

Daftar semua referensi Azure CLI untuk Konfigurasi Private Link di Application Gateway tersedia di sini: Azure CLI CLI - Private Link

Langkah berikutnya

Pelajari tentang Azure Private Link: Apa itu Azure Private Link.

Bagikan melalui

Mengonfigurasi Private Link Azure Application Gateway

Opsi konfigurasi

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: