Application Gateway Private Link
Idag kan du distribuera dina kritiska arbetsbelastningar på ett säkert sätt bakom Application Gateway, vilket ger flexibiliteten i layer 7-belastningsutjämningsfunktioner. Åtkomst till serverdelsarbetsbelastningarna är möjlig på två sätt:
- Offentlig IP-adress – dina arbetsbelastningar är tillgängliga via Internet.
- Privat IP-adress – dina arbetsbelastningar är tillgängliga privat via ditt virtuella nätverk/anslutna nätverk
Med Private Link för Application Gateway kan du ansluta arbetsbelastningar via en privat anslutning som sträcker sig över virtuella nätverk och prenumerationer. När den konfigureras placeras en privat slutpunkt i ett definierat virtuellt nätverks undernät, vilket ger en privat IP-adress för klienter som vill kommunicera med gatewayen. En lista över andra PaaS-tjänster som stöder Private Link-funktioner finns i Vad är Azure Private Link.
Funktioner och kapaciteter
Med Private Link kan du utöka den privata anslutningen till Application Gateway via en privat slutpunkt i följande scenarier:
- VNet i samma eller annan region än Application Gateway
- VNet i samma eller en annan prenumeration än Application Gateway
- VNet i samma eller annan prenumeration och samma eller annan Microsoft Entra-klient från Application Gateway
Du kan också välja att blockera inkommande offentlig (Internet) åtkomst till Application Gateway och endast tillåta åtkomst via privata slutpunkter. Inkommande hanteringstrafik måste fortfarande tillåtas till programgatewayen. Mer information finns i Konfiguration av Application Gateway-infrastruktur
Alla funktioner som stöds av Application Gateway stöds när de nås via en privat slutpunkt, inklusive stöd för AGIC.
Private Link-komponenter
Fyra komponenter krävs för att implementera Private Link med Application Gateway:
Private Link-konfiguration för Application Gateway
En konfiguration av en privat länk kan associeras med en Application Gateway-klientdels-IP-adress, som sedan används för att upprätta en anslutning med hjälp av en privat slutpunkt. Om det inte finns någon association till en Application Gateway-klientdels-IP-adress är funktionen Private Link inte aktiverad.
Ip-adress för Application Gateway-klientdelen
Den offentliga eller privata IP-adress där Application Gateway Private Link-konfigurationen måste associeras för att aktivera private link-funktionerna.
Privat slutpunkt
En Azure-nätverksresurs som allokerar en privat IP-adress i ditt VNet-adressutrymme. Den används för att ansluta till Application Gateway via den privata IP-adressen som liknar många andra Azure-tjänster som ger åtkomst till privata länkar. till exempel Storage och KeyVault.
Privat slutpunkt Anslut ion
En anslutning på Application Gateway som har sitt ursprung i privata slutpunkter. Du kan automatiskt godkänna, godkänna eller avvisa anslutningar för att bevilja eller neka åtkomst.
Begränsningar
- API-version 2020-03-01 eller senare bör användas för att konfigurera Private Link-konfigurationer.
- Statisk IP-allokeringsmetod i private link-konfigurationsobjektet stöds inte.
- Undernätet som används för PrivateLinkConfiguration kan inte vara samma som Application Gateway-undernätet.
- Konfiguration av privat länk för Application Gateway exponerar inte egenskapen "Alias" och måste refereras via resurs-URI.
- Skapande av privat slutpunkt skapar inte en *.privatelink DNS-post eller zon. Alla DNS-poster ska anges i befintliga zoner som används för din Application Gateway.
- Azure Front Door och Application Gateway stöder inte länkning via Private Link.
- Private Link Configuration för Application Gateway har en timeout på ~5 minuter (300 sekunder). För att undvika att nå den här gränsen måste program som ansluter via privata slutpunkter till Application Gateway använda TCP keepalive-intervall på mindre än 300 sekunder.