Freigeben über


Anwendungsgateway Private Link

Heute können Sie Ihre kritischen Workloads sicher hinter Application Gateway bereitstellen und von der Flexibilität von Layer 7-Lastenausgleichsfeatures profitieren. Der Zugriff auf die Back-End-Workloads ist auf zwei Arten möglich:

  • Öffentliche IP-Adresse – auf Ihre Workloads kann über das Internet zugegriffen werden.
  • Private IP-Adresse: Auf Ihre Workloads kann privat über Ihr virtuelles Netzwerk/verbundene Netzwerke zugegriffen werden.

Private Link für Application Gateway ermöglicht es Ihnen, Workloads über eine private Verbindung über VNets und Abonnements hinweg zu verbinden. Ein privater Endpunkt wird im Subnetz eines definierten virtuellen Netzwerks platziert und stellt eine private IP-Adresse für Clients bereit, die mit dem Gateway kommunizieren möchten. Eine Liste weiterer PaaS-Dienste, die Private Link-Funktionalität unterstützen, finden Sie unter Was ist Azure Private Link.

Diagramm mit Application Gateway Private Link

Features und Funktionen

Private Link ermöglicht es Ihnen, in den folgenden Szenarien die private Konnektivität mit Application Gateway über einen privaten Endpunkt zu erweitern:

  • VNet in derselben Region wie Application Gateway oder in einer anderen Region
  • VNet in demselben Abonnement wie Application Gateway oder in einem anderen Abonnement
  • VNet in demselben Abonnement und Microsoft Entra-Mandanten wie Application Gateway oder in einem anderen Abonnement und Mandanten

Sie können auch den eingehenden öffentlichen Zugriff (Internet) auf Application Gateway blockieren und Zugriff nur über private Endpunkte zulassen. Eingehender Verwaltungsdatenverkehr muss in Application Gateway weiterhin zulässig sein. Weitere Informationen finden Sie unter Konfiguration der Application Gateway-Infrastruktur.

Alle von Application Gateway unterstützten Features, einschließlich AGIC, werden beim Zugriff über einen privaten Endpunkt unterstützt.

Vier Komponenten müssen Private Link mit Application Gateway implementieren:

  • Application Gateway Private Link-Konfiguration

    Eine Private Link-Konfiguration kann einer Application Gateway-Front-End-IP-Adresse zugeordnet werden, die dann zum Einrichten einer Verbindung über einen privaten Endpunkt verwendet wird. Wenn keine Zuordnung zu einer Application Gateway-Front-End-IP-Adresse vorhanden ist, ist das Private Link-Feature nicht aktiviert.

  • Application Gateway-Front-End-IP-Adresse

    Die öffentliche oder private IP-Adresse, der die Application Gateway Private Link-Konfiguration zugeordnet werden muss, um die Private Link-Funktionen zu aktivieren.

  • Privater Endpunkt

    Eine Azure-Netzwerkressource, die eine private IP-Adresse in Ihrem VNet-Adressraum zuordnet. Diese Ressource wird verwendet, um eine Verbindung mit dem Application Gateway über die private IP-Adresse herzustellen, ähnlich wie bei vielen anderen Azure-Diensten, die Private Link-Zugriff bieten, zum Beispiel Storage, Key Vault usw.

  • Private Endpunktverbindung

    Eine Verbindung mit Application Gateway, die von privaten Endpunkten stammt. Sie können Verbindungen automatisch genehmigen, manuell genehmigen oder ablehnen, um Zugriff zu gewähren oder zu verweigern.

Begrenzungen

  • Die API-Version 2020-03-01 oder höher sollte verwendet werden, um Private Link-Konfigurationen zu konfigurieren.
  • Die Methode der Zuordnung von statischen IP-Adressen im Private Link-Konfigurationsobjekt wird nicht unterstützt.
  • Das Subnetz, das für die Private Link-Konfiguration verwendet wird, darf nicht dasselbe sein wie das Application Gateway-Subnetz.
  • Die Private Link-Konfiguration für Application Gateway macht die Alias-Eigenschaft nicht verfügbar und muss über den Ressourcen-URI referenziert werden.
  • Beim Erstellen von privaten Endpunkten wird kein *.privatelink-DNS-Eintrag oder keine solche Zone erstellt. Alle DNS-Einträge müssen in vorhandene Zonen eingegeben werden, die für Ihre Application Gateway verwendet werden.
  • Azure Front Door und Application Gateway unterstützen keine Verkettung über Private Link.
  • Die Konfiguration der privaten Verbindung für Application Gateway hat eine Leerlaufzeit von ~5 Minuten (300 Sekunden). Um zu vermeiden, dass dieses Limit überschritten wird, müssen Anwendungen, die über private Endpunkte eine Verbindung zum Application Gateway herstellen, TCP-Keepalive-Intervalle von weniger als 300 Sekunden verwenden.

Nächste Schritte