Azure Application Gateway Private Link konfigurálása

Cikk
02/21/2024

Az Application Gateway Private Link lehetővé teszi, hogy a számítási feladatokat virtuális hálózatokon és előfizetéseken átívelő privát kapcsolaton keresztül csatlakoztassa. További információ: Application Gateway Private Link.

Az Application Gateway privát kapcsolatát bemutató ábra

Konfigurációs lehetőségek

Az Application Gateway Private Link több lehetőséggel is konfigurálható, például az Azure Portalon, az Azure PowerShellben és az Azure CLI-ben.

Alhálózat definiálása privát kapcsolat konfigurálásához

A privát kapcsolat konfigurációjának engedélyezéséhez egy, az Application Gateway alhálózatától eltérő alhálózatra van szükség a privát kapcsolat IP-konfigurációjában. A Private Linknek olyan alhálózatot kell használnia, amely nem tartalmaz Application Gateway-átjárókat. Az alhálózatok méretezését az üzembe helyezéshez szükséges kapcsolatok száma határozza meg. Az alhálózathoz lefoglalt IP-címek 64 K egyidejű TCP-kapcsolatokat biztosítnak, amelyek a Private Link használatával egy időben hozhatók létre. További IP-címek lefoglalása további kapcsolatok engedélyezéséhez a Private Linken keresztül. Például: n * 64K; ahol n a kiépített IP-címek száma.

Feljegyzés

A privát kapcsolat konfigurációnkénti IP-címek maximális száma nyolc. Csak a dinamikus foglalás támogatott.

Új alhálózat létrehozásához hajtsa végre az alábbi lépéseket:

Virtuális hálózat alhálózatának hozzáadása, módosítása vagy törlése

Privát kapcsolat konfigurálása

A privát kapcsolat konfigurációja határozza meg az Application Gateway által a privát végpontok kapcsolatainak engedélyezéséhez használt infrastruktúrát. A Private Link-konfiguráció létrehozásakor győződjön meg arról, hogy a figyelő aktívan használja a tiszteletben álló előtérbeli IP-konfigurációt. A Private Link-konfiguráció létrehozásához hajtsa végre az alábbi lépéseket:

Nyissa meg az Azure Portalt
Keresse meg és válassza ki az Application Gateway-eket.
Válassza ki annak az application gatewaynek a nevét, amelyet engedélyezni szeretne a privát kapcsolathoz.
Privát hivatkozás kiválasztása
Konfigurálja a következő elemeket:
- Név: A privát kapcsolat konfigurációjának neve.
- Privát kapcsolat alhálózata: Az alhálózat IP-címeit az alhálózatból kell felhasználni.
- Előtérbeli IP-konfiguráció: Az előtérbeli IP-címnek, amelyre a privát kapcsolatnak továbbítania kell a forgalmat az Application Gatewayen.
- Privát IP-cím beállításai: adjon meg legalább egy IP-címet
Válassza a Hozzáadás lehetőséget.
Az Application Gateways tulajdonságok paneljén szerezze be és jegyezze fel az erőforrás-azonosítót, ez akkor szükséges, ha egy privát végpontot állít be egy másik Microsoft Entra-bérlőn belül.

Privát végpont konfigurálása

A privát végpont egy olyan hálózati adapter, amely az Application Gatewayhez csatlakozni kívánó ügyfeleket tartalmazó virtuális hálózat privát IP-címét használja. Mindegyik ügyfél a privát végpont magánhálózati IP-címét használja az Application Gateway felé irányuló forgalom bújtatásához. Privát végpont létrehozásához hajtsa végre a következő lépéseket:

Válassza a Privát végponti kapcsolatok lapot.
Válassza a Létrehozás lehetőséget.
Az Alapszintű beállítások lapon konfiguráljon egy erőforráscsoportot, nevet és régiót a privát végponthoz. Válassza a Tovább lehetőséget.
Az Erőforrás lapon válassza a Tovább gombot.
A Virtuális hálózat lapon konfiguráljon egy virtuális hálózatot és alhálózatot, amelyre a privát végpont hálózati adapterét ki kell helyezni. Válassza a Tovább lehetőséget.
A Címkék lapon igény szerint konfigurálja az erőforráscímkéket. Válassza a Tovább lehetőséget.
Válassza a Létrehozás parancsot.

Feljegyzés

Ha a nyilvános vagy privát IP-konfigurációs erőforrás hiányzik, amikor a privát végpontlétrehozás Erőforrás lapján megkísérli kiválasztani a Cél alerőforrást, győződjön meg arról, hogy a figyelő aktívan használja a tiszteletben álló előtérbeli IP-konfigurációt. A társított figyelő nélküli előtérbeli IP-konfigurációk nem jelennek meg cél-alerőforrásként.

Feljegyzés

Ha egy másik bérlőn belülről hoz létre privát végpontot, akkor a cél alerőforrásként a Azure-alkalmazás Átjáró erőforrás-azonosítóját és a Frontend IP-konfiguráció nevét kell használnia. Ha például egy privát IP-cím van társítva az Application Gatewayhez, és a privát IP-címhez tartozó portál frontend IP-konfigurációjában szereplő név a PrivateFrontendIp, a cél alerőforrás értéke a következő lenne: PrivateFrontendIp.

Feljegyzés

Ha át kell helyeznie egy privát végpontot egy másik előfizetésbe, először törölnie kell a privát kapcsolat és a privát végpont közötti meglévő privát végpont kapcsolatot. A művelet befejezése után újra létre kell hoznia egy új privát végpontkapcsolatot az új előfizetésben, hogy kapcsolatot létesítsen a privát kapcsolat és a privát végpont között.

Ha privát hivatkozást szeretne konfigurálni egy meglévő Application Gatewayen az Azure PowerShellen keresztül, használja a következő parancsokat:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the names
$agw.FrontendIPConfigurations | Select Name

# Add a new Private Link configuration and associate it with an existing Frontend IP
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add the Private Link configuration to the gateway configuration
Add-AzApplicationGatewayPrivateLinkConfiguration `
                            -ApplicationGateway $agw `
                            -Name "privateLinkConfig01" `
                            -IpConfiguration $PrivateLinkIpConfiguration

# Associate private link configuration to Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply the change to the gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create private endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Az alábbiakban felsoroljuk az Application Gateway privát kapcsolat konfigurálásának Azure PowerShell-hivatkozásait:

Meglévő Application Gateway privát hivatkozásának Azure CLI-n keresztüli konfigurálásához használja a következő parancsokat:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name AppGW-PL-Subnet \
				--vnet-name AppGW-PL-CLI-VNET \
				--resource-group AppGW-PL-CLI-RG \
				--disable-private-link-service-network-policies true

# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
							--frontend-ip appGwPublicFrontendIp \
							--name privateLinkConfig01 \
							--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
							--gateway-name AppGW-PL-CLI \
							--resource-group AppGW-PL-CLI-RG

# Get Private Link resource ID
az network application-gateway private-link list \
				--gateway-name AppGW-PL-CLI \
				--resource-group AppGW-PL-CLI-RG



# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
				--name MySubnet \
				--vnet-name AppGW-PL-Endpoint-CLI-VNET \
				--resource-group AppGW-PL-Endpoint-CLI-RG \
				--disable-private-endpoint-network-policies true

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
	--name AppGWPrivateEndpoint \
	--resource-group AppGW-PL-Endpoint-CLI-RG \
	--vnet-name AppGW-PL-Endpoint-CLI-VNET \
	--subnet MySubnet \
	--group-id appGwPublicFrontendIp \
	--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
	--connection-name AppGW-PL-Connection

Az Application Gateway privát kapcsolat konfigurálásának Azure CLI-hivatkozásainak listája itt érhető el: Azure CLI CLI – Private Link

Következő lépések

Tudnivalók az Azure Private Linkről: Az Azure Private Link ismertetése.

Megosztás a következőn keresztül:

Azure Application Gateway Private Link konfigurálása

Konfigurációs lehetőségek

Következő lépések

Visszajelzés

További források