Configurar o Private Link do Gateway de Aplicação do Azure

Pré-requisitos

Antes de configurar o Private Link, certifique-se de:

• Um gateway de aplicação existente
• Uma rede virtual com uma sub-rede dedicada para Private Link (separada da sub-rede do Application Gateway)
• Permissões apropriadas para criar e configurar recursos de Link Privado

Definir uma sub-rede para configuração de Link Privado

Para habilitar a configuração do Link Privado, você deve criar uma sub-rede dedicada separada da sub-rede do Application Gateway. Essa sub-rede é usada exclusivamente para configurações de IP de Link Privado e não pode conter nenhuma instância do Application Gateway.

Considerações sobre o dimensionamento da sub-rede:

• Cada endereço IP alocado a esta sub-rede suporta até 65.536 conexões TCP simultâneas através do Private Link
• Para calcular os endereços IP necessários: n × 65,536 conexões, onde n é o número de endereços IP provisionados
• Máximo de oito endereços IP por configuração de Link Privado
• Apenas a alocação de endereços IP dinâmicos é suportada

Para criar uma sub-rede dedicada para o Private Link, consulte Adicionar, alterar ou excluir uma sub-rede de rede virtual.

Configurar Private Link

A configuração de Link Privado define a infraestrutura que permite conexões de pontos de extremidade privados para o seu gateway de aplicações. Antes de criar a configuração de Link Privado, verifique se um ouvinte está ativamente configurado para usar a configuração IP de front-end de destino.

Siga estas etapas para criar a configuração de Link Privado:

1. Navegue até o portal do Azure.
2. Procure e selecione Gateways de Aplicativos.
3. Selecione sua instância do Application Gateway.
4. No painel de navegação esquerdo, selecione Link privado e, em seguida, selecione + Adicionar.
5. Defina as seguintes configurações:
   • Nome: insira um nome para a configuração do Link Privado
   • Sub-rede de link privado: Selecione a sub-rede dedicada para endereços IP de link privado
   • Configuração de IP Frontend: Selecione a configuração de IP frontend para a qual o Private Link deve encaminhar o tráfego
   • Configurações de endereço IP privado: configure pelo menos um endereço IP
6. Selecione Adicionar para criar a configuração.
7. Nas configurações do Application Gateway, copie e salve a ID do recurso. Esse identificador é necessário ao configurar pontos de extremidade privados de diferentes locatários do Microsoft Entra.

Configurar o Ponto Final Privado

Um Endpoint Privado é uma interface de rede que usa um endereço IP privado da sua rede virtual para uma ligação segura ao Gateway de Aplicativo do Azure. Os clientes usam o endereço IP privado do ponto de extremidade privado para estabelecer conexões com o Application Gateway por meio de um túnel seguro.

Para criar um ponto de extremidade privado, execute estas etapas:

1. No portal do Application Gateway, selecione a guia Private endpoint connections .
2. Selecione + Ponto de extremidade privado.
3. Na guia Noções básicas :
   • Configurar o grupo de recursos, o nome e a região para o Ponto de Extremidade Privado
   • Selecione Próximo: Recurso >
4. Na guia Recurso :
   • Verificar as configurações do recurso de destino
   • Selecione Next: Rede Virtual>
5. Na guia Rede Virtual:
   • Selecione a rede virtual e a sub-rede onde a interface de rede Private Endpoint será criada
   • Selecione Seguinte: DNS >
6. Na guia DNS :
   • Definir configurações de DNS conforme necessário
   • Selecione Próximo: Etiquetas >
7. Na aba Etiquetas:
   • Opcionalmente, adicione tags de recursos
   • Selecione Seguinte: Rever + criar >
8. Reveja a configuração e selecione Criar.

Pré-requisitos

Antes de usar os comandos do PowerShell, verifique se você tem:

• Módulo do Azure PowerShell instalado e configurado
• Permissões apropriadas para modificar o Application Gateway e os recursos de rede
• Um gateway de aplicativo existente e serviço de rede virtual (VNet)

Configurar Link Privado usando o PowerShell

Use os seguintes comandos do PowerShell para configurar o Private Link em um Application Gateway existente:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set
-AzApplicationGatewayFrontendIPConfig 
-ApplicationGateway $agw -Name "appGwPublicFrontendIp" 
-PublicIPAddressId $agwPip 
-PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Referência do cmdlet do PowerShell

Os seguintes cmdlets do Azure PowerShell estão disponíveis para gerenciar configurações de Link Privado do Gateway de Aplicativo:

• Get-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkConfiguration
• New-AzApplicationGatewayPrivateLinkIpConfiguration
• Add-AzApplicationGatewayPrivateLinkConfiguration
• Remove-AzApplicationGatewayPrivateLinkConfiguration
• Set-AzApplicationGatewayPrivateLinkConfiguration

Pré-requisitos

Antes de usar os comandos da CLI do Azure, verifique se você tem:

• CLI do Azure instalada e configurada
• Permissões apropriadas para modificar o Application Gateway e os recursos de rede
• Um Gateway de Aplicações existente e serviço de Rede Virtual (VNet)

Configurar Link Privado usando a CLI do Azure

Use os seguintes comandos da CLI do Azure para configurar o Private Link em um Gateway de Aplicativo existente:

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Referência da CLI do Azure

Para obter uma referência de comando abrangente da CLI do Azure para a configuração do Link Privado do Gateway de Aplicativo, consulte CLI do Azure - Link Privado do Gateway de Aplicativo.