Configurar o Link Privado do Gateway de Aplicativo do Azure

Com o Link Privado do Gateway de Aplicativo, você conecta cargas de trabalho por meio de uma conexão privada que abrange VNets e assinaturas. Para obter mais informações, confira Link Privado do Gateway de Aplicativo.

Opções de configuração

O Link Privado do Gateway de Aplicativo pode ser configurado por meio de várias opções, como portal do Azure, Azure PowerShell, CLI do Azure, entre outras.

Azure portal

Definir uma sub-rede para configuração de Link Privado

Para habilitar configuração de Link Privado, é necessária uma sub-rede, diferente da sub-rede de Gateway de Aplicativo, para a configuração de IP do link privado. O Link Privado deve usar uma sub-rede que não contenha Gateways de Aplicativo. O dimensionamento de sub-rede é determinado pelo número de conexões necessárias para sua implantação. Cada endereço IP alocado para essa sub-rede garante conexões TCP simultâneas de 64 K, que podem ser estabelecidas por meio de Link Privado em um único ponto no tempo. Aloque mais endereços IP para permitir mais conexões por meio de Link Privado. Por exemplo: n * 64K; onde n é o número de endereços IP sendo provisionados.

Observação

O número máximo de endereços IP por configuração de link privado é oito. Há suporte apenas para alocação dinâmica.

Conclua as seguintes etapas para criar uma nova sub-rede:

Adicionar, alterar ou excluir uma sub-rede de rede virtual

Configurar link privado

A configuração de link privado define a infraestrutura usada pelo Gateway de Aplicativo para habilitar conexões pelos pontos de extremidade privados. Ao criar a configuração de Link Privado, verifique se um ouvinte está usando ativamente a configuração de IP de front-end respeitada. Conclua as seguintes etapas para criar a configuração de Link Privado:

1. Vá para o Portal do Azure

2. Pesquise e selecione Gateways de Aplicativo.

3. Selecione o nome do gateway de aplicativo cujo link privado deseja habilitar.

4. Selecione Link privado.

5. Configure estes itens:

   • Nome: o nome da configuração do link privado.
   • Sub-rede do link privado: os endereços IP de sub-rede a serem consumidos.
   • Configuração de IP de front-end: o endereço IP de front-end para o qual o link privado deve encaminhar o tráfego no Gateway de Aplicativo.
   • Configurações de endereço IP privado: especifique pelo menos um endereço IP.

6. Selecione Adicionar.

7. Na folha de propriedades dos Gateways de Aplicativo, obtenha e anote a ID do Recurso, isso será necessário se você estiver configurando um ponto de extremidade privado em um locatário diferente do Microsoft Entra.

Configurar o Ponto de Extremidade Privado

Um ponto de extremidade privado é uma interface de rede que usa um endereço IP privado da rede virtual que contém clientes que desejam se conectar ao seu Gateway de Aplicativo. Cada um dos clientes usa o endereço de IP privado do Ponto de Extremidade Privado para túnel de tráfego para o Gateway de Aplicativo. Para criar um ponto de extremidade privado, conclua estas etapas:

1. Selecione a guia Conexões de ponto de extremidade privado.
2. Selecione Criar.
3. Na guia Noções básicas, configure grupo de recursos, nome e região do ponto de extremidade privado. Selecione Avançar.
4. Na guia Recurso, selecione Avançar.
5. Na guia Rede Virtual, configure a rede virtual e a sub-rede para a qual o adaptador de rede do ponto de extremidade privado deve ser provisionado. Configure se o ponto de extremidade privado deve ter um endereço IP dinâmico ou estático. Selecione Avançar.
6. Na guia Marcas, opcionalmente, configure marcas de recurso. Selecione Avançar.
7. Selecione Criar.

Observação

Se o recurso de configuração de IP público ou privado estiver ausente ao tentar selecionar um Sub-recurso de destino na guia Recurso da criação do ponto de extremidade privado, verifique se um ouvinte está utilizando ativamente a configuração de IP de front-end. As configurações de IP de front-end sem um ouvinte associado não serão mostradas como um Sub-recurso de destino.

Observação

Se você estiver provisionando um Ponto de Extremidade Privado de dentro de outro locatário, precisará utilizar a ID do Recurso de Gateway de Aplicativo do Azure e o Nome da configuração de IP de front-end como o sub-recurso de destino. Por exemplo, se eu tivesse um IP privado associado ao Gateway de Aplicativo e o Nome listado na configuração de IP de front-end do portal para o IP privado fosse PrivateFrontendIp, o valor do sub-recurso de destino seria: PrivateFrontendIp.

Observação

Se você precisar mover um Ponto de extremidade privado para outra assinatura, primeiro deve excluir a conexão do Ponto de extremidade privado existente entre o Link Privado e o Ponto de extremidade privado. Depois que isso for concluído, você precisará recriar uma conexão de Ponto de extremidade privado na nova assinatura para estabelecer a conexão entre o Link Privado e o Ponto de extremidade privado.

PowerShell do Azure

Para configurar o Link privado em um Gateway de Aplicativo existente pelo Azure PowerShell, use os seguintes comandos:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Veja a seguir uma lista de todas as referências do Azure PowerShell para Configuração de Link Privado no Gateway de Aplicativo:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

CLI do Azure

Para configurar o Link privado em um Gateway de Aplicativo existente pela CLI do Azure, use os seguintes comandos:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

Uma lista de todas as referências da CLI do Azure para Configuração de Link Privado no Gateway de Aplicativo está disponível aqui: CLI da CLI do Azure – Link Privado

Próximas etapas

• Saiba mais sobre Link Privado do Azure: O que é Link Privado do Azure?.