Configurare il collegamento privato del gateway applicazione di Azure

Il Collegamento privato dell'Application Gateway di Azure consente di stabilire connessioni sicure e private con il gateway di applicazione da carichi di lavoro che si estendono tra reti virtuali (VNets) e sottoscrizioni. Questa funzionalità offre connettività privata senza esporre il traffico a Internet pubblico. Per altre informazioni, vedere Collegamento privato del gateway applicazione.

Screenshot del diagramma che mostra l'architettura di Private Link del gateway applicativo.

Opzioni di configurazione

È possibile configurare il collegamento privato del gateway applicazione usando più metodi:

Portale di Azure
Azure PowerShell
Interfaccia CLI di Azure

Prerequisiti

Prima di configurare il collegamento privato, assicurarsi di disporre di:

Un gateway dell'applicazione esistente
Una rete virtuale con una subnet dedicata per Private Link (separata dalla subnet di Application Gateway)
Autorizzazioni appropriate per creare e configurare risorse collegamento privato

Considerazioni sulla subnet per la configurazione del collegamento privato

Per abilitare la configurazione del collegamento privato, è necessario disporre di una subnet dedicata separata dalla subnet del gateway applicazione. Questa subnet viene usata esclusivamente per le configurazioni IP del collegamento privato e non può contenere istanze di Application Gateway.

Ogni indirizzo IP allocato a questa subnet supporta fino a 65.536 connessioni TCP simultanee tramite collegamento privato
Per calcolare gli indirizzi IP necessari: n × 65,536 connessioni, dove n è il numero di indirizzi IP di cui è stato effettuato il provisioning
Massimo otto indirizzi IP per ogni configurazione del collegamento privato
È supportata solo l'allocazione degli indirizzi IP dinamici
Per la subnet i criteri di rete del servizio collegamento privato devono essere disabilitati

Importante

La lunghezza combinata del nome del gateway applicazione e del nome della configurazione del collegamento privato non deve superare i 70 caratteri per evitare errori di distribuzione.

Per creare una subnet dedicata per il collegamento privato, vedere Aggiungere, modificare o eliminare una subnet di rete virtuale.

Nota

Se l'applicazione client si connette ad Application Gateway tramite un indirizzo IP privato, richiede un timeout di inattività maggiore > di 4 minuti e l'applicazione client non invia pacchetti keep-alive TCP, contattare agprivateip-keepalive@microsoft.com per richiedere l'attivazione di keep-alive da Application Gateway.

Disabilitare i criteri di rete sulla subnet Private Link

Per consentire la connettività del collegamento privato, è necessario disabilitare i criteri di rete del servizio collegamento privato nella subnet designata per le configurazioni IP di collegamento privato.

Quando si usa il portale per creare un'istanza del servizio Collegamento privato, questa impostazione viene disabilitata automaticamente come parte del processo di creazione. Le distribuzioni che usano qualsiasi client di Azure (PowerShell, interfaccia della riga di comando di Azure o modelli) richiedono un passaggio aggiuntivo per modificare questa proprietà.

Gli esempi seguenti descrivono come abilitare e disabilitare privateLinkServiceNetworkPolicies per una rete virtuale denominata myVNet con una default subnet di ospitata in un gruppo di 10.1.0.0/24 risorse denominato myResourceGroup.

Questa sezione descrive come disabilitare i criteri degli endpoint privati della subnet usando Azure PowerShell. Nel codice seguente sostituire default con il nome della subnet virtuale.

$subnet = 'default'

$net = @{
    Name = 'myVNet'
    ResourceGroupName = 'myResourceGroup'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $subnet}).privateLinkServiceNetworkPolicies = "Disabled"

$vnet | Set-AzVirtualNetwork

Questa sezione descrive come disabilitare i criteri degli endpoint privati della subnet usando l'interfaccia della riga di comando di Azure.

az network vnet subnet update \
    --name default \
    --vnet-name myVNet \
    --resource-group myResourceGroup \
    --disable-private-link-service-network-policies yes

Questa sezione descrive come disabilitare i criteri degli endpoint privati della subnet usando i modelli di Azure Resource Manager.

{ 
    "name": "myVNet", 
    "type": "Microsoft.Network/virtualNetworks", 
    "apiVersion": "2019-04-01", 
    "location": "WestUS", 
    "properties": { 
        "addressSpace": { 
            "addressPrefixes": [ 
                "10.1.0.0/16" 
             ] 
        }, 
        "subnets": [ 
               { 
                 "name": "default", 
                 "properties": { 
                        "addressPrefix": "10.1.0.0/24", 
                        "privateLinkServiceNetworkPolicies": "Disabled" 
                    } 
                } 
        ] 
    } 
}

Configurare il collegamento privato

La configurazione del collegamento privato definisce l'infrastruttura che consente le connessioni da endpoint privati al gateway applicazione. Prima di creare la configurazione del collegamento privato, assicurarsi che un listener sia configurato attivamente per l'uso della configurazione IP front-end di destinazione.

Per creare la configurazione del collegamento privato, seguire questa procedura:

Cercare e selezionare Gateway applicazione.
Seleziona l'istanza del gateway di applicazione.
Nel riquadro di spostamento a sinistra selezionare Collegamento privato, quindi selezionare + Aggiungi.
Configurare le impostazioni seguenti:
- Nome: immettere un nome per la configurazione del collegamento privato
- Subnet del collegamento privato: selezionare la subnet dedicata per gli indirizzi IP del collegamento privato
- Configurazione IP front-end: selezionare la configurazione IP front-end a cui il collegamento privato deve inoltrare il traffico
- Impostazioni indirizzo IP privato: configurare almeno un indirizzo IP
Selezionare Aggiungi per creare la configurazione.
Dalle impostazioni del Gateway di applicazione, copia e salva l'ID risorsa. Questo identificatore è necessario quando si configurano endpoint privati da tenant Microsoft Entra diversi.

Configurare l'endpoint privato

Un endpoint privato è un'interfaccia di rete che usa un indirizzo IP privato dalla rete virtuale per connettersi in modo sicuro al gateway applicazione di Azure. I client usano l'indirizzo IP privato dell'endpoint privato per stabilire connessioni al gateway applicazione tramite un tunnel sicuro.

Per creare un endpoint privato, seguire questa procedura:

Nel portale di Application Gateway selezionare la scheda Connessioni endpoint privati.
Selezionare + Endpoint privato.
Nella scheda Informazioni di base :
- Configurare il gruppo di risorse, il nome e l'area per l'endpoint privato
- Selezionare Avanti: Risorsa >
Nella scheda Risorsa :
- Verificare le impostazioni delle risorse di destinazione
- Selezionare Avanti: Rete >virtuale
Nella scheda Rete virtuale :
- Selezionare la rete virtuale e la subnet in cui verrà creata l'interfaccia di rete dell'endpoint privato
- Selezionare Avanti: DNS >
Nella scheda DNS :
- Configurare le impostazioni DNS in base alle esigenze
- Selezionare Avanti: Tag >
Nella scheda Tag :
- Facoltativamente, aggiungere tag di risorsa
- Selezionare Avanti: Verifica e crea >
Esaminare la configurazione e selezionare Crea.

Importante

Se la risorsa di configurazione IP pubblica o privata non è presente quando si tenta di selezionare una sotto-risorsa di destinazione nella scheda Risorsa della creazione dell'endpoint privato, assicurarsi che un listener stia utilizzando attivamente la rispettiva configurazione IP front-end. Le configurazioni IP front-end senza un listener associato non possono essere visualizzate come sotto-risorsa di destinazione.

Nota

Quando si effettua il provisioning di un endpoint privato da un tenant Microsoft Entra diverso, è necessario usare l'ID risorsa del gateway applicazione di Azure e specificare il nome della configurazione IP front-end come risorsa secondaria di destinazione. Ad esempio, se la configurazione di un IP privato è chiamata PrivateFrontendIp nel portale, utilizzare PrivateFrontendIp come valore della risorsa secondaria di destinazione.

Azure PowerShell
Interfaccia della riga di comando di Azure

Configurare un collegamento privato con PowerShell

Usare i seguenti comandi di PowerShell per configurare il Private Link su un gateway delle applicazioni esistente:

# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-PSH'
    ResourceGroupName = 'AppGW-PL-PSH-RG'
}
$vnet = Get-AzVirtualNetwork @net

($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}).PrivateLinkServiceNetworkPolicies = "Disabled"

# Apply the network policy changes
$vnet | Set-AzVirtualNetwork

# Get Application Gateway Frontend IP Name 
$agw = Get-AzApplicationGateway -Name AppGW-PL-PSH -ResourceGroupName AppGW-PL-PSH-RG
# List the available Frontend IP configuration Names
$agw.FrontendIPConfigurations | Select Name

# Create Private Link IP configuration
$PrivateLinkIpConfiguration = New-AzApplicationGatewayPrivateLinkIpConfiguration `
                            -Name "ipConfig01" `
                            -Subnet ($vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'AppGW-PL-Subnet'}) `
                            -Primary

# Add Private Link configuration to Application Gateway
Add-AzApplicationGatewayPrivateLinkConfiguration `
    -ApplicationGateway $agw `
    -Name "privateLinkConfig01" `
    -IpConfiguration $PrivateLinkIpConfiguration

# Associate Private Link configuration with Frontend IP
$agwPip = ($agw | Select -ExpandProperty FrontendIpConfigurations| Where-Object {$_.Name -eq 'appGwPublicFrontendIp'}).PublicIPAddress.Id
$privateLinkConfiguration = ($agw | Select -ExpandProperty PrivateLinkConfigurations | Where-Object {$_.Name -eq 'privateLinkConfig01'}).Id
Set-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $agw -Name "appGwPublicFrontendIp" -PublicIPAddressId $agwPip -PrivateLinkConfigurationId $privateLinkConfiguration

# Apply changes to Application Gateway
Set-AzApplicationGateway -ApplicationGateway $agw

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
$net =@{
    Name = 'AppGW-PL-Endpoint-PSH-VNET'
    ResourceGroupName = 'AppGW-PL-Endpoint-PSH-RG'
}
$vnet_plendpoint = Get-AzVirtualNetwork @net

($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}).PrivateEndpointNetworkPolicies = "Disabled"

$vnet_plendpoint | Set-AzVirtualNetwork

# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "AppGW-PL-Connection" -PrivateLinkServiceId $agw.Id -GroupID "appGwPublicFrontendIp"

## Create the Private Endpoint
New-AzPrivateEndpoint -Name "AppGWPrivateEndpoint" -ResourceGroupName $vnet_plendpoint.ResourceGroupName -Location $vnet_plendpoint.Location -Subnet ($vnet_plendpoint | Select -ExpandProperty subnets | Where-Object {$_.Name -eq 'MySubnet'}) -PrivateLinkServiceConnection $privateEndpointConnection

Informazioni di riferimento sui cmdlet di PowerShell

Per la gestione delle configurazioni del collegamento privato del gateway applicazione sono disponibili i cmdlet di Azure PowerShell seguenti:

Configurare un collegamento privato con l'interfaccia della riga di comando di Azure

Usare i seguenti comandi dell'Azure CLI per configurare il Private Link su un Application Gateway esistente.

# Disable Private Link Service Network Policies on the Private Link subnet
# Reference: https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
    --name AppGW-PL-Subnet \
    --vnet-name AppGW-PL-CLI-VNET \
    --resource-group AppGW-PL-CLI-RG \
    --disable-private-link-service-network-policies true

# List available Frontend IP configurations
az network application-gateway frontend-ip list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Create Private Link configuration and associate with Frontend IP
az network application-gateway private-link add \
    --frontend-ip appGwPublicFrontendIp \
    --name privateLinkConfig01 \
    --subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Verify Private Link configuration
az network application-gateway private-link list \
    --gateway-name AppGW-PL-CLI \
    --resource-group AppGW-PL-CLI-RG

# Configure Private Endpoint network (in the client/consumer virtual network)
# Disable Private Endpoint Network Policies
az network vnet subnet update \
    --name MySubnet \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --disable-private-endpoint-network-policies true

# Create Private Endpoint
# Note: Group ID must match the Frontend IP configuration name
az network private-endpoint create \
    --name AppGWPrivateEndpoint \
    --resource-group AppGW-PL-Endpoint-CLI-RG \
    --vnet-name AppGW-PL-Endpoint-CLI-VNET \
    --subnet MySubnet \
    --group-id appGwPublicFrontendIp \
    --private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
    --connection-name AppGW-PL-Connection

Nota

Per spostare un endpoint privato in una sottoscrizione diversa, è necessario eliminare la connessione esistente tra il collegamento privato e l'endpoint privato. Dopo l'eliminazione, creare una nuova connessione endpoint privato nella sottoscrizione di destinazione per ristabilire la connettività.

Attenzione

La configurazione del collegamento privato causerà momentaneamente un'interruzione del traffico (inferiore a 1 minuto) quando è abilitata o disabilitata. È consigliabile eseguire modifiche durante una finestra di manutenzione o un periodo di traffico ridotto. Durante questo periodo, potrebbero essere visualizzati timeout di connessione o codici di stato HTTP 4XX restituiti su richiesta. L'aggiunta/rimozione/approvazione/rifiuto di endpoint privati non causerà interruzioni del traffico.

Informazioni di riferimento sull'interfaccia della riga di comando di Azure

Per informazioni di riferimento complete sui comandi dell'interfaccia della riga di comando di Azure per la configurazione del collegamento privato del gateway applicazione, vedere Interfaccia della riga di comando di Azure - Collegamento privato del gateway applicazione.

Passaggi successivi

Per altre informazioni sul collegamento privato di Azure e sui servizi correlati:

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-03-12

Condividi tramite

Configurare il collegamento privato del gateway applicazione di Azure

Opzioni di configurazione

Prerequisiti

Considerazioni sulla subnet per la configurazione del collegamento privato

Disabilitare i criteri di rete sulla subnet Private Link

Configurare il collegamento privato

Configurare l'endpoint privato

Configurare un collegamento privato con PowerShell

Informazioni di riferimento sui cmdlet di PowerShell

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive