Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сегодня вы можете безопасно развертывать критически важные рабочие нагрузки за шлюзом приложений, получая гибкость функций балансировки нагрузки на уровне 7. Доступ к внутренним рабочим нагрузкам возможен двумя способами:
- Общедоступный IP-адрес — ваши задачи доступны в Интернете.
- Частный IP-адрес — ваши нагрузки доступны приватно через виртуальную сеть или подключенные сети.
Частный канал Private Link для шлюза приложений позволяет подключать нагрузки посредством частного подключения через виртуальные сети и подписки. При настройке частная конечная точка помещается в определенную подсеть виртуальной сети, предоставляя частный IP-адрес для клиентов, желающих взаимодействовать с шлюзом. Список других служб PaaS, поддерживающих функции Приватный канал, см. в разделе "Что такое Приватный канал Azure".
Функции и возможности
Приватный канал позволяет расширить частное подключение к Шлюз приложений через частную конечную точку в следующих сценариях:
- Виртуальная сеть (VNet) в том же или другом регионе от шлюза приложений
- Виртуальная сеть в той же или другой подписке от шлюза приложений
- Виртуальная сеть в той же или другой подписке и одном или другом тенанте Microsoft Entra из Шлюза приложений.
Вы также можете заблокировать доступ к Шлюз приложений для входящего общедоступного доступа (Интернет) и разрешить доступ только через частные конечные точки. Входящий трафик управления по-прежнему должен быть разрешен шлюзу приложений. Для получения дополнительной информации см. Конфигурация инфраструктуры шлюза приложений
Все функции, поддерживаемые Application Gateway, поддерживаются при доступе через частную конечную точку, включая поддержку AGIC.
Замечание
Если клиентское приложение подключается к шлюзу приложений через частный IP-адрес, требуется время ожидания простоя, превышающее > 4 минуты, и клиентское приложение не отправляет пакеты для поддержания активности TCP, обратитесь >agprivateip-keepalive@microsoft.com к запросу запуска поддержания активности из шлюза приложений.
компоненты Private Link
Для реализации Private Link с Шлюзом приложений требуются четыре компонента.
Конфигурация частной ссылки шлюза приложений
Конфигурация Private Link может быть связана с Frontend IP-адресом Шлюза приложений, который затем используется для установления подключения с помощью Private Endpoint. При отсутствии связи с IP-адресом интерфейса фронтального шлюза приложений функция Private Link не включена.
IP-адрес фронтальной части шлюза приложений
Общедоступный или частный IP-адрес, к которому необходимо привязать конфигурацию шлюза приложений для частного канала, чтобы включить возможности частного канала.
Частная конечная точка
Сетевой ресурс Azure, который выделяет частный IP-адрес в адресном пространстве виртуальной сети. Он используется для подключения к Шлюз приложений через частный IP-адрес, аналогичный многим другим службам Azure, предоставляющим доступ по приватным ссылкам, например storage и KeyVault.
Подключение к частной конечной точке
Подключение к Шлюзу приложений, созданное приватными конечными точками. Вы можете автоматически утвердить, вручную утвердить или отклонить подключения для предоставления или запрета доступа.
Pricing
| Компонент | Поставщик услуг/приватное соединение (владелец ресурса шлюза приложений) | Потребитель или частная конечная точка |
|---|---|---|
| Служба частной ссылки | Плата не взимается | Неприменимо |
| Приватная конечная точка | Неприменимо | Выставление счетов через Azure Private Link |
| Обработка данных (двунаправленная) | Плата не взимается | Выставление счетов через Azure Private Link |
| Передача данных | Выставление счетов по пропускной способности | Выставление счетов по пропускной способности |
Ограничения
- API версии 2020-03-01 или более поздней следует использовать для настройки конфигураций Private Link.
- Метод выделения статических IP-адресов в объекте конфигурации Приватный канал не поддерживается.
- Подсеть, используемая для PrivateLinkConfiguration, не может совпадать с подсетью Шлюз приложений.
- Конфигурация частного соединения для шлюза приложений не раскрывает свойство "Alias" и должна ссылаться с помощью URI ресурса.
- Создание частной конечной точки не создает запись DNS или зону *.privatelink. Все записи DNS должны быть введены на существующих зонах, используемых для шлюза приложений.
- Конфигурация приватного канала для шлюза приложений имеет время простоя около 5 минут (300 секунд). Чтобы избежать этого ограничения, приложения, подключающиеся через частные конечные точки к шлюзу приложений, должны использовать интервалы поддержания соединения TCP менее 300 секунд.