Private Link pro službu Application Gateway
Dnes můžete nasadit důležité úlohy bezpečně za Application Gateway a získat tak flexibilitu funkcí vyrovnávání zatížení vrstvy 7. Přístup k back-endovým úlohám je možný dvěma způsoby:
- Veřejná IP adresa – vaše úlohy jsou přístupné přes internet.
- Privátní IP adresa – vaše úlohy jsou přístupné soukromě přes vaši virtuální síť nebo připojené sítě.
Private Link pro Službu Application Gateway umožňuje připojit úlohy přes privátní připojení přes virtuální sítě a předplatná. Při konfiguraci se privátní koncový bod umístí do definované podsítě virtuální sítě a poskytne klientům, kteří chtějí komunikovat s bránou, privátní IP adresu. Seznam dalších služeb PaaS, které podporují funkce Private Linku, najdete v tématu Co je Azure Private Link.
Funkce a možnosti
Private Link umožňuje rozšířit privátní připojení ke službě Application Gateway prostřednictvím privátního koncového bodu v následujících scénářích:
- Virtuální síť ve stejné nebo jiné oblasti ze služby Application Gateway
- Virtuální síť ve stejném nebo jiném předplatném služby Application Gateway
- Virtuální síť ve stejném nebo jiném předplatném a stejném nebo jiném tenantovi Microsoft Entra ze služby Application Gateway
Můžete se také rozhodnout blokovat příchozí veřejný (internet) přístup ke službě Application Gateway a povolit přístup pouze prostřednictvím privátních koncových bodů. Příchozí provoz správy musí být pořád povolený pro aplikační bránu. Další informace najdete v tématu Konfigurace infrastruktury služby Application Gateway.
Všechny funkce podporované službou Application Gateway se podporují při přístupu prostřednictvím privátního koncového bodu, včetně podpory pro AGIC.
Komponenty služby Private Link
K implementaci služby Private Link se službou Application Gateway se vyžadují čtyři komponenty:
Konfigurace služby Private Link služby Application Gateway
Konfiguraci privátního propojení je možné přidružit k IP adrese front-endu služby Application Gateway, která se pak používá k navázání připojení pomocí privátního koncového bodu. Pokud není k IP adrese front-endu služby Application Gateway žádné přidružení, funkce Private Link není povolená.
IP adresa front-endu služby Application Gateway
Veřejná nebo privátní IP adresa, ke které je potřeba přidružit konfiguraci služby Private Link služby Application Gateway, aby bylo možné povolit možnosti služby Private Link.
Privátní koncový bod
Síťový prostředek Azure, který přiděluje privátní IP adresu v adresní prostoru virtuální sítě. Používá se k připojení ke službě Application Gateway přes privátní IP adresu podobnou mnoha dalším službám Azure, které poskytují přístup k privátnímu propojení; Například Storage a KeyVault.
Připojení privátního koncového bodu
Připojení ke službě Application Gateway vzniklo privátními koncovými body. Můžete automaticky schvalovat, ručně schvalovat nebo odmítat připojení k udělení nebo zamítnutí přístupu.
Omezení
- Ke konfiguraci konfigurací služby Private Link by se mělo použít rozhraní API verze 2020-03-01 nebo novější.
- Metoda přidělování statických IP adres v objektu Konfigurace služby Private Link není podporovaná.
- Podsíť použitá pro PrivateLinkConfiguration nemůže být stejná jako podsíť služby Application Gateway.
- Konfigurace služby Private Link pro službu Application Gateway nezpřístupňuje vlastnost Alias a musí být odkazována prostřednictvím identifikátoru URI prostředku.
- Vytvoření privátního koncového bodu nevytvoří záznam DNS nebo zónu *.privatelink. Všechny záznamy DNS by měly být zadané ve stávajících zónách používaných pro vaši službu Application Gateway.
- Azure Front Door a Application Gateway nepodporují řetězení přes Private Link.
- Konfigurace služby Private Link pro službu Application Gateway má časový limit nečinnosti přibližně 5 minut (300 sekund). Aby se zabránilo dosažení tohoto limitu, musí aplikace připojující se přes privátní koncové body ke službě Application Gateway používat intervaly zachování protokolu TCP kratší než 300 sekund.