Configurar o Link Privado do Gateway de Aplicativo do Azure

Desabilitar políticas de rede na sub-rede do Link Privado

Para permitir a conectividade de Link Privado, você deve desabilitar as Políticas de Rede do Serviço de Link Privado na sub-rede designada para configurações de IP de Link Privado.

Para desabilitar as políticas de rede, siga estas etapas:

1. Navegue no portal Azure.
2. Pesquise por Redes virtuais e selecione essa opção.
3. Selecione a rede virtual que contém a sub-rede de link privado.
4. No painel de navegação esquerdo, selecione Sub-redes.
5. Selecione a sub-rede designada para o Link Privado.
6. Em Políticas de rede de serviço de link privado, selecione Desabilitado.
7. Selecione Salvar para aplicar as alterações.
   1. Aguarde alguns minutos para que as alterações entrem em vigor.
8. Verifique se a configuração de políticas de rede do serviço de link privado está desabilitada.

Configurar link privado

A configuração de Link Privado define a infraestrutura que permite conexões de pontos de extremidade privados no seu Gateway de Aplicativo. Antes de criar a configuração de Link Privado, verifique se um ouvinte está configurado ativamente para usar a configuração de IP de front-end de destino.

Siga estas etapas para criar a configuração de Link Privado:

1. Pesquise e selecione Gateways de Aplicativo.
2. Selecione sua instância do Gateway de Aplicativo.
3. No painel de navegação esquerdo, selecione Link privado e, em seguida, selecione + Adicionar.
4. Defina as seguintes configurações:
   • Nome: insira um nome para a configuração de Link Privado
   • Sub-rede de Link Privado: selecione a sub-rede dedicada para endereços IP de Link Privado
   • Configuração de IP de front-end: selecione a configuração de IP de front-end para a qual o Link Privado deve encaminhar o tráfego para
   • Configurações de endereço IP privado: configurar pelo menos um endereço IP
5. Selecione Adicionar para criar a configuração.
6. Nas configurações do Gateway de Aplicativo, copie e salve a ID do Recurso. Esse identificador é necessário ao configurar pontos de extremidade privados de diferentes locatários do Microsoft Entra.

Configurar ponto de extremidade privado

Um ponto de extremidade privado é uma interface de rede que usa um endereço de IP privado da sua rede virtual para se conectar com segurança ao Gateway de Aplicativo do Azure. Os clientes usam o IP privado do endpoint privado para estabelecer conexões com o Gateway de Aplicativo através de um túnel seguro.

Para criar um ponto de extremidade privado, siga estas etapas:

1. No portal do Gateway de Aplicativo, selecione a guia Conexões do ponto de extremidade privado.
2. Selecione + Ponto de extremidade privado.
3. Na guia Noções básicas :
   • Configurar o grupo de recursos, o nome e a região para o Private Endpoint
   • Selecione Avançar: Recurso >
4. Na guia Recurso :
   • Verificar as configurações de recurso de destino
   • Selecione Avançar: Rede Virtual >
5. Na guia Rede Virtual:
   • Selecione a rede virtual e a sub-rede onde a interface de rede do Ponto de Extremidade Privado será criada.
   • Selecione Avançar: DNS >
6. Na guia DNS:
   • Definir as configurações de DNS conforme necessário
   • Selecione Próximo: Tags >
7. Na guia Etiquetas:
   • Opcionalmente, adicione marcas de recurso
   • Selecione Avançar: Revisar + criar >
8. Examine a configuração e selecione Criar.

Configurar o Link Privado usando o PowerShell

Use os seguintes comandos do PowerShell para configurar o Link Privado em um Gateway de Aplicativo existente:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Referência de cmdlet do PowerShell

Os seguintes cmdlets do Azure PowerShell estão disponíveis para gerenciar as configurações de Link Privado do Gateway de Aplicativo:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Configurar o Link Privado usando a CLI do Azure

Use os seguintes comandos da CLI do Azure para configurar o Link Privado em um Gateway de Aplicativo existente:

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Referência da CLI do Azure

Para obter uma referência abrangente de comandos da CLI do Azure para configuração do Link Privado do Gateway de Aplicativo, consulte Azure CLI - Application Gateway Private Link.