Private Link 構成を有効にするには、Private Link IP 構成に、Application Gateway サブネットとは異なるサブネットが必要です。 Private Link は、Application Gateway が含まれていないサブネットを使用する必要があります。 サブネットのサイズ設定は、デプロイに必要な接続の数によって決まります。 このサブネットに割り当てられた各 IP アドレスにより、64 K の同時 TCP 接続が単一時点で Private Link 経由で確立できます。 Private Link 経由で許可される接続数を増やすには、割り当てる IP アドレスを増やします。 たとえば、n * 64K です。ここで、n はプロビジョニングされる IP アドレスの数です。
Note
Private Link 構成あたりの IP アドレスの最大数は 8 です。 動的割り当てのみがサポートされています。
Private Link 構成では、プライベート エンドポイントからの接続を有効にするために Application Gateway で使用されるインフラストラクチャが定義されます。 Private Link 構成を作成する際は、優先されるフロントエンド IP 構成がリスナーによってアクティブに使用されるようにすることが重要です。Private Link 構成を作成するための手順は以下のとおりです。
Azure CLI を使用して既存の Application Gateway 上に Private Link を構成するには、以下のコマンドを使用します。
# Disable Private Link Service Network Policies
# https://zcusa.951200.xyz/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
--name AppGW-PL-Subnet \
--vnet-name AppGW-PL-CLI-VNET \
--resource-group AppGW-PL-CLI-RG \
--disable-private-link-service-network-policies true
# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
--frontend-ip appGwPublicFrontendIp \
--name privateLinkConfig01 \
--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Get Private Link resource ID
az network application-gateway private-link list \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Disable Private Endpoint Network Policies
# https://zcusa.951200.xyz/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
--name MySubnet \
--vnet-name AppGW-PL-Endpoint-CLI-VNET \
--resource-group AppGW-PL-Endpoint-CLI-RG \
--disable-private-endpoint-network-policies true
# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
--name AppGWPrivateEndpoint \
--resource-group AppGW-PL-Endpoint-CLI-RG \
--vnet-name AppGW-PL-Endpoint-CLI-VNET \
--subnet MySubnet \
--group-id appGwPublicFrontendIp \
--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
--connection-name AppGW-PL-Connection