Configuración de Private Link en Azure Application Gateway

Private Link de Azure Application Gateway permite establecer conexiones privadas y seguras a Application Gateway desde cargas de trabajo que se extienden a través de redes virtuales (VNets) y suscripciones. Esta característica proporciona conectividad privada sin exponer el tráfico a la red pública de Internet. Para más información, consulte Private Link en Application Gateway.

Captura de pantalla del diagrama que muestra la arquitectura de Private Link de Application Gateway.

Opciones de configuración

Puede configurar Application Gateway Private Link mediante varios métodos:

Portal de Azure
Azure PowerShell
CLI de Azure

Prerrequisitos

Antes de configurar Private Link, asegúrese de que tiene:

Un Application Gateway existente
Una red virtual con una subred dedicada para Private Link (independiente de la subred de Application Gateway)
Permisos adecuados para crear y configurar recursos de Private Link

Consideraciones de subred para la configuración de Private Link

Para habilitar la configuración de Private Link, debe tener una subred dedicada independiente de la subred de Application Gateway. Esta subred se usa exclusivamente para las configuraciones de IP de Private Link y no puede contener ninguna instancia de Application Gateway.

Cada dirección IP asignada a esta subred admite hasta 65 536 conexiones TCP simultáneas a través de Private Link.
Para calcular las direcciones IP necesarias: n × 65,536 conexiones, donde n es el número de direcciones IP aprovisionadas
Máximo de ocho direcciones IP por configuración de Private Link
Solo se admite la asignación dinámica de direcciones IP
La subred debe tener deshabilitadas las directivas de red del servicio Private Link .

Importante

La longitud combinada del nombre de Application Gateway y el nombre de configuración de Private Link no deben superar los 70 caracteres para evitar errores de implementación.

Para crear una subred dedicada para Private Link, consulte Agregar, cambiar o eliminar una subred de red virtual.

Nota

Si la aplicación cliente se conecta a App Gateway a través de una dirección IP privada, requiere un tiempo de espera de inactividad superior > a 4 minutos y la aplicación cliente no envía paquetes tcp keep-alive, póngase en contacto con appgw-idle-timeout@microsoft.com para solicitar el inicio de keep-alive desde Application Gateway.

Deshabilitación de directivas de red en la subred de Private Link

Para permitir la conectividad de Private Link, debe deshabilitar las directivas de red del servicio Private Link en la subred designada para las configuraciones ip de Private Link.

Para deshabilitar las directivas de red, siga estos pasos:

Vaya a Azure Portal.
Busque y seleccione Redes virtuales.
Seleccione la red virtual que contiene la subred private Link.
En el panel de navegación izquierdo, seleccione Subredes.
Seleccione la subred designada para Private Link.
En Directivas de red del servicio Private Link, seleccione Deshabilitado.
Seleccione Guardar para aplicar los cambios.
1. Espere unos minutos para que los cambios surtan efecto.
Compruebe que la configuración de directivas de red del servicio Private Link ahora está deshabilitada.

Configuración de Private Link

La configuración de Private Link define la infraestructura que habilita las conexiones desde puntos de conexión privados a Application Gateway. Antes de crear la configuración de Private Link, asegúrese de que un agente de escucha esté configurado activamente para usar la configuración IP de front-end de destino.

Siga estos pasos para crear la configuración de Private Link:

Busque y seleccione Puertas de enlace de aplicaciones.
Seleccione la instancia de Application Gateway.
En el panel de navegación izquierdo, seleccione Vínculo privado y, a continuación, seleccione + Agregar.
Configure los valores siguientes:
- Nombre: escriba un nombre para la configuración de Private Link.
- Subred de enlace privado: seleccione la subred dedicada para direcciones IP de enlace privado.
- Configuración de IP de front-end: seleccione la configuración de IP de front-end a la que Private Link debe reenviar el tráfico.
- Configuración de la dirección IP privada: configure al menos una dirección IP.
Seleccione Agregar para crear la configuración.
En la configuración de Application Gateway, copie y guarde el identificador de recurso. Este identificador es necesario al configurar puntos de conexión privados de diferentes inquilinos de Microsoft Entra.

Configuración de un punto de conexión privado

Un punto de conexión privado es una interfaz de red que usa una dirección IP privada de la red virtual para conectarse de forma segura a Azure Application Gateway. Los clientes usan la dirección IP privada del punto de conexión privado para establecer conexiones a Application Gateway a través de un túnel seguro.

Para crear un punto de conexión privado, siga estos pasos:

En el portal de Application Gateway, seleccione la pestaña Conexiones de puntos finales privados.
Seleccione + Punto de conexión privado.
En la pestaña Aspectos básicos :
- Configuración del grupo de recursos, el nombre y la región para el punto de conexión privado
- Seleccione Siguiente: Recurso. >
En la pestaña Recurso :
- Comprobación de la configuración del recurso de destino
- Seleccione Siguiente: Red virtual>.
En la pestaña Red virtual :
- Seleccione la red virtual y la subred donde se creará la interfaz de red del punto de conexión privado.
- Seleccione Siguiente: DNS>.
En la pestaña DNS :
- Configuración de dns según sea necesario
- Seleccione Siguiente: Etiquetas. >
En la pestaña Etiquetas :
- Opcionalmente, agregue etiquetas de recursos.
- Seleccione Siguiente: Revisar y crear. >
Revise la configuración y seleccione Crear.

Importante

Si falta el recurso de configuración de IP pública o privada al intentar seleccionar un subrecurso de destino en la pestaña Recurso de creación del punto de conexión privado, asegúrese de que un agente de escucha usa activamente la configuración de IP de front-end respetada. Las configuraciones de IP de front-end sin un agente de escucha asociado no se pueden mostrar como un subrecurso de destino.

Nota

Al aprovisionar un punto de conexión privado desde otro inquilino de Microsoft Entra, debe usar el identificador de recurso de Azure Application Gateway y especificar el nombre de configuración de IP de front-end como subrecurso de destino. Por ejemplo, si la configuración de IP privada se denomina PrivateFrontendIp en el portal, use PrivateFrontendIp como valor de subrecurso de destino.

Configuración de Private Link mediante PowerShell

Use los siguientes comandos de PowerShell para configurar Private Link en una instancia de Application Gateway existente:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Referencia de cmdlets de PowerShell

Los siguientes cmdlets de Azure PowerShell están disponibles para administrar las configuraciones de Private Link de Application Gateway:

Configuración de Private Link mediante la CLI de Azure

Use los siguientes comandos de la CLI de Azure para configurar Private Link en una instancia de Application Gateway existente:

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Nota

Para mover un punto de conexión privado a otra suscripción, debe eliminar la conexión existente entre Private Link y el punto de conexión privado. Después de la eliminación, cree una nueva conexión de punto de conexión privado en la suscripción de destino para restablecer la conectividad.

Precaución

La configuración de Private Link provocará momentáneamente la interrupción del tráfico (menos de 1 minuto) cuando esté habilitada o deshabilitada. Se recomienda realizar cambios durante una ventana de mantenimiento o un período de tráfico bajo. Durante este tiempo, es posible que experimente tiempos de espera de conexión o códigos de estado http 4XX devueltos en la solicitud. Agregar, quitar, aprobar o rechazar puntos de conexión privados no provocará interrupciones del tráfico.

Referencia de la CLI de Azure

Para obtener una referencia completa del comando de la CLI de Azure para la configuración de Private Link de Application Gateway, consulte Cli de Azure: Private Link de Application Gateway.

Pasos siguientes

Para más información sobre Azure Private Link y los servicios relacionados:

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-12-04

Compartir a través de

Configuración de Private Link en Azure Application Gateway

Opciones de configuración

Prerrequisitos

Consideraciones de subred para la configuración de Private Link

Deshabilitación de directivas de red en la subred de Private Link

Configuración de Private Link

Configuración de un punto de conexión privado

Pasos siguientes

Comentarios

Recursos adicionales