Konfigurowanie łącza prywatnego usługi Azure Application Gateway

Wyłączanie zasad sieci w podsieci usługi Private Link

Aby zezwolić na łączność usługi Private Link, należy wyłączyć zasady sieci usługi Private Link w podsieci wyznaczonej dla konfiguracji adresów IP usługi Private Link.

Aby wyłączyć zasady sieciowe, wykonaj następujące kroki:

1. Przejdź do Portalu Azure.
2. Wyszukaj i wybierz pozycję Sieci wirtualne.
3. Wybierz sieć wirtualną zawierającą podsieć usługi Private Link.
4. W okienku nawigacji po lewej stronie wybierz pozycję Podsieci.
5. Wybierz podsieć wyznaczoną dla usługi Private Link.
6. W obszarze Zasady sieci usługi private link wybierz pozycję Wyłączone.
7. Wybierz Zapisz, aby zastosować zmiany.
   1. Poczekaj kilka minut na wprowadzenie zmian.
8. Sprawdź, czy ustawienie zasad sieci usługi Private Link jest teraz wyłączone.

Konfigurowanie usługi Private Link

Konfiguracja usługi Private Link definiuje infrastrukturę, która umożliwia nawiązywanie połączeń z prywatnych punktów końcowych do usługi Application Gateway. Przed utworzeniem konfiguracji Private Link upewnij się, że nasłuchujący jest aktywnie skonfigurowany do korzystania z docelowej konfiguracji adresu IP frontend.

Wykonaj następujące kroki, aby utworzyć konfigurację usługi Private Link:

1. Wyszukaj i wybierz pozycję Application Gateways (Bramy aplikacji).
2. Wybierz wystąpienie usługi Application Gateway.
3. W okienku nawigacji po lewej stronie wybierz pozycję Link prywatny, a następnie wybierz pozycję + Dodaj.
4. Skonfiguruj następujące ustawienia:
   • Nazwa: wprowadź nazwę konfiguracji usługi Private Link
   • Podsieć łącza prywatnego: wybierz dedykowaną podsieć dla adresów IP usługi Private Link
   • Konfiguracja adresu IP frontend: wybierz konfigurację adresu IP frontend, do którego usługa Private Link powinna przesyłać dalej ruch
   • Ustawienia prywatnego adresu IP: skonfiguruj co najmniej jeden adres IP
5. Wybierz pozycję Dodaj , aby utworzyć konfigurację.
6. Z ustawień usługi Application Gateway skopiuj i zapisz identyfikator zasobu. Ten identyfikator jest wymagany podczas konfigurowania prywatnych punktów końcowych z różnych dzierżaw firmy Microsoft Entra.

Konfigurowanie prywatnego punktu końcowego

Prywatny punkt końcowy to interfejs sieciowy, który używa prywatnego adresu IP z sieci wirtualnej do bezpiecznego łączenia się z usługą Azure Application Gateway. Klienci używają prywatnego adresu IP prywatnego punktu końcowego do nawiązywania połączeń z usługą Application Gateway za pośrednictwem bezpiecznego tunelu.

Aby utworzyć prywatny punkt końcowy, wykonaj następujące kroki:

1. W portalu usługi Application Gateway wybierz kartę Połączenia z prywatnym punktem końcowym .
2. Wybierz pozycję + Prywatny punkt końcowy.
3. Na karcie Podstawy :
   • Konfigurowanie grupy zasobów, nazwy i regionu dla prywatnego punktu końcowego
   • Wybierz Dalej: Zasób >
4. Na karcie Zasób:
   • Weryfikowanie ustawień zasobu docelowego
   • Wybierz Dalej: Sieć wirtualna >
5. Na karcie Sieć wirtualna :
   • Wybierz sieć wirtualną i podsieć, w której zostanie utworzony interfejs sieciowy prywatnego punktu końcowego
   • Wybierz Dalej: DNS >
6. Na karcie DNS :
   • Konfigurowanie ustawień DNS zgodnie z potrzebami
   • Wybierz Dalej: Tagi >
7. Na karcie Tagi :
   • Opcjonalnie dodaj tagi zasobów
   • Wybierz Dalej: Przejrzyj + utwórz >
8. Przejrzyj konfigurację i wybierz pozycję Utwórz.

Konfigurowanie usługi Private Link przy użyciu programu PowerShell

Użyj następujących poleceń programu PowerShell, aby skonfigurować usługę Private Link w istniejącej usłudze Application Gateway:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Odwołanie do cmdletów programu PowerShell

Następujące polecenia cmdlet programu Azure PowerShell są dostępne do zarządzania konfiguracjami usługi Application Gateway Private Link:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Konfigurowanie usługi Private Link przy użyciu interfejsu wiersza polecenia platformy Azure

Użyj następujących poleceń interfejsu wiersza polecenia platformy Azure, aby skonfigurować usługę Private Link w istniejącej usłudze Application Gateway:

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Dokumentacja interfejsu wiersza polecenia platformy Azure

Aby uzyskać kompleksową dokumentację poleceń interfejsu wiersza polecenia platformy Azure dotyczącą konfiguracji usługi Application Gateway Private Link, zobacz Interfejs wiersza polecenia platformy Azure — usługa Application Gateway Private Link.