Konfigurieren von Azure Application Gateway Private Link

Mit dem privaten Azure-Anwendungsgateway-Link können Sie sichere, private Verbindungen mit Ihrem Anwendungsgateway aus Workloads herstellen, die sich über virtuelle Netzwerke (VNets) und Abonnements erstrecken. Diese Funktion bietet private Konnektivität, ohne den Datenverkehr dem öffentlichen Internet auszusetzen. Weitere Informationen finden Sie unter Application Gateway Private Link.

Screenshot des Diagramms, das die Architektur des privaten Links des Anwendungsgateways zeigt.

Konfigurationsoptionen

Sie können den privaten Link des Anwendungsgateways mit mehreren Methoden konfigurieren:

Azure-Portal
Azure PowerShell
Azure-Befehlszeilenschnittstelle (Azure CLI)

Voraussetzungen

Stellen Sie vor dem Konfigurieren von privatem Link folgendes sicher:

Ein vorhandenes Anwendungsgateway
Ein virtuelles Netzwerk mit einem dedizierten Subnetz für private Verknüpfung (getrennt vom Anwendungsgateway-Subnetz)
Geeignete Berechtigungen zum Erstellen und Konfigurieren von Ressourcen für private Links

Subnetzüberlegungen für die Konfiguration privater Verknüpfungen

Um die Konfiguration für private Verknüpfungen zu aktivieren, müssen Sie über ein dediziertes Subnetz verfügen, das vom Anwendungsgateway-Subnetz getrennt ist. Dieses Subnetz wird ausschließlich für PRIVATE Link-IP-Konfigurationen verwendet und kann keine Anwendungsgatewayinstanzen enthalten.

Jede diesem Subnetz zugeordnete IP-Adresse unterstützt bis zu 65.536 gleichzeitige TCP-Verbindungen über private Verknüpfungen
Um die erforderlichen IP-Adressen zu berechnen: n × 65,536 Verknüpfungen, wobei n die Anzahl der bereitgestellten IP-Adressen ist
Maximal acht IP-Adressen pro Konfiguration für private Verknüpfungen
Nur dynamische IP-Adresszuweisung wird unterstützt.
Das Subnetz muss die Netzwerkrichtlinien für den privaten Linkdienst deaktiviert haben.

Von Bedeutung

Die kombinierte Länge des Anwendungsgatewaynamens und des Konfigurationsnamens für private Verknüpfungen darf 70 Zeichen nicht überschreiten, um Bereitstellungsfehler zu vermeiden.

Informationen zum Erstellen eines dedizierten Subnetzes für private Links finden Sie unter Hinzufügen, Ändern oder Löschen eines virtuellen Netzwerksubnetz.

Hinweis

Wenn Ihre Clientanwendung über eine private IP eine Verbindung mit dem App-Gateway herstellt, eine Leerlaufzeit von mehr > als 4 Minuten erfordert und die Clientanwendung keine TCP-Keep-Alive-Pakete sendet, wenden Sie sich an den Kontakt appgw-idle-timeout@microsoft.com , um die Initiierung von Keep-Alive vom Anwendungsgateway anzufordern.

Deaktivieren von Netzwerkrichtlinien im Subnetz für private Verknüpfungen

Um die Verbindung mit privaten Links zuzulassen, müssen Sie die Netzwerkrichtlinien für den privaten Linkdienst im Subnetz deaktivieren, das für PRIVATE Link-IP-Konfigurationen festgelegt ist.

Führen Sie die folgenden Schritte aus, um Netzwerkrichtlinien zu deaktivieren:

Navigieren Sie zum Azure-Portal.
Suchen Sie nach Virtuelle Netzwerke, und wählen Sie diese Option aus.
Wählen Sie das virtuelle Netzwerk aus, das das Subnetz für private Verknüpfungen enthält.
Wählen Sie im linken Navigationsbereich Subnetze aus.
Wählen Sie das subnetz aus, das für private Verknüpfungen bestimmt ist.
Wählen Sie unter Den Netzwerkrichtlinien für den privaten Linkdienstdie Option "Deaktiviert" aus.
Klicken Sie auf Speichern, um die Änderungen zu übernehmen.
1. Warten Sie ein paar Minuten, bis die Änderungen wirksam werden.
Vergewissern Sie sich, dass die Einstellung für Netzwerkrichtlinien für den privaten Linkdienst jetzt deaktiviert ist.

Konfigurieren von Private Link

Die Konfiguration für private Verknüpfung definiert die Infrastruktur, die Verbindungen von privaten Endpunkten zu Ihrem Anwendungsgateway ermöglicht. Stellen Sie vor dem Erstellen der Konfiguration für private Links sicher, dass ein Listener aktiv für die Verwendung der Ziel-Frontend-IP-Konfiguration konfiguriert ist.

Führen Sie die folgenden Schritte aus, um die Konfiguration für private Verknüpfungen zu erstellen:

Suchen und wählen Sie Anwendungsgateways aus.
Wählen Sie Ihre Application Gateway-Instanz aus.
Wählen Sie im linken Navigationsbereich den Link "Privat" und dann "+Hinzufügen" aus.
Konfigurieren Sie die folgenden Einstellungen:
- Name: Geben Sie einen Namen für die Konfiguration für private Verknüpfungen ein.
- Subnetz für private Links: Wählen Sie das dedizierte Subnetz für IP-Adressen für private Links aus.
- Front-End-IP-Konfiguration: Wählen Sie die Frontend-IP-Konfiguration aus, an die private Verknüpfung Datenverkehr weiterleiten soll
- Einstellungen für private IP-Adressen: Konfigurieren von mindestens einer IP-Adresse
Wählen Sie "Hinzufügen" aus, um die Konfiguration zu erstellen.
Kopieren Und speichern Sie die Ressourcen-ID aus den Anwendungsgatewayeinstellungen. Dieser Bezeichner ist erforderlich, wenn private Endpunkte aus verschiedenen Microsoft Entra-Mandanten eingerichtet werden.

Konfigurieren eines privaten Endpunkts

Ein privater Endpunkt ist eine Netzwerkschnittstelle, die eine private IP-Adresse aus Ihrem virtuellen Netzwerk verwendet, um eine sichere Verbindung mit dem Azure-Anwendungsgateway herzustellen. Clients verwenden die private IP-Adresse des privaten Endpunkts, um Verbindungen mit dem Anwendungsgateway über einen sicheren Tunnel herzustellen.

Führen Sie die folgenden Schritte aus, um einen privaten Endpunkt zu erstellen:

Wählen Sie im Portal "Anwendungsgateway" die Registerkarte "Private Endpunktverbindungen " aus.
Wählen Sie + Privater Endpunkt aus.
Auf der Registerkarte "Grundlagen":
- Konfigurieren der Ressourcengruppe, des Namens und der Region für den privaten Endpunkt
- Weiter auswählen: Ressource >
Auf der Registerkarte "Ressource":
- Überprüfen der Zielressourceneinstellungen
- Wählen Sie Weiter: Virtuelles Netzwerk > aus.
Auf der Registerkarte "Virtuelles Netzwerk ":
- Wählen Sie das virtuelle Netzwerk und das Subnetz aus, in dem die Private Endpoint-Netzwerkschnittstelle erstellt wird.
- Wählen Sie "Weiter" aus: DNS >
Auf der Registerkarte DNS :
- Konfigurieren von DNS-Einstellungen nach Bedarf
- Weiter auswählen: Tags >
Auf der Registerkarte "Tags":
- Optional die Ressourcentags hinzufügen
- Wählen Sie Weiter aus: Überprüfen + Erstellen >
Überprüfen Sie die Konfiguration, und wählen Sie dann Erstellen aus.

Von Bedeutung

Wenn die öffentliche oder private IP-Konfigurationsressource fehlt, während Sie versuchen, eine Zielunterressource auf der Registerkarte Ressource bei der Erstellung eines privaten Endpunkts auszuwählen, stellen Sie sicher, dass ein Listener aktiv die betreffende Frontend-IP-Konfiguration verwendet. Front-End-IP-Konfigurationen ohne zugeordneten Listener können nicht als Zielunterressource angezeigt werden.

Hinweis

Wenn Sie einen privaten Endpunkt aus einem anderen Microsoft Entra-Mandanten bereitstellen, müssen Sie die Azure Application Gateway-Ressourcen-ID verwenden und den Front-End-IP-Konfigurationsnamen als Zielunterressource angeben. Wenn Ihre private IP-Konfiguration beispielsweise im Portal benannt PrivateFrontendIp ist, verwenden Sie PrivateFrontendIp sie als Ziel-Unterressourcenwert.

Konfigurieren eines privaten Links mithilfe von PowerShell

Verwenden Sie die folgenden PowerShell-Befehle, um private Verknüpfungen auf einem vorhandenen Anwendungsgateway zu konfigurieren:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

PowerShell-Cmdlet-Referenz

Die folgenden Azure PowerShell-Cmdlets stehen für die Verwaltung von Konfigurationen für private Verknüpfungen des Anwendungsgateways zur Verfügung:

Konfigurieren eines privaten Links mit Azure CLI

Verwenden Sie die folgenden Azure CLI-Befehle, um private Verknüpfungen auf einem vorhandenen Anwendungsgateway zu konfigurieren:

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Hinweis

Um einen privaten Endpunkt in ein anderes Abonnement zu verschieben, müssen Sie die vorhandene Verbindung zwischen dem privaten Link und dem privaten Endpunkt löschen. Erstellen Sie nach dem Löschen eine neue private Endpunktverbindung im Zielabonnement, um die Konnektivität wiederherzustellen.

Vorsicht

Die Konfiguration für private Verknüpfungen verursacht momentan Unterbrechungen des Datenverkehrs (weniger als 1 Minute), wenn sie aktiviert oder deaktiviert sind. Änderungen werden empfohlen, während eines Wartungsfensters oder eines Zeitraums mit geringem Datenverkehr durchzuführen. Während dieser Zeit werden möglicherweise Verbindungstimeouts oder 4XX-HTTP-Statuscodes angezeigt, die bei einer Anforderung zurückgegeben werden. Hinzufügen/Entfernen/Genehmigung/Ablehnung privater Endpunkte verursacht keine Unterbrechung des Datenverkehrs.

Azure CLI-Referenz

Umfassende Azure CLI-Befehlsreferenz für die Konfiguration des privaten Anwendungsgateways finden Sie unter Azure CLI – Private Verknüpfung für Anwendungsgateway.

Nächste Schritte

Weitere Informationen zu Azure Private Link und verwandten Diensten:

Feedback

War diese Seite hilfreich?

Last updated on 2025-12-04

Freigeben über

Konfigurieren von Azure Application Gateway Private Link

Konfigurationsoptionen

Voraussetzungen

Subnetzüberlegungen für die Konfiguration privater Verknüpfungen

Deaktivieren von Netzwerkrichtlinien im Subnetz für private Verknüpfungen

Konfigurieren von Private Link

Konfigurieren eines privaten Endpunkts

Nächste Schritte

Feedback

Zusätzliche Ressourcen