Azure Application Gateway Private Link configureren

Met Application Gateway Private Link kunt u uw workloads verbinden via een privéverbinding tussen VNets en abonnementen. Zie Application Gateway Private Link voor meer informatie.

Configuratieopties

Application Gateway Private Link kan worden geconfigureerd via meerdere opties, zoals, maar niet beperkt tot, Azure Portal, Azure PowerShell en Azure CLI.

Azure-portal

Een subnet definiëren voor Private Link-configuratie

Als u Private Link-configuratie wilt inschakelen, is een subnet, anders dan het Application Gateway-subnet, vereist voor de IP-configuratie van de privékoppeling. Private Link moet een subnet gebruiken dat geen Application Gateways bevat. De grootte van het subnet wordt bepaald door het aantal verbindingen dat is vereist voor uw implementatie. Elk IP-adres dat aan dit subnet is toegewezen, zorgt ervoor dat gelijktijdige TCP-verbindingen van 64 K via Private Link op één moment tot stand kunnen worden gebracht. Wijs meer IP-adressen toe om meer verbindingen toe te staan via Private Link. Bijvoorbeeld: n * 64K; waar n is het aantal IP-adressen dat wordt ingericht.

Notitie

Het maximum aantal IP-adressen per private link-configuratie is acht. Alleen dynamische toewijzing wordt ondersteund.

Voer de volgende stappen uit om een nieuw subnet te maken:

Een subnet van een virtueel netwerk maken, wijzigen of verwijderen

Private Link configureren

De private link-configuratie definieert de infrastructuur die door Application Gateway wordt gebruikt om verbindingen vanuit privé-eindpunten in te schakelen. Tijdens het maken van de Private Link-configuratie zorgt u ervoor dat een listener actief gebruikmaakt van de gerespecteerde front-end-IP-configuratie. Voer de volgende stappen uit om de Private Link-configuratie te maken:

1. Ga naar de Azure-portal

2. Zoek en selecteer Application Gateways.

3. Selecteer de naam van de toepassingsgateway die u private link wilt inschakelen.

4. Privékoppeling selecteren

5. Configureer de volgende items:

   • Naam: De naam van de configuratie van de private link.
   • Private Link-subnet: De IP-adressen van het subnet moeten worden gebruikt.
   • Front-end-IP-configuratie: het front-end-IP-adres waarnaar privékoppeling verkeer moet doorsturen op Application Gateway.
   • Instellingen voor privé-IP-adressen: geef ten minste één IP-adres op

6. Selecteer Toevoegen.

7. In de blade Eigenschappen van Application Gateways kunt u de resource-id ophalen en noteren. Dit is vereist als u een privé-eindpunt instelt in een andere Microsoft Entra-tenant.

Privé-eindpunt configureren

Een privé-eindpunt is een netwerkinterface die gebruikmaakt van een privé-IP-adres van het virtuele netwerk met clients die verbinding willen maken met uw Application Gateway. Elk van de clients gebruikt het privé-IP-adres van het privé-eindpunt om verkeer naar de Application Gateway te tunnelen. Voer de volgende stappen uit om een privé-eindpunt te maken:

1. Selecteer het tabblad Verbindingen met privé-eindpunt.
2. Selecteer Maken.
3. Configureer op het tabblad Basisbeginselen een resourcegroep, naam en regio voor het privé-eindpunt. Selecteer Volgende.
4. Selecteer Volgende op het tabblad Resource.
5. Configureer op het tabblad Virtueel netwerk een virtueel netwerk en subnet waarin de interface van het privé-eindpuntnetwerk moet worden ingericht. Configureer of het privé-eindpunt een dynamisch of statisch IP-adres moet hebben. Selecteer Volgende.
6. Configureer eventueel resourcetags op het tabblad Tags . Selecteer Next.
7. Selecteer Maken.

Notitie

Als de openbare of persoonlijke IP-configuratieresource ontbreekt bij het selecteren van een doelsubresource op het tabblad Resource van het maken van een privé-eindpunt, moet u ervoor zorgen dat een listener actief gebruikmaakt van de gerespecteerde front-end-IP-configuratie. Front-end-IP-configuraties zonder een gekoppelde listener worden niet weergegeven als een doelsubresource.

Notitie

Als u een privé-eindpunt inricht vanuit een andere tenant, moet u de Azure-toepassing gatewayresource-id en de naam van de front-end-IP-configuratie gebruiken als de doelsubresource. Als ik bijvoorbeeld een privé-IP aan de toepassingsgateway had gekoppeld en de naam die wordt vermeld in de front-end-IP-configuratie van de portal voor het privé-IP-adres PrivateFrontendIp, is de doelsubresourcewaarde: PrivateFrontendIp.

Notitie

Als u een privé-eindpunt naar een ander abonnement moet verplaatsen, moet u eerst de bestaande privé-eindpuntverbinding tussen de Private Link en het privé-eindpunt verwijderen. Zodra dit is voltooid, moet u een nieuwe privé-eindpuntverbinding maken in het nieuwe abonnement om verbinding te maken tussen Private Link en Privé-eindpunt.

Azure PowerShell

Gebruik de volgende opdrachten om Private Link te configureren op een bestaande toepassingsgateway via Azure PowerShell:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Hier volgt een lijst met alle Azure PowerShell-verwijzingen voor De configuratie van Private Link in Application Gateway:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Azure-CLI

Gebruik de volgende opdrachten om Private Link te configureren op een bestaande toepassingsgateway via Azure CLI:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

Hier vindt u een lijst met alle Azure CLI-verwijzingen voor Private Link-configuratie in Application Gateway: Azure CLI - Private Link

Volgende stappen

• Meer informatie over Azure Private Link: Wat is Azure Private Link?