Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como usar o Link Privado para restringir o acesso ao gerenciamento de recursos em suas assinaturas. O Link Privado permite que você acesse os Serviços do Azure em um ponto de extremidade privado na sua rede virtual. Isso impede a exposição do serviço à Internet pública.
Este artigo descreve o processo de instalação do Link Privado usando o portal do Azure.
Importante
Você pode habilitar esse recurso em camadas, por uma taxa adicional.
Observação
A capacidade de usar links privados com os Hubs de Notificação do Azure está atualmente em versão prévia. Se você estiver interessado em usar esse recurso, entre em contato com o gerente de sucesso do cliente na Microsoft ou crie um tíquete de suporte do Azure.
Crie um ponto de extremidade privado junto com um novo hub de notificação no Portal
O procedimento a seguir cria um ponto de extremidade privado junto com um novo hub de notificação usando o portal do Azure:
Crie um novo hub de notificação e selecione a guia Rede .
Selecione Acesso Privado e, em seguida, selecione Criar.
Preencha a assinatura, o grupo de recursos, o local e um nome para o novo ponto de extremidade privado. Escolha uma rede virtual e uma sub-rede. Em Integrar com a Zona DNS Privada, selecione Sim e digite privatelink.notificationhub.windows.net na caixa Zona DNS Privada .
Selecione OK para ver a confirmação do namespace e da criação do hub com um ponto de extremidade privado.
Selecione Criar para criar o hub de notificação com uma conexão de ponto de extremidade privado.
Criar um endpoint privado para um hub de notificação existente no portal
No portal, no lado esquerdo, na seção Segurança + rede , selecione Hubs de Notificação e, em seguida, selecione Rede.
Selecione a guia Acesso privado.
Preencha a assinatura, o grupo de recursos, o local e um nome para o novo ponto de extremidade privado. Escolha uma rede virtual e sub-rede. Selecione Criar.
Criar um ponto de extremidade privado usando a CLI
Entre na CLI do Azure e defina uma assinatura:
az login az account set --subscription <azure_subscription_id>Crie um novo grupo de recursos:
az group create -n <resource_group_name> -l <azure_region>Registre o Microsoft.NotificationHubs como um provedor:
az provider register -n Microsoft.NotificationHubsCrie um novo namespace e hub dos Hubs de Notificação:
az notification-hub namespace create --name <namespace_name> --resource-group <resource_group_name> --location <azure_region> --sku "Standard" az notification-hub create --name <notification_hub_name> --namespace-name <namespace_name> --resource-group <resource_group_name> --location <azure_region>Crie uma rede virtual com uma sub-rede:
az network vnet create --resource-group <resource_group_name> --name <vNet name> --location <azure_region> az network vnet subnet create --resource-group <resource_group_name> --vnet-name <vNet_name> --name <subnet_name> --address-prefixes <address_prefix>Desabilitar políticas de rede virtual:
az network vnet subnet update --name <subnet_name> --resource-group <resource_group_name> --vnet-name <vNet_name> --disable-private-endpoint-network-policies trueAdicione zonas DNS privadas e vincule-as a uma rede virtual:
az network private-dns zone create --resource-group <resource_group_name> --name privatelink.servicebus.windows.net az network private-dns zone create --resource-group <resource_group_name> --name privatelink.notificationhub.windows.net az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.servicebus.windows.net --name <dns_zone_link_name> --registration-enabled true az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.notificationhub.windows.net --name <dns_zone_link_name> --registration-enabled trueCriar um ponto de extremidade privado (aprovado automaticamente):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vNet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region>Criar um endpoint privado (com aprovação manual da solicitação)
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vnet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region> --manual-requestMostrar o status da conexão:
az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>
Gerenciar pontos de extremidade privados usando o portal
Quando você cria um ponto de extremidade privado, a conexão deve ser aprovada. Se o recurso para o qual você está criando um ponto de extremidade privado estiver em seu diretório, você poderá aprovar a solicitação de conexão, desde que tenha permissões suficientes. Se estiver se conectando a um recurso do Azure em outro diretório, você deve aguardar o proprietário desse recurso aprovar a sua solicitação de conexão.
Há quatro estados de provisionamento:
| Ação de serviço | Estado de ponto de extremidade privado do consumidor do serviço | Descrição |
|---|---|---|
| Nenhum | Pendente | A conexão é criada manualmente e está aguardando aprovação do proprietário do recurso de link privado. |
| Aprovar | Aprovada | A conexão foi aprovada automaticamente ou manualmente e está pronta para ser usada. |
| Rejeitar | Indeferido | A conexão foi rejeitada pelo proprietário do recurso do link privado. |
| Retirar | Desconectado | A conexão foi removida pelo proprietário do recurso do link privado. O ponto de extremidade privado se torna informativo e deve ser excluído para limpeza. |
Aprovação, rejeição ou remoção de uma conexão de ponto de extremidade privado
- Entre no portal do Azure.
- Na barra de pesquisa, digite Hubs de Notificação.
- Selecione o namespace que você deseja gerenciar.
- Selecione a guia Rede.
- Vá para a seção apropriada com base na operação que você deseja aprovar, rejeitar ou remover.
Aprovação de uma conexão de ponto de extremidade privado
Se houver conexões pendentes, uma conexão será exibida com Pending no estado de provisionamento.
Selecione o ponto de extremidade privado que você deseja aprovar.
Selecione Aprovar.
Na página Aprovar conexão , insira um comentário opcional e selecione Sim. Se selecionar Não, nada acontecerá.
Você deverá ver o status da conexão na lista ser alterado para Aprovado.
Rejeição de uma conexão de ponto de extremidade privado
Se houver alguma conexão de ponto de extremidade privado que você deseja rejeitar, seja uma solicitação pendente ou uma conexão existente aprovada anteriormente, selecione o ícone de conexão do ponto de extremidade e selecione Rejeitar.
Na página Rejeitar conexão , insira um comentário opcional e selecione Sim. Se selecionar Não, nada acontecerá.
Você deve ver o status da conexão na lista ser alterado para Rejeitado.
Remoção de uma conexão de ponto de extremidade privado
Para remover uma conexão de ponto de extremidade privado, selecione-a na lista e selecione Remover na barra de ferramentas:
Na página Excluir conexão, selecione Sim para confirmar a exclusão do ponto de extremidade privado. Se selecionar Não, nada acontecerá.
Você deve ver o status da conexão na lista mudar para Desconectado. Em seguida, o ponto de extremidade desaparece da lista.
Validar se a conexão de link privado funciona
Você deve validar se os recursos na rede virtual do ponto de extremidade privado estão se conectando ao namespace dos Hubs de Notificação por meio de um endereço IP privado e se eles têm a integração de zona DNS privada correta.
Primeiro, crie uma máquina virtual seguindo as etapas em Criar uma máquina virtual do Windows no portal do Azure.
Na guia Rede:
- Especifique a rede virtual e a sub-rede. Selecione a Rede Virtual na qual você implantou o ponto de extremidade privado.
- Especifique um recurso de IP Público.
- Para o Grupo de segurança de rede da NIC, selecione Nenhum.
- Para o Balanceamento de carga, selecione Não.
Conecte-se à VM, abra uma linha de comando e execute o seguinte comando:
Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net
Quando o comando é executado pela VM, ele retorna o endereço IP da conexão de endpoint privado. Quando é executado de uma rede externa, ele retorna o endereço IP público de um dos clusters de Hubs de Notificação.
Limitações e considerações de design
Limitações: esse recurso está disponível em todas as regiões públicas do Azure. Número máximo de pontos de extremidade privados por namespace dos Hubs de Notificação: 200
Para obter mais informações, consulte o serviço de Link Privado do Azure: Limitações.