Настройка приватного канала Шлюза приложений Azure

Предпосылки

Прежде чем настроить приватный канал, убедитесь, что у вас есть:

• Существующий шлюз приложений
• Виртуальная сеть с выделенной подсетью для приватного канала (отдельная от подсети шлюза приложений)
• Соответствующие разрешения для создания и настройки ресурсов Приватного канала

Определение подсети для конфигурации приватного канала

Чтобы включить конфигурацию приватного канала, необходимо создать выделенную подсеть, отдельную от подсети шлюза приложений. Эта подсеть используется исключительно для конфигураций IP-адресов Private Link и не может содержать экземпляры Application Gateway.

Рекомендации по размеру подсети:

• Каждый IP-адрес, выделенный этой подсети, поддерживает до 65 536 одновременных TCP-подключений через Приватный канал.
• Для вычисления необходимых IP-адресов: n × 65,536 соединения, где n это количество подготовленных IP-адресов.
• Не более восьми IP-адресов на конфигурацию приватного канала
• Поддерживается только динамическое выделение IP-адресов

Сведения о создании выделенной подсети для приватного канала см. в статье "Добавление, изменение" или удаление подсети виртуальной сети.

Настройка приватного канала

Конфигурация приватного канала определяет инфраструктуру, которая позволяет подключаться из частных конечных точек к шлюзу приложений. Перед созданием конфигурации приватного канала убедитесь, что прослушиватель активно настроен для использования целевой конфигурации внешнего IP-адреса.

Выполните следующие действия, чтобы создать конфигурацию приватного канала:

1. Перейдите на портал Azure.
2. Найдите и выберите Шлюз приложений.
3. Выберите экземпляр шлюза приложений.
4. В области навигации слева выберите приватную ссылку, а затем нажмите кнопку +Добавить.
5. Настройте следующие параметры:
   • Имя: введите имя конфигурации приватного канала
   • Подсеть приватного канала: выберите выделенную подсеть для IP-адресов приватного канала.
   • Конфигурация внешнего IP-адреса: выберите конфигурацию внешнего IP-адреса, на которую Private Link должен направлять трафик.
   • Параметры частного IP-адреса. Настройка по крайней мере одного IP-адреса
6. Нажмите кнопку "Добавить ", чтобы создать конфигурацию.
7. Скопируйте и сохраните идентификатор ресурса из параметров шлюза приложений. Этот идентификатор требуется при настройке частных конечных точек из разных клиентов Microsoft Entra.

Настройка частной конечной точки

Частная конечная точка — это сетевой интерфейс, использующий частный IP-адрес из виртуальной сети для безопасного подключения к шлюзу приложений Azure. Клиенты используют частный IP-адрес частной конечной точки для установления подключений к шлюзу приложений через безопасный туннель.

Чтобы создать частную конечную точку, выполните следующие действия.

1. На портале шлюза приложений перейдите на вкладку "Подключения к частной конечной точке ".
2. Выберите + Частная конечная точка.
3. На вкладке "Основные сведения" :
   • Настройка группы ресурсов, имени и региона для частной конечной точки
   • Нажмите кнопку "Далее": ресурс >
4. На вкладке "Ресурс" :
   • Проверка параметров целевого ресурса
   • Нажмите кнопку "Далее": виртуальная сеть >
5. На вкладке "Виртуальная сеть" :
   • Выберите виртуальную сеть и подсеть, в которой будет создан сетевой интерфейс частной конечной точки.
   • Нажмите кнопку "Далее": DNS >
6. На вкладке DNS :
   • Настройка параметров DNS по мере необходимости
   • Нажмите кнопку "Далее": теги >
7. На вкладке "Теги" :
   • При необходимости добавьте теги ресурсов
   • Выберите Далее: проверка и создание >
8. Просмотрите конфигурацию и нажмите кнопку Создать.

Предпосылки

Прежде чем использовать команды PowerShell, убедитесь, что вы:

• Установленный и настроенный модуль Azure PowerShell
• Соответствующие разрешения для изменения шлюза приложений и сетевых ресурсов
• Существующая служба шлюза приложений и виртуальной сети

Настройка приватного канала с помощью PowerShell

Используйте следующие команды PowerShell для настройки приватного канала в существующем шлюзе приложений:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set
-AzApplicationGatewayFrontendIPConfig 
-ApplicationGateway $agw -Name "appGwPublicFrontendIp" 
-PublicIPAddressId $agwPip 
-PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Справочник по командлетам PowerShell

Для управления конфигурациями приватного канала шлюза приложений доступны следующие командлеты Azure PowerShell:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Предпосылки

Прежде чем использовать команды Azure CLI, убедитесь, что вы:

• Установлен и настроен Azure CLI
• Соответствующие разрешения для изменения шлюза приложений и сетевых ресурсов
• Существующая служба шлюза приложений и виртуальной сети

Настройка приватного канала с помощью Azure CLI

Используйте следующие команды Azure CLI для настройки приватного канала в существующем шлюзе приложений:

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Справочник по Azure CLI

Полный справочник по команде Azure CLI для конфигурации приватного канала шлюза приложений см. в статье Azure CLI — приватный канал шлюза приложений.