Azure Application Gateway Özel Bağlantı Yapılandırma

Azure Application Gateway Özel Bağlantısı, sanal ağlar (VNet) ve abonelikler arasında yayılan iş yüklerinden Application Gateway'inize güvenli, özel bağlantılar kurmanızı sağlar. Bu özellik, trafiği genel İnternet'e göstermeden özel bağlantı sağlar. Daha fazla bilgi için bkz.: Application Gateway Özel Bağlantı.

Yapılandırma seçenekleri

Application Gateway Özel Bağlantısını birden çok yöntem kullanarak yapılandırabilirsiniz:

• Azure portalı
• Azure PowerShell
• Azure Komut Satırı Arayüzü (Azure CLI)

Önkoşullar

Özel Bağlantı'yı yapılandırmadan önce aşağıdakilere sahip olduğunuzdan emin olun:

• Mevcut bir Uygulama Geçidi
• Özel Bağlantı için ayrılmış alt ağa sahip bir sanal ağ (Application Gateway alt ağından ayrı)
• Özel Bağlantı kaynaklarını oluşturmak ve yapılandırmak için uygun izinler

Özel bağlantı yapılandırması için alt ağ hususları

Özel Bağlantı yapılandırmasını etkinleştirmek için Application Gateway alt ağından ayrı bir ayrılmış alt ağınız olmalıdır. Bu alt ağ yalnızca Özel Bağlantı IP yapılandırmaları için kullanılır ve Application Gateway örneği içeremez.

• Bu alt ağa ayrılan her IP adresi, Özel Bağlantı üzerinden en fazla 65.536 eş zamanlı TCP bağlantısını destekler
• Gerekli IP adreslerini hesaplamak için: n × 65,536 bağlantılar, burada n sağlanan IP adresi sayısıdır
• Özel Bağlantı yapılandırması başına en fazla sekiz IP adresi
• Yalnızca dinamik IP adresi ayırma desteklenir
• Alt ağda Özel Bağlantı Hizmeti Ağ İlkeleri devre dışı bırakılmalıdır

Önemli

Dağıtım hatalarından kaçınmak için Application Gateway adı ve Özel Bağlantı yapılandırma adının birleşik uzunluğu 70 karakteri aşmamalıdır.

Özel Bağlantı için ayrılmış bir alt ağ oluşturmak için bkz. Sanal ağ alt ağı ekleme, değiştirme veya silme.

Not

İstemci uygulamanız App Gateway'e özel bir IP üzerinden bağlanıyorsa, 4 dakikadan uzun > bir boşta kalma zaman aşımı gerektiriyorsa ve istemci uygulaması TCP etkin tutma paketleri göndermiyorsa, Application Gateway'den canlı tutmanın başlatılmasını istemek için iletişim kurun agprivateip-keepalive@microsoft.com .

Azure portalı

Özel Bağlantı alt ağında ağ ilkelerini devre dışı bırakma

Özel Bağlantı bağlantısına izin vermek için, Özel Bağlantı IP yapılandırmaları için belirlenen alt ağda Özel Bağlantı Hizmeti Ağ İlkelerini devre dışı bırakmanız gerekir.

Özel Bağlantı hizmetinin bir örneğini oluşturmak için portalı kullandığınızda, bu ayar oluşturma işleminin bir parçası olarak otomatik olarak devre dışı bırakılır. Herhangi bir Azure istemcisi (PowerShell, Azure CLI veya şablonlar) kullanan dağıtımlar, bu özelliği değiştirmek için ek bir adım gerektirir.

Aşağıdaki örneklerde, myResourceGroup adlı bir kaynak grubunda barındırılan, 10.1.0.0/24 adlı default alt ağına sahip bir sanal ağ için privateLinkServiceNetworkPolicies nasıl etkinleştirileceği ve devre dışı bırakılacağı açıklanmaktadır.

PowerShell

Bu bölümde, Azure PowerShell kullanarak alt ağ özel uç nokta ilkelerinin nasıl devre dışı bırakıldığı açıklanmaktadır. Aşağıdaki kodda default değerini, sanal alt ağınızın adıyla değiştirin.

$subnet = 'default'

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $subnet}).privateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

CLI

Bu bölümde, Azure CLI kullanılarak alt ağ özel uç nokta ilkelerinin nasıl devre dışı bırakıldığı açıklanmaktadır.

az network vnet subnet update \
    --name default \
    --vnet-name myVNet \
    --resource-group myResourceGroup \
    --disable-private-link-service-network-policies yes

JSON

Bu bölümde, Azure Resource Manager şablonlarını kullanarak alt ağ özel uç nokta ilkelerinin nasıl devre dışı bırakıldığı açıklanmaktadır.

{ 
    "name": "myVNet", 
    "type": "Microsoft.Network/virtualNetworks", 
    "apiVersion": "2019-04-01", 
    "location": "WestUS", 
    "properties": { 
        "addressSpace": { 
            "addressPrefixes": [ 
                "10.1.0.0/16" 
             ] 
        }, 
        "subnets": [ 
               { 
                 "name": "default", 
                 "properties": { 
                        "addressPrefix": "10.1.0.0/24", 
                        "privateLinkServiceNetworkPolicies": "Disabled" 
                    } 
                } 
        ] 
    } 
} 
 

Özel Bağlantı’yı yapılandırma

Özel Bağlantı yapılandırması, Özel Uç Noktalardan Application Gateway'inize bağlantı sağlayan altyapıyı tanımlar. Özel Bağlantı yapılandırmasını oluşturmadan önce, dinleyicinin hedef ön uç IP yapılandırmasını kullanacak şekilde etkin bir şekilde yapılandırıldığından emin olun.

Özel Bağlantı yapılandırmasını oluşturmak için şu adımları izleyin:

1. Application Gateways'i arayın ve seçin.
2. Application Gateway örneğinizi seçin.
3. Sol gezinti bölmesinde Özel bağlantı'yı ve ardından + Ekle'yi seçin.
4. Aşağıdaki ayarları yapılandırın:
   • Ad: Özel Bağlantı yapılandırması için bir ad girin
   • Özel bağlantı alt ağı: Özel Bağlantı IP adresleri için ayrılmış alt ağı seçin
   • Ön Uç IP Yapılandırması: Özel Bağlantı'nın trafiği ilettiği ön uç IP yapılandırmasını seçin
   • Özel IP adresi ayarları: En az bir IP adresi yapılandırma
5. Yapılandırmayı oluşturmak için Ekle'yi seçin.
6. Application Gateway ayarlarınızdan Kaynak Kimliğini kopyalayıp kaydedin. Bu tanımlayıcı, farklı Microsoft Entra kiracılarında Özel Uç Noktalar ayarlanırken gereklidir.

Özel Uç Noktayı yapılandırma

Özel Uç Nokta, Azure Application Gateway'e güvenli bir şekilde bağlanmak için sanal ağınızdan özel IP adresi kullanan bir ağ arabirimidir. İstemciler, güvenli bir tünel üzerinden Application Gateway'e bağlantı kurmak için Özel Uç Nokta'nın özel IP adresini kullanır.

Özel Uç Nokta oluşturmak için şu adımları izleyin:

1. Application Gateway portalında Özel uç nokta bağlantıları sekmesini seçin.
2. + Özel uç noktayı seçin.
3. Temel Bilgiler sekmesinde:
   • Özel Uç Nokta için kaynak grubunu, adını ve bölgesini yapılandırma
   • İleri: Kaynak'ı > seçin
4. Kaynak sekmesinde:
   • Hedef kaynak ayarlarını doğrulama
   • İleri: Sanal Ağ'ı > seçin
5. Sanal Ağ sekmesinde:
   • Özel Uç Nokta ağ arabiriminin oluşturulacağı sanal ağı ve alt ağı seçin
   • İleri: DNS'yi > seçin
6. DNS sekmesinde:
   • DNS ayarlarını gerektiği gibi yapılandırma
   • İleri: Etiketler'i > seçin
7. Etiketler sekmesinde:
   • İsteğe bağlı olarak kaynak etiketleri ekleme
   • 'İleri: Gözden Geçir + Oluştur' seçeneğini > seçin
8. Yapılandırmayı gözden geçirin ve Oluştur'u seçin.

Önemli

Özel uç nokta oluşturmanın Kaynak sekmesinde bir Hedef alt kaynağı seçmeye çalışırken genel veya özel IP yapılandırma kaynağı eksikse, dinleyicinin saygın ön uç IP yapılandırmasını etkin bir şekilde kullandığınızdan emin olun. İlişkili dinleyicisi olmayan ön uç IP yapılandırmaları Hedef alt kaynağı olarak gösterilemiyor.

Not

Farklı bir Microsoft Entra kiracısından Özel Uç Nokta sağlarken Azure Application Gateway Kaynak Kimliği'ni kullanmanız ve hedef alt kaynak olarak ön uç IP yapılandırma adını belirtmeniz gerekir. Örneğin, özel IP yapılandırmanızın adı portaldaki PrivateFrontendIp ise, hedef alt kaynak değeri olarak PrivateFrontendIp kullanın.

Azure PowerShell

PowerShell kullanarak Özel Bağlantı yapılandırma

Mevcut bir Application Gateway'de Özel Bağlantı yapılandırmak için aşağıdaki PowerShell komutlarını kullanın:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

PowerShell cmdlet referansı

Application Gateway Özel Bağlantı yapılandırmalarını yönetmek için aşağıdaki Azure PowerShell cmdlet'leri kullanılabilir:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration komutunu kullanarak yeni bir Özel Bağlantı Yapılandırması oluşturma adımını gerçekleştirin.
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• AzApplicationGatewayÖzelBağlantıYapılandırmasınıKaldır
• Set-AzApplicationGatewayPrivateLinkConfiguration

Azure CLI

Azure CLI kullanarak Özel Bağlantı yapılandırma

Mevcut bir Application Gateway'de Özel Bağlantı yapılandırmak için aşağıdaki Azure CLI komutlarını kullanın:

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Not

Özel Uç Noktayı farklı bir aboneliğe taşımak için, Özel Bağlantı ile Özel Uç Nokta arasındaki mevcut bağlantıyı silmeniz gerekir. Silme işleminden sonra, bağlantıyı yeniden kurmak için hedef abonelikte yeni bir Özel Uç Nokta bağlantısı oluşturun.

Dikkat

Özel bağlantı yapılandırması, etkinleştirildiğinde veya devre dışı bırakıldığında trafik kesintisine (1 dakikadan kısa) neden olur. Değişikliklerin bir bakım penceresi veya trafiğin az olduğu süre boyunca yapılması önerilir. Bu süre boyunca, istek üzerine döndürülen bağlantı zaman aşımlarını veya 4XX http durum kodlarını görebilirsiniz. Özel uç noktaları ekleme/kaldırma/onaylama/reddetme trafik kesintisine neden olmaz.

Azure CLI referans

Application Gateway Özel Bağlantı yapılandırmasına yönelik kapsamlı Azure CLI komut başvurusu için bkz. Azure CLI - Application Gateway Özel Bağlantısı.

Sonraki adımlar

Azure Özel Bağlantı ve ilgili hizmetler hakkında daha fazla bilgi edinmek için:

• Azure Özel Bağlantı nedir?
• Application Gateway Özel Bağlantısına genel bakış
• Özel Bağlantı hizmetine genel bakış
• Özel uç noktalara genel bakış