Приватный канал Шлюза приложений
Сегодня вы можете безопасно развертывать критически важные рабочие нагрузки за Шлюз приложений, обеспечивая гибкость функций балансировки нагрузки уровня 7. Доступ к внутренним рабочим нагрузкам возможен двумя способами:
- Общедоступный IP-адрес — рабочие нагрузки доступны через Интернет.
- Частный IP-адрес— рабочие нагрузки доступны в частном порядке через виртуальную сеть или подключенные сети.
Приватный канал для Шлюз приложений позволяет подключать рабочие нагрузки через частное подключение, охватывающее виртуальные сети и подписки. При настройке частная конечная точка помещается в определенную подсеть виртуальной сети, предоставляя частный IP-адрес для клиентов, желающих взаимодействовать с шлюзом. Список других служб PaaS, поддерживающих функции Приватный канал, см. в разделе "Что такое Приватный канал Azure".
Функции и возможности
Приватный канал позволяет расширить частное подключение к Шлюз приложений через частную конечную точку в следующих сценариях:
- Виртуальная сеть в одном или другом регионе от Шлюз приложений
- Виртуальная сеть в одной или другой подписке от Шлюз приложений
- Виртуальная сеть в одной или другой подписке и другой или другой клиент Microsoft Entra из Шлюз приложений
Вы также можете заблокировать доступ к Шлюз приложений для входящего общедоступного доступа (Интернет) и разрешить доступ только через частные конечные точки. Входящий трафик управления по-прежнему должен быть разрешен шлюзу приложений. Дополнительные сведения см. в разделе Шлюз приложений конфигурации инфраструктуры
Все функции, поддерживаемые Шлюз приложений, поддерживаются при доступе через частную конечную точку, включая поддержку AGIC.
компоненты Приватный канал
Четыре компонента необходимы для реализации Приватный канал с Шлюз приложений:
Конфигурация Шлюз приложений Приватный канал
Конфигурация приватного канала может быть связана с IP-адресом интерфейса Шлюз приложений, который затем используется для установления подключения с помощью частной конечной точки. Если нет связи с ip-адресом интерфейса Шлюз приложений, функция Приватный канал не включена.
IP-адрес интерфейса Шлюз приложений
Общедоступный или частный IP-адрес, в котором необходимо связать конфигурацию Шлюз приложений Приватный канал, чтобы включить возможности Приватный канал.
Частная конечная точка
Сетевой ресурс Azure, который выделяет частный IP-адрес в адресном пространстве виртуальной сети. Он используется для подключения к Шлюз приложений через частный IP-адрес, аналогичный многим другим службам Azure, предоставляющим доступ по приватным ссылкам, например storage и KeyVault.
Подключение к частной конечной точке
Подключение к Шлюз приложений, созданное частными конечными точками. Вы можете автоматически утвердить, вручную утвердить или отклонить подключения для предоставления или запрета доступа.
Ограничения
- Api версии 2020-03-01 или более поздней версии следует использовать для настройки конфигураций Приватный канал.
- Метод выделения статических IP-адресов в объекте конфигурации Приватный канал не поддерживается.
- Подсеть, используемая для PrivateLinkConfiguration, не может совпадать с подсетью Шлюз приложений.
- Конфигурация приватного канала для Шлюз приложений не предоставляет свойство Alias и должна ссылаться через URI ресурса.
- Создание частной конечной точки не создает запись DNS или зону *.privatelink. Все записи DNS должны быть введены в существующих зонах, используемых для Шлюз приложений.
- Azure Front Door и Шлюз приложений не поддерживают цепочку через Приватный канал.
- Приватный канал Конфигурация для Шлюз приложений имеет время ожидания простоя около 5 минут (300 секунд). Чтобы избежать этого ограничения, приложения, подключающиеся через частные конечные точки к Шлюз приложений, должны использовать интервалы хранения TCP менее 300 секунд.