Konfigurera Azure Application Gateway Private Link
Artikel
Med Application Gateway Private Link kan du ansluta dina arbetsbelastningar via en privat anslutning som sträcker sig över virtuella nätverk och prenumerationer. Mer information finns i Private Link för Application Gateway.
Konfigurationsalternativ
Application Gateway Private Link kan konfigureras via flera alternativ, till exempel, men inte begränsat till, Azure-portalen, Azure PowerShell och Azure CLI.
Definiera ett undernät för Private Link-konfiguration
För att aktivera Private Link Configuration krävs ett undernät som skiljer sig från Application Gateway-undernätet för IP-konfigurationen för privat länk. Private Link måste använda ett undernät som inte innehåller några Application Gateways. Storleken på undernätet bestäms av antalet anslutningar som krävs för distributionen. Varje IP-adress som allokeras till det här undernätet säkerställer 64 K samtidiga TCP-anslutningar som kan upprättas via Private Link vid enstaka tidpunkt. Allokera fler IP-adresser för att tillåta fler anslutningar via Private Link. Till exempel: n * 64K; där n är antalet IP-adresser som etableras.
Kommentar
Det maximala antalet IP-adresser per privat länkkonfiguration är åtta. Endast dynamisk allokering stöds.
Slutför följande steg för att skapa ett nytt undernät:
Konfigurationen private link definierar infrastrukturen som används av Application Gateway för att aktivera anslutningar från privata slutpunkter. När du skapar Private Link-konfigurationen ser du till att en lyssnare aktivt använder den respekterade IP-konfigurationen för klientdelen. Slutför följande steg för att skapa Private Link-konfigurationen:
Välj namnet på den programgateway som du vill aktivera privat länk.
Välj Privat länk
Konfigurera följande objekt:
Namn: Namnet på konfigurationen av den privata länken.
Privat länkundernät: IP-adresserna för undernätet ska användas från.
Ip-konfiguration för klientdelen: Klientdelens IP-adress som den privata länken ska vidarebefordra trafik till på Application Gateway.
Inställningar för privat IP-adress: ange minst en IP-adress
Markera Lägga till.
På bladet Application Gateways-egenskaper hämtar och antecknar du resurs-ID:t. Detta krävs om du konfigurerar en privat slutpunkt i en annan Microsoft Entra-klientorganisation.
Konfigurera privat slutpunkt
En privat slutpunkt är ett nätverksgränssnitt som använder en privat IP-adress från det virtuella nätverket som innehåller klienter som vill ansluta till din Application Gateway. Var och en av klienterna använder den privata IP-adressen för den privata slutpunkten för att tunneltrafik till Application Gateway. Utför följande steg för att skapa en privat slutpunkt:
Välj fliken Privata slutpunktsanslutningar.
Välj Skapa.
På fliken Grundläggande konfigurerar du en resursgrupp, ett namn och en region för den privata slutpunkten. Välj Nästa.
På fliken Resurs väljer du Nästa.
På fliken Virtuellt nätverk konfigurerar du ett virtuellt nätverk och undernät där nätverksgränssnittet för den privata slutpunkten ska etableras. Konfigurera om den privata slutpunkten ska ha en dynamisk eller statisk IP-adress. Välj Nästa.
På fliken Taggar kan du välja att konfigurera resurstaggar. Välj Nästa.
Välj Skapa.
Kommentar
Om den offentliga eller privata IP-konfigurationsresursen saknas när du försöker välja en underresurs för mål på fliken Resurs för skapande av privat slutpunkt kontrollerar du att en lyssnare aktivt använder den respekterade IP-konfigurationen för klientdelen. Ip-konfigurationer för klientdelen utan en associerad lyssnare visas inte som en underresurs för mål.
Kommentar
Om du etablerar en privat slutpunkt inifrån en annan klientorganisation måste du använda resurs-ID:t för Azure Application Gateway och namnet på klientdels-IP-konfigurationen som målunderresurs. Om jag till exempel har en privat IP-adress som är associerad med Application Gateway och namnet som anges i IP-konfigurationen för klientdelen för portalen för den privata IP-adressen är PrivateFrontendIp, skulle målets underresursvärde vara: PrivateFrontendIp.
Kommentar
Om du måste flytta en privat slutpunkt till en annan prenumeration måste du först ta bort den befintliga privata slutpunktsanslutningen mellan Private Link och Private Endpoint. När detta är klart måste du återskapa en ny privat slutpunktsanslutning i den nya prenumerationen för att upprätta en anslutning mellan Private Link och privat slutpunkt.
Om du vill konfigurera en privat länk på en befintlig Application Gateway via Azure PowerShell använder du följande kommandon:
# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
Name = 'AppGW-PL-PSH'
ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net
($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"
$vnet | Set-AzVirtualNetwork
# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name
# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
-Name "ipConfig01" `
-Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
-Primary
# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
-ApplicationGateway $agw `
-Name "privateLinkConfig01" `
-IpConfiguration $PrivateLinkIpConfiguration
# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration
# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
Name = 'AppGW-PL-Endpoint-PSH-VNET'
ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net
($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"
$vnet_plendpoint | Set-AzVirtualNetwork
# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"
## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection
Följande är en lista över alla Azure PowerShell-referenser för Private Link-konfiguration på Application Gateway:
Om du vill konfigurera en privat länk på en befintlig Application Gateway via Azure CLI använder du följande kommandon:
# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
--name AppGW-PL-Subnet \
--vnet-name AppGW-PL-CLI-VNET \
--resource-group AppGW-PL-CLI-RG \
--disable-private-link-service-network-policies true
# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
--frontend-ip appGwPublicFrontendIp \
--name privateLinkConfig01 \
--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Get Private Link resource ID
az network application-gateway private-link list \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
--name MySubnet \
--vnet-name AppGW-PL-Endpoint-CLI-VNET \
--resource-group AppGW-PL-Endpoint-CLI-RG \
--disable-private-endpoint-network-policies true
# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
--name AppGWPrivateEndpoint \
--resource-group AppGW-PL-Endpoint-CLI-RG \
--vnet-name AppGW-PL-Endpoint-CLI-VNET \
--subnet MySubnet \
--group-id appGwPublicFrontendIp \
--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
--connection-name AppGW-PL-Connection
En lista över alla Azure CLI-referenser för Private Link-konfiguration på Application Gateway finns här: Azure CLI CLI – Private Link
