Link Privado do Gateway de Aplicativo

  • Artigo

Hoje, você pode implantar suas cargas críticas de trabalho com segurança atrás do Gateway de Aplicativo, aproveitando a flexibilidade dos recursos de balanceamento de carga da Camada 7. As cargas de trabalho de back-end podem ser acessadas de duas maneiras:

  • Endereço IP público – suas cargas de trabalho são acessíveis pela Internet.
  • Endereço IP privado – suas cargas de trabalho podem ser acessadas de forma privada por meio da rede virtual/redes conectadas

O Link Privado para Gateway de Aplicativo permite que você conecte cargas de trabalho por meio de uma conexão privada que abrange VNets e assinaturas. Quando configurado, um ponto de extremidade privado é colocado na sub-rede de uma rede virtual definida, fornecendo um endereço de IP privado para clientes que procuram se comunicar com o gateway. Para obter uma lista de outros serviços de PaaS que dão suporte à funcionalidade Link Privado, consulte O que é Link Privado do Azure.

Diagram showing Application Gateway Private Link

Características e recursos

O Link Privado permite estender a conectividade privada para Gateway de Aplicativo por meio de um ponto de extremidade privado nos seguintes cenários:

  • VNet na mesma região ou região diferente do Gateway de Aplicativo
  • VNet na mesma assinatura ou em uma assinatura diferente do Gateway de Aplicativo
  • VNet na mesma assinatura ou assinatura diferente e o mesmo locatário do Microsoft Entra ou diferente do Gateway de Aplicativo

Você também pode optar por bloquear o acesso público de entrada (Internet) ao Gateway de Aplicativo e permitir o acesso somente por meio de pontos de extremidade privados. O tráfego de gerenciamento de entrada ainda precisa ter permissão para o gateway de aplicativo. Para obter mais informações, consulte Configuração da infraestrutura do Gateway de Aplicativo

Todos os recursos compatíveis com Gateway de Aplicativo têm suporte quando acessados por meio de um ponto de extremidade privado, incluindo suporte para AGIC.

Quatro componentes são necessários para implementar o Link Privado com Gateway de Aplicativo:

  • Configurações de Link Privado do Gateway de Aplicativo

    Uma configuração de link privado pode ser associada a um endereço de IP de front-end do Gateway de Aplicativo, que é usado para estabelecer uma conexão usando um ponto de extremidade privado. Se não houver associação a um endereço de IP de front-end do Gateway de Aplicativo, o recurso Link Privado não estará habilitado.

  • Endereço IP de front-end do Gateway de Aplicativo

    O endereço IP público ou privado em que a Configuração de Link Privado do Gateway de Aplicativo precisa ser associada para habilitar os recursos de Link Privado.

  • Ponto de extremidade privado

    Um recurso de rede do Azure que aloca um endereço IP privado no espaço de endereço da VNet. Ele é usado para se conectar ao Gateway de Aplicativo pelo endereço de IP privado semelhante a muitos outros Serviços do Azure que fornecem acesso de link privado; por exemplo, Armazenamento e KeyVault.

  • Conexão de ponto de extremidade privado

    Uma conexão em Gateway de Aplicativo originada por pontos de extremidade privados. Você pode aprovar automaticamente, aprovar manualmente ou rejeitar conexões para conceder ou negar acesso.

Limitações

  • A versão 2020-03-01 ou posterior da API deve ser usada para definir as configurações do Link Privado.
  • Não há suporte para o método de alocação de IP estático no objeto Configuração de Link Privado.
  • A sub-rede usada para PrivateLinkConfiguration não pode ser igual à sub-rede do Gateway de Aplicativo.
  • A configuração de link privado do Gateway de Aplicativo não expõe a propriedade "Alias" e precisa ser referenciada por meio do URI do recurso.
  • A criação do ponto de extremidade privado não cria um registro DNS *.privatelink ou uma zona. Todos os registros DNS devem ser inseridos em zonas existentes usadas para sua Gateway de Aplicativo.
  • O Azure Front Door e o Gateway de Aplicativo não dão suporte ao encadeamento pelo Link Privado.
  • A Configuração do Link Privado para Gateway de Aplicativo tem um tempo limite ocioso de aproximadamente 5 minutos (300 segundos). Para evitar atingir esse limite, os aplicativos que se conectam pelos pontos de extremidade privados ao Gateway de Aplicativo devem usar intervalos keepalive TCP de menos de 300 segundos.

Próximas etapas