Partilhar via

Usar Link Privado (Pré-visualização)

Este artigo descreve como usar o Private Link para restringir o acesso ao gerenciamento de recursos em suas assinaturas. Os links privados permitem que você acesse os serviços do Azure por meio de um ponto de extremidade privado em sua rede virtual. Isso evita a exposição do serviço à internet pública.

Este artigo descreve o processo de configuração do Link Privado usando o portal do Azure.

Importante

Você pode habilitar esse recurso em camadas, por uma taxa adicional.

Observação

A capacidade de usar links privados com os Hubs de Notificação do Azure está atualmente em pré-visualização. Se você estiver interessado em usar esse recurso, entre em contato com seu gerente de sucesso do cliente na Microsoft ou crie um tíquete de suporte do Azure.

Crie um ponto de extremidade privado junto com um novo hub de notificações no portal

O procedimento a seguir cria um ponto de extremidade privado junto com um novo hub de notificação usando o portal do Azure:

  1. Crie um novo hub de notificação e selecione a guia Rede .

  2. Selecione Acesso privado e, em seguida, selecione Criar.

    Captura de tela da página de criação do hub de notificação no portal mostrando a opção de link privado.

  3. Preencha a assinatura, o grupo de recursos, o local e um nome para o novo ponto de extremidade privado. Escolha uma rede virtual e uma sub-rede. Em Integrar com Zona DNS Privada, selecione Sim e digite privatelink.notificationhub.windows.net na caixa Zona DNS Privada .

    Captura de ecrã da página de criação de pontos finais privados do hub de notificação.

  4. Selecione OK para ver a confirmação da criação de namespace e hub com um ponto de extremidade privado.

  5. Selecione Criar para criar o hub de notificações com uma ligação de ponto de extremidade privada.

    Captura de ecrã da página de confirmação do ponto final privado do hub de notificação.

Criar um endpoint privado para um hub de notificação existente no portal

  1. No portal, no lado esquerdo, na seção Segurança + rede , selecione Hubs de Notificação e, em seguida, selecione Rede.

  2. Selecione o separador acesso privado.

    Captura de ecrã do separador de acesso privado.

  3. Preencha a assinatura, o grupo de recursos, o local e um nome para o novo ponto de extremidade privado. Escolha uma rede virtual e uma sub-rede. Selecione Criar.

    Captura de ecrã das propriedades de criação de ligações privadas.

Criar um ponto de extremidade privado usando a CLI

  1. Entre na CLI do Azure e defina uma assinatura:

    az login
az account set --subscription <azure_subscription_id>

  2. Crie um novo grupo de recursos:

    az group create -n <resource_group_name> -l <azure_region>

  3. Registre Microsoft.NotificationHubs como um provedor:

    az provider register -n Microsoft.NotificationHubs

  4. Crie um novo namespace e hub dos Hubs de Notificação:

    az notification-hub namespace create 
     --name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>
     --sku "Standard"

 az notification-hub create 
     --name <notification_hub_name>
     --namespace-name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>

  5. Crie uma rede virtual com uma sub-rede:

    az network vnet create
     --resource-group <resource_group_name>
     --name <vNet name>
     --location <azure_region>

az network vnet subnet create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --name <subnet_name>
     --address-prefixes <address_prefix>

  6. Desative as políticas de rede virtual:

    az network vnet subnet update
     --name <subnet_name>
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --disable-private-endpoint-network-policies true

  7. Adicione zonas DNS privadas e vincule-as a uma rede virtual:

    az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.servicebus.windows.net

az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.notificationhub.windows.net

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.servicebus.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.notificationhub.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

  8. Crie um ponto de extremidade privado (aprovado automaticamente):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>  
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace 
     --connection-name <private_link_connection_name>
     --location <azure-region>

  9. Crie um ponto de acesso privado (com aprovação de pedido manual):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vnet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace
     --connection-name <private_link_connection_name>
     --location <azure-region>
     --manual-request

  10. Mostrar o status da conexão:

    az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>

Gerenciar endpoints privados usando o portal

Quando você cria um ponto de extremidade privado, a conexão deve ser aprovada. Se o recurso para o qual você está criando um ponto de extremidade privado estiver em seu diretório, você poderá aprovar a solicitação de conexão, desde que tenha permissões suficientes. Se você estiver se conectando a um recurso do Azure em outro diretório, deverá aguardar que o proprietário desse recurso aprove sua solicitação de conexão.

Há quatro estados de provisionamento:

Ação de serviço Estado do ponto final privado do consumidor de serviço Descrição
Nenhum Pendente A conexão é criada manualmente e está pendente de aprovação do proprietário do recurso de link privado.
Aprovar Aprovado A conexão foi aprovada automática ou manualmente e está pronta para ser usada.
Rejeitar Rejeitado A conexão foi rejeitada pelo proprietário do recurso de link privado.
Eliminar Desconectado A conexão foi removida pelo proprietário do recurso de link privado. O ponto de extremidade privado passa a ter um caráter informativo e deve ser eliminado para limpeza.

Aprovar, rejeitar ou remover uma ligação a um ponto final privado

  1. Entre no portal do Azure.
  2. Na barra de pesquisa, digite Hubs de Notificação.
  3. Selecione o namespace que você deseja gerenciar.
  4. Selecione a aba Rede.
  5. Vá para a seção apropriada com base na operação que você deseja aprovar, rejeitar ou remover.

Aprovar uma conexão de ponto de extremidade privada

  1. Se houver conexões pendentes, uma conexão será exibida com Pendente no estado de provisionamento.

  2. Selecione o ponto de extremidade privado que deseja aprovar.

  3. Selecione Aprovar.

    Captura de ecrã a mostrar o separador Rede pronto para aprovação.

  4. Na página Aprovar conexão , insira um comentário opcional e selecione Sim. Se você selecionar Não, nada acontece.

    Captura de tela mostrando a página de conexão de aprovação.

  5. Você deve ver o estado da conexão na lista mudar para Aprovado.

Rejeitar uma conexão de ponto de extremidade privada

  1. Se houver alguma conexão de ponto de extremidade privada que você deseja rejeitar, seja uma solicitação pendente ou uma conexão existente que foi aprovada anteriormente, selecione o ícone de conexão de ponto de extremidade e selecione Rejeitar.

    Captura de tela mostrando a opção de conexão rejeitada.

  2. Na página Rejeitar conexão , insira um comentário opcional e selecione Sim. Se você selecionar Não, nada acontece.

  3. Você deve ver o estado da conexão na lista mudar para Rejeitado.

Remover uma conexão de ponto de extremidade privada

  1. Para remover uma conexão de ponto de extremidade privada, selecione-a na lista e selecione Remover na barra de ferramentas:

    Captura de ecrã mostrando a página para remover conexão.

  2. Na página Excluir conexão , selecione Sim para confirmar a exclusão do ponto de extremidade privado. Se você selecionar Não, nada acontece.

  3. Você deve ver o status da conexão na lista mudar para Desconectado. Em seguida, o ponto de extremidade desaparece da lista.

Você deve validar que os recursos dentro da rede virtual do ponto de extremidade privado estão se conectando ao seu namespace Notification Hubs através de um endereço IP privado e que têm a correta integração com a zona DNS privada.

Primeiro, crie uma máquina virtual seguindo as etapas em Criar uma máquina virtual do Windows no portal do Azure.

Na aba Networking :

  1. Especifique a rede virtual e a sub-rede. Você deve selecionar a Rede Virtual na qual implantou o ponto de extremidade privado.
  2. Especifique um recurso IP público .
  3. Para o grupo de segurança de rede NIC, selecione Nenhum.
  4. Para Balanceamento de carga, selecione Não.

Conecte-se à VM, abra uma linha de comando e execute o seguinte comando:

Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net

Quando o comando é executado a partir da VM, ele retorna o endereço IP da conexão de ponto de extremidade privado. Quando é executado a partir de uma rede externa, retorna o endereço IP público de um dos clusters de Hubs de Notificação.

Limitações e considerações de design

Limitações: este recurso está disponível em todas as regiões públicas do Azure. Número máximo de pontos de extremidade privados por namespace de Hubs de Notificação: 200

Para obter mais informações, consulte Serviço de Link Privado do Azure: Limitações.

Próximos passos

  • Last updated on