Application Gateway Private Link
Tegenwoordig kunt u uw kritieke workloads veilig achter Application Gateway implementeren, waardoor u de flexibiliteit van laag 7-taakverdelingsfuncties krijgt. Toegang tot de back-endworkloads is op twee manieren mogelijk:
- Openbaar IP-adres: uw workloads zijn toegankelijk via internet.
- Privé-IP-adres: uw workloads zijn privé toegankelijk via uw virtuele netwerk/verbonden netwerken
Met Private Link voor Application Gateway kunt u workloads verbinden via een privéverbinding tussen VNets en abonnementen. Wanneer dit is geconfigureerd, wordt een privé-eindpunt in het subnet van een gedefinieerd virtueel netwerk geplaatst, met een privé-IP-adres voor clients die willen communiceren met de gateway. Zie Wat is Azure Private Link voor een lijst met andere PaaS-services die ondersteuning bieden voor Private Link-functionaliteit.
Functies en mogelijkheden
Met Private Link kunt u privéconnectiviteit uitbreiden naar Application Gateway via een privé-eindpunt in de volgende scenario's:
- VNet in dezelfde of een andere regio dan Application Gateway
- VNet in hetzelfde of een ander abonnement dan Application Gateway
- VNet in hetzelfde of een ander abonnement en dezelfde of een andere Microsoft Entra-tenant van Application Gateway
U kunt er ook voor kiezen om binnenkomende openbare toegang (internet) tot Application Gateway te blokkeren en alleen toegang toe te staan via privé-eindpunten. Binnenkomend beheerverkeer moet nog steeds worden toegestaan voor application gateway. Zie De configuratie van de Application Gateway-infrastructuur voor meer informatie
Alle functies die door Application Gateway worden ondersteund, worden ondersteund wanneer ze worden geopend via een privé-eindpunt, inclusief ondersteuning voor AGIC.
Private Link-onderdelen
Er zijn vier onderdelen vereist voor het implementeren van Private Link met Application Gateway:
Private Link-configuratie van Application Gateway
Een Private Link-configuratie kan worden gekoppeld aan een Front-end-IP-adres van Application Gateway, dat vervolgens wordt gebruikt om een verbinding tot stand te brengen met behulp van een privé-eindpunt. Als er geen koppeling is naar een front-end-IP-adres van Application Gateway, is de private link-functie niet ingeschakeld.
Front-end-IP-adres van Application Gateway
Het openbare of privé-IP-adres waaraan de Private Link-configuratie van Application Gateway moet worden gekoppeld om de mogelijkheden van Private Link in te schakelen.
Privé-eindpunt
Een Azure-netwerkresource die een privé-IP-adres toewijst in uw VNet-adresruimte. Het wordt gebruikt om verbinding te maken met de Application Gateway via het privé-IP-adres dat vergelijkbaar is met veel andere Azure-services die toegang bieden tot private link; Bijvoorbeeld Opslag en KeyVault.
Privé-eindpuntverbinding
Een verbinding op Application Gateway is afkomstig van privé-eindpunten. U kunt verbindingen automatisch goedkeuren, handmatig goedkeuren of weigeren om toegang te verlenen of te weigeren.
Beperkingen
- API-versie 2020-03-01 of hoger moet worden gebruikt voor het configureren van Private Link-configuraties.
- De statische IP-toewijzingsmethode in het Private Link-configuratieobject wordt niet ondersteund.
- Het subnet dat wordt gebruikt voor PrivateLinkConfiguration, kan niet hetzelfde zijn als het Application Gateway-subnet.
- De private link-configuratie voor Application Gateway maakt de eigenschap Alias niet beschikbaar en moet worden verwezen via de resource-URI.
- Het maken van een privé-eindpunt maakt geen *.privatelink DNS-record of -zone. Alle DNS-records moeten worden ingevoerd in bestaande zones die worden gebruikt voor uw Application Gateway.
- Azure Front Door en Application Gateway bieden geen ondersteuning voor ketens via Private Link.
- Private Link-configuratie voor Application Gateway heeft een time-out voor inactiviteit van ongeveer 5 minuten (300 seconden). Om te voorkomen dat deze limiet wordt bereikt, moeten toepassingen die verbinding maken via privé-eindpunten met Application Gateway TCP-keepalive-intervallen van minder dan 300 seconden gebruiken.