应用程序网关专用链接

目前,可以在应用程序网关后面安全地部署关键工作负载,从而灵活地使用第 7 层负载均衡功能。 可以通过两种方式访问后端工作负载:

  • 公共 IP 地址 - 工作负载可供通过 Internet 访问。
  • 专用 IP 地址 - 可通过虚拟网络/连接的网络以私密方式访问工作负载

应用程序网关的专用链接让你可以通过跨 VNet 和订阅的专用连接来连接工作负载。 配置后,专用终结点放置在已定义的虚拟网络的子网中,为希望与网关通信的客户端提供专用 IP 地址。 有关支持专用链接功能的其他 PaaS 服务的列表,请参阅什么是 Azure 专用链接

此图显示应用程序网关专用链接

特性和功能

专用链接让你可以在以下情况下通过专用终结点将专用连接扩展到应用程序网关:

  • VNet 所在的区域与应用程序网关相同或不同
  • VNet 所在的订阅与应用程序网关相同或不同
  • VNet 所在的订阅与应用程序网关相同或不同,VNet 所在的 Microsoft Entra 租户与应用程序网关相同或不同

还可以选择阻止对应用程序网关的入站公共 (Internet) 访问,并且仅允许通过专用终结点进行访问。 仍需要允许入站管理流量传送到应用程序网关。 有关详细信息,请参阅应用程序网关基础结构配置

通过专用终结点访问时,应用程序网关支持的所有功能均受支持,包括对 AGIC 的支持。

实现应用程序网关的专用链接需要四个组件:

  • 应用程序网关专用链接配置

    专用链接配置可以与应用程序网关前端 IP 地址相关联,然后该地址用于通过专用终结点建立连接。 如果没有与应用程序网关前端 IP 地址关联,不会启用专用链接功能。

  • 应用程序网关前端 IP 地址

    一个公共或专用 IP 地址,应用程序网关专用链接配置需要与之关联,才能启用专用链接功能。

  • 专用终结点

    一个在 VNet 地址空间中分配有专用 IP 地址的 Azure 网络资源。 它用于通过该专用 IP 地址连接到应用程序网关,类似于提供专用链接访问的其他许多 Azure 服务(例如存储、KeyVault 等)。

  • 专用终结点连接

    专用终结点发起的应用程序网关上的连接。 可自动批准、手动批准或拒绝连接来授权或拒绝访问。

限制

  • 应当使用 API 版本 2020-03-01 或更高版本来配置专用链接配置。
  • 不支持专用链接配置对象中的静态 IP 分配方法。
  • 用于 PrivateLinkConfiguration 的子网不能与应用程序网关子网相同。
  • 应用程序网关的专用链接配置不会公开“别名”属性,必须通过资源 URI 进行引用。
  • 创建专用终结点时,不会创建 *.privatelink DNS 记录或区域。 所有 DNS 记录都应输入到用于你的应用程序网关的现有区域。
  • Azure Front Door 和应用程序网关不支持通过专用链接进行链接。
  • 应用程序网关的专用链接配置具有大约 5 分钟(300 秒)的空闲超时。 为了避免达到此限制,通过专用终结点连接到应用程序网关的应用程序必须使用小于 300 秒的 TCP keepalive 间隔。

后续步骤