應用程式閘道的 Private Link
現在,您可以在應用程式閘道後方安全地部署重要工作負載,以取得第 7 層負載平衡功能的彈性。 有兩種方式可以存取後端工作負載:
- 公用 IP 位址 - 您的工作負載可以透過網際網路進行存取。
- 私人 IP 位址 - 您的工作負載可以透過虛擬網路/已連線網路私下進行存取
適用於應用程式閘道的 Private Link 可讓您透過跨越 VNet 和訂用帳戶的私人連線來連線工作負載。 設定時,私人端點會放入已定義虛擬網路的子網路,為想要與閘道通訊的用戶端提供私人 IP 位址。 如需支援 Private Link 功能的其他 PaaS 服務清單,請參閱什麼是 Azure Private Link?。
特性與功能
在下列案例中,Private Link 可讓您透過私人端點將私人連線擴充至應用程式閘道:
- 與應用程式閘道相同或不同區域中的 VNet
- 與應用程式閘道相同或不同訂用帳戶中的 VNet
- 相同或不同訂用帳戶中的 VNet,以及來自應用程式閘道的相同或不同 Microsoft Entra 租用戶
您也可以選擇封鎖對應用程式閘道的輸入公用 (網際網路) 存取,並只允許透過私人端點進行存取。 應用程式閘道仍然需要允許輸入管理流量。 如需詳細資訊,請參閱應用程式閘道基礎結構設定
透過私人端點存取時,支援應用程式閘道所支援的所有功能 (包括 AGIC 的支援)。
Private Link 元件
使用應用程式閘道實作 Private Link 需要四個元件:
應用程式閘道 Private Link 設定
私人連結組態可以與應用程式閘道前端 IP 位址相關聯,然後用來使用私人端點建立連線。 如果應用程式閘道前端 IP 位址沒有關聯,則不會啟用 Private Link 功能。
應用程式閘道前端 IP 位址
應用程式閘道 Private Link 設定需要相關聯才能啟用 Private Link 功能的公用或私人 IP 位址。
私人端點
在 VNet 位址空間中配置私人 IP 位址的 Azure 網路資源。 其用來透過私人 IP 位址連線至應用程式閘道,類似於可提供私人連結存取的許多其他 Azure 服務;例如,儲存體和 KeyVault。
私人端點連線
應用程式閘道上私人端點所產生的連線。 您可以自動核准、手動核准或拒絕連線,以授與或拒絕存取權。
限制
- API 2020-03-01 版或更新版本應該用來設定 Private Link 設定。
- 不支援 Private Link 設定物件中的靜態 IP 配置方法。
- 用於 PrivateLinkConfiguration 的子網路不能與應用程式閘道子網路相同。
- 適用於應用程式閘道的私人連結設定不會公開 "Alias" 屬性,而且必須透過資源 URI 進行參考。
- 私人端點建立不會建立 *.privatelink DNS 記錄或區域。 所有 DNS 記錄都應該輸入至用於您應用程式閘道的現有區域中。
- Azure Front Door 和應用程式閘道不支援透過 Private Link 進行鏈結。
- 應用程式閘道的 Private Link 組態閒置逾時約為 5 分鐘 (300 秒)。 為了避免達到此限制,透過私人端點連線到應用程式閘道的應用程式必須使用小於 300 秒的 TCP 保持運作間隔。