Udostępnij przez

Korzystanie z usługi Private Link (wersja zapoznawcza)

W tym artykule opisano sposób używania usługi Private Link w celu ograniczenia dostępu do zarządzania zasobami w ramach subskrypcji. Linki prywatne umożliwiają dostęp do usług platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Zapobiega to narażeniu usługi na publiczny Internet.

W tym artykule opisano proces konfigurowania usługi Private Link przy użyciu witryny Azure Portal.

Ważne

Tę funkcję można włączyć w warstwach za dodatkową opłatę.

Uwaga / Notatka

Możliwość korzystania z linków prywatnych w usłudze Azure Notification Hubs jest obecnie dostępna w wersji zapoznawczej. Jeśli interesuje Cię korzystanie z tej funkcji, skontaktuj się z menedżerem sukcesu klienta w firmie Microsoft lub utwórz bilet pomocy technicznej platformy Azure.

Tworzenie prywatnego punktu końcowego wraz z nowym centrum powiadomień w portalu

Poniższa procedura tworzy prywatny punkt końcowy wraz z nowym centrum powiadomień przy użyciu witryny Azure Portal:

  1. Utwórz nowe centrum powiadomień i wybierz kartę Sieć .

  2. Wybierz pozycję Dostęp prywatny, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający stronę tworzenia centrum powiadomień w portalu z opcją linku prywatnego.

  3. Wypełnij subskrypcję, grupę zasobów, lokalizację i nazwę nowego prywatnego punktu końcowego. Wybierz sieć wirtualną i podsieć. W obszarze Integracja z prywatną strefą DNS wybierz pozycję Tak i wpisz privatelink.notificationhub.windows.net w polu Prywatna strefa DNS .

    Zrzut ekranu przedstawiający stronę tworzenia prywatnego punktu końcowego centrum powiadomień.

  4. Wybierz przycisk OK , aby wyświetlić potwierdzenie utworzenia przestrzeni nazw i centrum z prywatnym punktem końcowym.

  5. Wybierz pozycję Utwórz , aby utworzyć centrum powiadomień z prywatnym połączeniem punktu końcowego.

    Zrzut ekranu przedstawiający stronę potwierdzenia prywatnego punktu końcowego centrum powiadomień.

Tworzenie prywatnego punktu końcowego dla istniejącego centrum powiadomień w portalu

  1. W portalu po lewej stronie w sekcji Zabezpieczenia i sieć wybierz pozycję Notification Hubs, a następnie wybierz pozycję Sieć.

  2. Wybierz kartę Dostęp prywatny .

    Zrzut ekranu przedstawiający kartę dostępu prywatnego.

  3. Wypełnij subskrypcję, grupę zasobów, lokalizację i nazwę nowego prywatnego punktu końcowego. Wybierz sieć wirtualną i podsieć. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający właściwości tworzenia łącza prywatnego.

Tworzenie prywatnego punktu końcowego przy użyciu CLI

  1. Zaloguj się do interfejsu wiersza polecenia platformy Azure i ustaw subskrypcję:

    az login
az account set --subscription <azure_subscription_id>

  2. Utwórz nową grupę zasobów:

    az group create -n <resource_group_name> -l <azure_region>

  3. Zarejestruj microsoft.NotificationHubs jako dostawcę:

    az provider register -n Microsoft.NotificationHubs

  4. Utwórz nową przestrzeń nazw i centrum usługi Notification Hubs:

    az notification-hub namespace create 
     --name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>
     --sku "Standard"

 az notification-hub create 
     --name <notification_hub_name>
     --namespace-name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>

  5. Utwórz sieć wirtualną z podsiecią:

    az network vnet create
     --resource-group <resource_group_name>
     --name <vNet name>
     --location <azure_region>

az network vnet subnet create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --name <subnet_name>
     --address-prefixes <address_prefix>

  6. Wyłącz zasady sieci wirtualnej:

    az network vnet subnet update
     --name <subnet_name>
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --disable-private-endpoint-network-policies true

  7. Dodaj prywatne strefy DNS i połącz je z siecią wirtualną:

    az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.servicebus.windows.net

az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.notificationhub.windows.net

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.servicebus.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.notificationhub.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

  8. Utwórz prywatny punkt końcowy (automatycznie zatwierdzony):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>  
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace 
     --connection-name <private_link_connection_name>
     --location <azure-region>

  9. Utwórz prywatny punkt końcowy (z ręcznym zatwierdzeniem żądania):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vnet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace
     --connection-name <private_link_connection_name>
     --location <azure-region>
     --manual-request

  10. Pokaż stan połączenia:

    az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>

Zarządzanie prywatnymi punktami końcowymi przy użyciu portalu

Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu, możesz zatwierdzić żądanie połączenia, pod warunkiem, że masz wystarczające uprawnienia. Jeśli łączysz się z zasobem platformy Azure w innym katalogu, musisz poczekać, aż właściciel tego zasobu zatwierdzi żądanie połączenia.

Istnieją cztery stany dostarczania:

Działanie serwisowe Stan prywatnego punktu końcowego odbiorcy usługi Opis
Żaden W oczekiwaniu Połączenie jest tworzone ręcznie i oczekuje na zatwierdzenie od właściciela zasobu łącza prywatnego.
Zatwierdzić Zatwierdzony Połączenie zostało automatycznie lub ręcznie zatwierdzone i jest gotowe do użycia.
Odrzuć Odrzucone Połączenie zostało odrzucone przez właściciela zasobu łącza prywatnego.
Usuń Odłączony Połączenie zostało usunięte przez właściciela zasobu łącza prywatnego. Prywatny punkt końcowy staje się jedynie informacyjny i powinien zostać usunięty w ramach porządkowania.

Zatwierdzanie, odrzucanie lub usuwanie prywatnego połączenia punktu końcowego

  1. Zaloguj się do witryny Azure Portal.
  2. Na pasku wyszukiwania wpisz Notification Hubs.
  3. Wybierz przestrzeń nazw, którą chcesz zarządzać.
  4. Wybierz kartę Sieć .
  5. Przejdź do odpowiedniej sekcji na podstawie operacji, którą chcesz zatwierdzić, odrzucić lub usunąć.

Zatwierdź połączenie prywatnego punktu końcowego

  1. Jeśli istnieją jakiekolwiek połączenia, które są oczekujące, połączenie zostanie wyświetlone ze stanem Oczekującym w aprowizacji.

  2. Wybierz prywatny punkt końcowy, który chcesz zatwierdzić.

  3. Wybierz pozycję Zatwierdź.

    Zrzut ekranu przedstawiający kartę Sieć gotowa do zatwierdzenia.

  4. Na stronie Zatwierdź połączenie wprowadź opcjonalny komentarz, a następnie wybierz pozycję Tak. Jeśli wybierzesz pozycję Nie, nic się nie stanie.

    Zrzut ekranu przedstawiający stronę zatwierdzania połączenia.

  5. Powinieneś zobaczyć, że status połączenia na liście zmienia się na Zatwierdzone.

Odrzuć połączenie prywatnego punktu końcowego

  1. Jeśli istnieją jakiekolwiek połączenia prywatnego punktu końcowego, które chcesz odrzucić, niezależnie od tego, czy jest to oczekujące żądanie, czy istniejące połączenie zatwierdzone wcześniej, wybierz ikonę połączenia punktu końcowego i wybierz pozycję Odrzuć.

    Zrzut ekranu przedstawiający opcję odrzucania połączenia.

  2. Na stronie Odrzucanie połączenia wprowadź opcjonalny komentarz, a następnie wybierz pozycję Tak. Jeśli wybierzesz pozycję Nie, nic się nie stanie.

  3. Stan połączenia na liście powinien zmienić się na Odrzucony.

Usuń prywatne połączenie punktu końcowego

  1. Aby usunąć połączenie prywatnego punktu końcowego, wybierz je na liście, a następnie wybierz pozycję Usuń na pasku narzędzi:

    Zrzut ekranu przedstawiający stronę usuwania połączenia.

  2. Na stronie Usuwanie połączenia wybierz pozycję Tak , aby potwierdzić usunięcie prywatnego punktu końcowego. Jeśli wybierzesz pozycję Nie, nic się nie stanie.

  3. Powinieneś zobaczyć, że status połączenia na liście zmienia się na Rozłączone. Punkt końcowy zniknie z listy.

Należy sprawdzić, czy zasoby w sieci wirtualnej prywatnego punktu końcowego łączą się z przestrzenią nazw usługi Notification Hubs za pośrednictwem prywatnego adresu IP i że mają prawidłową integrację prywatnej strefy DNS.

Najpierw utwórz maszynę wirtualną, wykonując kroki opisane w temacie Tworzenie maszyny wirtualnej z systemem Windows w witrynie Azure Portal.

Na karcie Sieć :

  1. Określ sieć wirtualną i podsieć. Musisz wybrać sieć wirtualną, w której wdrożono prywatny punkt końcowy.
  2. Określ zasób publicznego adresu IP .
  3. W polu Grupa zabezpieczeń NIC wybierz pozycję Brak.
  4. W obszarze Równoważenie obciążenia wybierz pozycję Nie.

Połącz się z maszyną wirtualną, otwórz wiersz polecenia i uruchom następujące polecenie:

Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net

Po wykonaniu polecenia z maszyny wirtualnej zwraca on adres IP połączenia prywatnego punktu końcowego. Po wykonaniu z sieci zewnętrznej zwraca publiczny adres IP jednego z klastrów usługi Notification Hubs.

Ograniczenia i zagadnienia dotyczące projektowania

Ograniczenia: ta funkcja jest dostępna we wszystkich regionach publicznych platformy Azure. Maksymalna liczba prywatnych punktów końcowych w przestrzeni nazw Notification Hubs: 200

Aby uzyskać więcej informacji, zobacz Azure Private Link Service: Limitations (Usługa Azure Private Link: ograniczenia).

Dalsze kroki

  • Last updated on