Schnellstart: Erstellen eines Privaten Linkdiensts mit Azure CLI

Führen Sie die ersten Schritte zum Erstellen eines Private Link-Diensts für Ihren Dienst aus. Gewähren Sie für Private Link den Zugriff auf Ihren Dienst oder Ihre Ressource hinter Azure Load Balancer Standard. Benutzer Ihres Diensts verfügen über privaten Zugriff aus ihrem virtuellen Netzwerk.

Wenn Sie nicht über ein Azure-Konto verfügen, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.

Voraussetzungen

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter "Erste Schritte mit Azure Cloud Shell".

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen möchten, installieren Sie die Azure CLI. Wenn Sie mit Windows oder macOS arbeiten, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Um den Authentifizierungsprozess abzuschließen, führen Sie die schritte aus, die in Ihrem Terminal angezeigt werden. Weitere Anmeldeoptionen finden Sie unter Authentifizieren bei Azure mithilfe der Azure CLI.

  • Wenn Sie dazu aufgefordert werden, installieren Sie die Azure CLI-Erweiterung bei der ersten Verwendung. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden und Verwalten von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um auf die neueste Version zu aktualisieren.

• Für diesen Schnellstart ist mindestens Version 2.0.28 der Azure CLI erforderlich. Wenn Sie Azure Cloud Shell verwenden, ist die neueste Version bereits installiert.

Erstellen einer Ressourcengruppe

Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Erstellen Sie mit az group create eine Ressourcengruppe:

• Name: test-rg.

• In der eastus2-Region.

az group create \
    --name test-rg \
    --location eastus2

Erstellen Sie einen internen Lastverteiler

In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk und einen internen Azure Load Balancer.

Virtuelles Netzwerk

In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk und ein Subnetz, um das Lastenausgleichsmodul zu hosten, das auf Ihren Privaten Link-Dienst zugreift.

Erstellen Sie ein virtuelles Netzwerk mit az network vnet create:

• vnet-1 genannt.

• Adresspräfix: 10.0.0.0/16

• Subnetz mit dem Namen Subnetz 1.

• Subnetzpräfix: 10.0.0.0/24

• In der Test-rg-Ressourcengruppe.

• Standort eastus2.

• Deaktivieren Sie die Netzwerkrichtlinie für den privaten Linkdienst im Subnetz.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Standard-Load-Balancer erstellen

In diesem Abschnitt erfahren Sie, wie Sie die folgenden Komponenten des Lastenausgleichs erstellen und konfigurieren:

• Ein Frontend-IP-Pool, der den eingehenden Netzwerkdatenverkehr am Load Balancer empfängt.

• Ein Backend-IP-Pool, an den der Frontend-Pool den lastverteilten Netzwerkdatenverkehr sendet.

• Ein Integritätstest, der die Integrität der Back-End-VM-Instanzen bestimmt.

• Eine Lastenausgleichsregel, die definiert, wie Datenverkehr an die virtuellen Computer verteilt wird.

Erstellen der Lastenausgleichsressource

Erstellen Sie mit az network lb create einen öffentlichen Lastenausgleich:

• Benannter Lastenausgleichsmodul.

• Ein Frontend-Pool mit dem Namen "Frontend".

• Ein Backend-Pool namens backend-pool.

• Dem virtuellen Netzwerk vnet-1 zugeordnet.

• Zugeordnet dem Backend-Subnetz subnetz-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Erstellen des Integritätstests

Von einem Integritätstest werden alle VM-Instanzen überprüft, um sicherzustellen, dass sie Netzwerkdatenverkehr senden können.

Ist der Test bei einem virtuellen Computer nicht erfolgreich, wird er aus dem Lastenausgleich entfernt. Nach Behebung des Fehlers wird der virtuelle Computer dem Lastenausgleich wieder hinzugefügt.

Erstellen Sie mit az network lb probe create einen Integritätstest:

• Überwacht die Integrität der virtuellen Computer.

• Name: health-probe.

• Protokoll: TCP

• Überwachung von Port 80.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Erstellen der Lastenausgleichsregel

Durch eine Lastenausgleichsregel wird Folgendes definiert:

• Front-End-IP-Konfiguration für den eingehenden Datenverkehr.

• Back-End-IP-Pool zum Empfangen des Datenverkehrs.

• Erforderliche Quell- und Zielports.

Erstellen Sie mit az network lb rule create eine Lastenausgleichsregel:

• Name: http-rule

• Lauscht am Port 80 im Front-End-Pool frontend.

• Senden von lastverteiltem Netzwerkverkehr an den Backend-Adresspool mit Port 80.

• Verwendet den Integritätstest health-probe.

• Protokoll: TCP

• Leerlaufzeitüberschreitung von 15 Minuten.

• Aktivieren Sie den TCP-Reset.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Deaktivieren von Netzwerkrichtlinien

Bevor ein privater Linkdienst im virtuellen Netzwerk erstellt werden kann, muss die Einstellung privateLinkServiceNetworkPolicies deaktiviert werden.

• Deaktivieren Sie die Netzwerkrichtlinie mit az network vnet subnet update.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

Erstellen eines Private Link-Diensts

Erstellen Sie in diesem Abschnitt einen privaten Linkdienst, der den im vorherigen Schritt erstellten Azure Load Balancer verwendet.

Erstellen Sie einen privaten Linkdienst mithilfe einer standardmäßigen Load Balancer-Frontend-IP-Konfiguration mit az network private-link-service create:

• Name: private-link-service.

• In virtuellem Netzwerk vnet-1.

• Verknüpft mit dem Standard-Lastenausgleich load-balancer und der Frontend-Konfiguration frontend.

• In der eastus2-Region.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Ihr Private Link-Dienst wird erstellt und kann Datenverkehr empfangen. Konfigurieren Sie Ihre Anwendung hinter Ihrer Instanz von Load Balancer Standard, falls Sie den Datenverkehrsfluss anzeigen möchten.

Erstellen eines privaten Endpunkts

In diesem Abschnitt ordnen Sie den Private Link-Dienst einem privaten Endpunkt zu. Ein virtuelles Netzwerk enthält den privaten Endpunkt für den Private Link-Dienst. In diesem virtuellen Netzwerk sind die Ressourcen enthalten, die auf Ihren Private Link-Dienst zugreifen.

Erstellen eines virtuellen Netzwerks des privaten Endpunkts

Erstellen Sie ein virtuelles Netzwerk mit az network vnet create:

• Name: vnet-pe.

• Adresspräfix 10.1.0.0/16.

• Subnetz namens subnet-pe.

• Subnetzpräfix 10.1.0.0/24.

• In der Test-rg-Ressourcengruppe.

• Standort eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Endpunkt und Verbindung erstellen

• Verwenden Sie az network private-link-service show, um die Ressourcen-ID des Private-Link-Dienstes zu erhalten. Der Befehl platziert die Ressourcen-ID zur späteren Verwendung in eine Variable.

• Verwenden Sie az network private-endpoint create , um den privaten Endpunkt im virtuellen Netzwerk zu erstellen, das Sie zuvor erstellt haben.

• Benannter privater Endpunkt.

• In der Test-rg-Ressourcengruppe.

• Verbindungsname verbindung-1.

• Standort eastus2.

• Im virtuellen Netzwerk vnet-pe und Subnetz subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe 

Bereinigen von Ressourcen

Verwenden Sie den Befehl az group delete, um die Ressourcengruppe, den Private Link-Dienst, den Load Balancer und alle zugehörigen Ressourcen zu entfernen, wenn Sie sie nicht mehr benötigen.

az group delete \
    --name test-rg 

Nächste Schritte

In dieser Schnellstartanleitung führen Sie die folgenden Schritte aus:

• Erstellen eines virtuellen Netzwerks und einer internen Azure Load Balancer-Instanz

• Erstellt einen privaten Linkdienst

Weitere Informationen zu privaten Azure-Endpunkten finden Sie unter: