Configurar o Private Link do Gateway de Aplicação do Azure

O Azure Application Gateway Private Link permite que você estabeleça conexões seguras e privadas com seu Gateway de Aplicativo a partir de cargas de trabalho que abrangem redes virtuais (VNets) e assinaturas. Este recurso fornece conectividade privada sem expor o tráfego à Internet pública. Para obter mais informações, consulte Link privado do gateway de aplicativo.

Captura de tela do diagrama mostrando a arquitetura do Application Gateway Private Link.

Opções de configuração

Você pode configurar o Link Privado do Gateway de Aplicativo usando vários métodos:

portal do Azure
Azure PowerShell
Azure CLI (Interface de Linha de Comando da Azure)

Pré-requisitos

Antes de configurar o Private Link, certifique-se de:

Um gateway de aplicação existente
Uma rede virtual com uma sub-rede dedicada para Private Link (separada da sub-rede do Application Gateway)
Permissões apropriadas para criar e configurar recursos de Link Privado

Considerações de sub-redes para a configuração de Private Link

Para ativar a configuração do Enlace Privado, deve ter uma sub-rede dedicada separada da sub-rede do Gateway de Aplicação. Essa sub-rede é usada exclusivamente para configurações de IP de Link Privado e não pode conter nenhuma instância do Application Gateway.

Cada endereço IP alocado a esta sub-rede suporta até 65.536 conexões TCP simultâneas através do Private Link
Para calcular os endereços IP necessários: n × 65,536 conexões, onde n é o número de endereços IP provisionados
Máximo de oito endereços IP por configuração de Link Privado
Apenas a alocação de endereços IP dinâmicos é suportada
A sub-rede deve ter as Políticas de Rede de Serviço de Ligação Privada desativadas

Importante

O comprimento combinado do nome do Gateway de Aplicativo e do nome de configuração do Link Privado não deve exceder 70 caracteres para evitar falhas de implantação.

Para criar uma sub-rede dedicada para o Private Link, consulte Adicionar, alterar ou excluir uma sub-rede de rede virtual.

Nota

Se a sua aplicação cliente se conectar ao Application Gateway através de um IP privado, e exigir um tempo de inatividade superior a > 4 minutos e se a aplicação cliente não enviar pacotes de keep-alive TCP, contacte appgw-idle-timeout@microsoft.com para solicitar a ativação do keep-alive a partir do Application Gateway.

Desativar políticas de rede na sub-rede de Ligação Privada

Para permitir a conectividade de Private Link, deve desativar as políticas de rede do Serviço de Private Link na sub-rede designada para configurações de IP de Private Link.

Para desativar políticas de rede, siga estes passos:

Navegue até o portal do Azure.
Procure e selecione Redes virtuais.
Selecione a rede virtual que contém a sub-rede de Ligação Privada.
No painel de navegação esquerdo, selecione Sub-redes.
Selecione a sub-rede designada para Ligação Privada.
Em políticas de rede de serviços privados de ligação, selecione Desativado.
Selecione Guardar para aplicar as alterações.
1. Aguarde alguns minutos até que as alterações entrem em vigor.
Verifique se a definição de políticas de rede de serviço de ligação privada está agora desativada.

Configurar Private Link

A configuração de Link Privado define a infraestrutura que permite conexões de pontos de extremidade privados para o seu gateway de aplicações. Antes de criar a configuração de Link Privado, verifique se um ouvinte está ativamente configurado para usar a configuração IP de front-end de destino.

Siga estas etapas para criar a configuração de Link Privado:

Procure e selecione Gateways de Aplicativos.
Selecione sua instância do Application Gateway.
No painel de navegação esquerdo, selecione Link privado e, em seguida, selecione + Adicionar.
Defina as seguintes configurações:
- Nome: insira um nome para a configuração do Link Privado
- Sub-rede de link privado: Selecione a sub-rede dedicada para endereços IP de link privado
- Configuração de IP Frontend: Selecione a configuração de IP frontend para a qual o Private Link deve encaminhar o tráfego
- Configurações de endereço IP privado: configure pelo menos um endereço IP
Selecione Adicionar para criar a configuração.
Nas configurações do Application Gateway, copie e salve a ID do recurso. Esse identificador é necessário ao configurar pontos de extremidade privados de diferentes locatários do Microsoft Entra.

Configurar o Ponto Final Privado

Um Endpoint Privado é uma interface de rede que usa um endereço IP privado da sua rede virtual para uma ligação segura ao Gateway de Aplicativo do Azure. Os clientes usam o endereço IP privado do ponto de extremidade privado para estabelecer conexões com o Application Gateway por meio de um túnel seguro.

Para criar um ponto de extremidade privado, execute estas etapas:

No portal do Application Gateway, selecione a guia Private endpoint connections .
Selecione + Ponto de extremidade privado.
Na guia Noções básicas :
- Configurar o grupo de recursos, o nome e a região para o Ponto de Extremidade Privado
- Selecione Próximo: Recurso >
Na guia Recurso :
- Verificar as configurações do recurso de destino
- Selecione Next: Rede Virtual>
Na guia Rede Virtual:
- Selecione a rede virtual e a sub-rede onde a interface de rede Private Endpoint será criada
- Selecione Seguinte: DNS >
Na guia DNS :
- Definir configurações de DNS conforme necessário
- Selecione Próximo: Etiquetas >
Na aba Etiquetas:
- Opcionalmente, adicione tags de recursos
- Selecione Seguinte: Rever + criar >
Reveja a configuração e selecione Criar.

Importante

Se o recurso de configuração de IP público ou privado estiver ausente ao tentar selecionar um subrecurso de destino na guia Recurso da criação de ponto final privado, certifique-se de que um ouvinte esteja utilizando ativamente a configuração de IP frontend respeitada. As configurações de IP frontend sem um ouvinte associado não podem ser mostradas como um subrecurso de destino.

Nota

Ao provisionar um Endpoint Privado de um inquilino diferente do Microsoft Entra, deve usar a ID de Recurso do Gateway de Aplicações do Azure e especificar o nome da configuração IP da interface como o sub-recurso de destino. Por exemplo, se sua configuração IP privada for nomeada PrivateFrontendIp no portal, use PrivateFrontendIp como o valor do subrecurso de destino.

Configurar Link Privado usando o PowerShell

Use os seguintes comandos do PowerShell para configurar o Private Link em um Application Gateway existente:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Referência do cmdlet do PowerShell

Os seguintes cmdlets do Azure PowerShell estão disponíveis para gerenciar configurações de Link Privado do Gateway de Aplicativo:

Configurar Link Privado usando a CLI do Azure

Use os seguintes comandos da CLI do Azure para configurar o Private Link em um Gateway de Aplicativo existente:

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Nota

Para mover um Endpoint Privado para uma subscrição diferente, deve eliminar a ligação existente entre o Enlace Privado e o Endpoint Privado. Após a exclusão, crie uma nova conexão Private Endpoint na assinatura de destino para restabelecer a conectividade.

Atenção

A configuração da ligação privada pode causar momentaneamente interrupção do tráfego (menos de 1 minuto) quando ativada ou desativada. Recomenda-se que as alterações sejam realizadas durante uma janela de manutenção ou período de baixo tráfego. Durante este tempo, pode ver tempos limite de conexão ou códigos de status HTTP 4XX ao fazer uma solicitação. Adicionar, remover, aprovar ou rejeitar pontos de extremidade privados não causarão interrupção de tráfego.

Referência da CLI do Azure

Para obter uma referência de comando abrangente da CLI do Azure para a configuração do Link Privado do Gateway de Aplicativo, consulte CLI do Azure - Link Privado do Gateway de Aplicativo.

Próximos passos

Para saber mais sobre o Azure Private Link e serviços relacionados:

Feedback

Esta página foi útil?

Last updated on 2025-12-04

Partilhar via

Configurar o Private Link do Gateway de Aplicação do Azure

Opções de configuração

Pré-requisitos

Considerações de sub-redes para a configuração de Private Link

Desativar políticas de rede na sub-rede de Ligação Privada

Configurar Private Link

Configurar o Ponto Final Privado

Próximos passos

Feedback

Recursos adicionais