Správa privátních koncových bodů Azure

Privátní koncové body Azure mají několik možností správy konfigurace a nasazení.

Zadáním dotazu na prostředek Azure Private Link můžete určit GroupId hodnoty MemberName . K konfiguraci statické IP adresy privátního koncového bodu během vytváření potřebujete GroupId hodnoty a MemberName hodnoty.

Privátní koncový bod má dvě vlastní vlastnosti: statickou IP adresu a název síťového rozhraní. Tyto vlastnosti musí být nastaveny při vytvoření privátního koncového bodu.

S nasazením poskytovatele služeb a příjemce služby Private Link se vytvoří proces schválení.

Určení ID skupiny a názvu člena

Při vytváření privátního koncového bodu pomocí Azure PowerShellu a Azure CLI GroupId může být potřeba prostředek privátního koncového bodu a MemberName hodnoty.

• GroupId je podsourcem privátního koncového bodu.
• MemberName je jedinečné razítko privátní IP adresy koncového bodu.

Další informace o dílčích zdrojích privátních koncových bodů a jejich hodnotách najdete v tématu Prostředek Private Link.

K určení hodnot prostředku privátního koncového GroupId bodu a MemberName jeho použití použijte následující příkazy. MemberName je obsažen v RequiredMembers rámci vlastnosti.

PowerShell

Jako ukázkový prostředek privátního koncového bodu se používá webová aplikace Azure. Pomocí rutiny Get-AzPrivateLinkResource určete hodnoty pro GroupId a MemberName.

## Place the previously created webapp into a variable. ##
$webapp = 
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

$resource = 
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID

Měl by se zobrazit výstup podobný následujícímu příkladu.

Azure CLI

Jako ukázkový prostředek privátního koncového bodu se používá webová aplikace Azure. K určení a MemberNamepoužití GroupId příkazu az network private-link-resource list --type Parametr vyžaduje obor názvů pro prostředek Private Link. Pro webovou aplikaci použitou v tomto příkladu je Microsoft.Web/sitesobor názvů . Pokud chcete určit obor názvů vašeho prostředku Private Link, přečtěte si téma Konfigurace zóny DNS služeb Azure.

az network private-link-resource list \
    --resource-group MyResourceGroup \
    --name myWebApp1979 \
    --type Microsoft.Web/sites

Měl by se zobrazit výstup podobný následujícímu příkladu.

Uživatelské vlastnosti

Přejmenování síťového rozhraní a přiřazení statických IP adres jsou vlastní vlastnosti, které můžete nastavit na privátním koncovém bodu během vytváření.

Přejmenování síťového rozhraní

Ve výchozím nastavení se při vytvoření privátního koncového bodu síťového rozhraní přidruženého k privátnímu koncovému bodu přidělí náhodnému názvu jeho síťového rozhraní. Síťové rozhraní musí být pojmenováno při vytvoření privátního koncového bodu. Přejmenování síťového rozhraní existujícího privátního koncového bodu není podporováno.

Při vytváření privátního koncového bodu pro přejmenování síťového rozhraní použijte následující příkazy.

PowerShell

K přejmenování síťového rozhraní při vytvoření privátního koncového bodu použijte -CustomNetworkInterfaceName parametr. Následující příklad používá příkaz Azure PowerShellu k vytvoření privátního koncového bodu pro webovou aplikaci Azure. Další informace najdete v tématu New-AzPrivateEndpoint.

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe

Azure CLI

K přejmenování síťového rozhraní při vytvoření privátního koncového bodu použijte --nic-name parametr. Následující příklad používá příkaz Azure PowerShellu k vytvoření privátního koncového bodu pro webovou aplikaci Azure. Další informace najdete v tématu az network private-endpoint create.

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --group-id sites \
    --nic-name myPrivateEndpointNIC \
    --vnet-name myVNet

Statická IP adresa

Ve výchozím nastavení se při vytvoření privátního koncového bodu automaticky přiřadí IP adresa koncového bodu. IP adresa se přiřadí z rozsahu IP adres virtuální sítě nakonfigurované pro privátní koncový bod. Situace může nastat, když se vyžaduje statická IP adresa privátního koncového bodu. Statická IP adresa musí být přiřazena při vytvoření privátního koncového bodu. Konfigurace statické IP adresy pro existující privátní koncový bod se v současné době nepodporuje.

Postupy konfigurace statické IP adresy při vytváření privátního koncového bodu najdete v tématu Vytvoření privátního koncového bodu pomocí Azure PowerShellu a vytvoření privátního koncového bodu pomocí Azure CLI.

Připojení k privátním koncovým bodům

Private Link funguje na schvalovacím modelu, ve kterém si příjemce služby Private Link může vyžádat připojení k poskytovateli služeb za účelem využívání služby.

Poskytovatel služeb se pak může rozhodnout, jestli se má uživatel připojit, nebo ne. Private Link umožňuje poskytovatelům služeb spravovat připojení privátního koncového bodu ke svým prostředkům.

Existují dvě metody schválení připojení, ze které si uživatel služby Private Link může vybrat:

• Automaticky: Pokud má uživatel služby oprávnění řízení přístupu na základě role (RBAC) Azure pro prostředek poskytovatele služeb, může uživatel zvolit metodu automatického schvalování. Když požadavek dosáhne prostředku poskytovatele služeb, není od poskytovatele služeb vyžadována žádná akce a připojení se automaticky schválí.

• Ruční: Pokud uživatel služby nemá oprávnění RBAC k prostředku poskytovatele služeb, může uživatel zvolit metodu ručního schválení. Požadavek na připojení se zobrazí u prostředků služby jako Čekající. Poskytovatel služeb musí žádost před vytvořením připojení schválit ručně.

  V ručních případech může příjemce služby také zadat zprávu s požadavkem, aby poskytovateli služeb poskytl další kontext. Poskytovatel služeb má následující možnosti, ze které si můžete vybrat pro všechna připojení privátních koncových bodů: Schválit, Odmítnout a Odebrat.

Důležité

Pokud chcete schválit připojení s privátním koncovým bodem, který je v samostatném předplatném nebo tenantovi, ujistěte se, že je zaregistrované Microsoft.Networkpředplatné poskytovatele nebo tenant. Předplatné příjemce nebo tenant by také mělo mít zaregistrovaného poskytovatele prostředků cílového prostředku.

Následující tabulka uvádí různé akce poskytovatele služeb a výsledné stavy připojení pro privátní koncové body. Poskytovatel služeb může později změnit stav připojení bez zásahu příjemce. Akce aktualizuje stav koncového bodu na straně příjemce.

Akce poskytovatele služeb	Stav privátního koncového bodu příjemce služby	Popis
Nic	Nevyřízeno	Připojení ion je vytvořen ručně a čeká na schválení vlastníkem prostředku Private Link.
Schválit	Schválený	Připojení ion je automaticky nebo ručně schválen a je připravený k použití.
Odmítnout	Zamítnuto	Vlastník prostředku Private Link odmítne připojení.
Odebrat	Odpojeno	Vlastník prostředku Private Link odebere připojení, což způsobí odpojení privátního koncového bodu a jeho vyčištění by se mělo odstranit.

Správa připojení privátních koncových bodů k prostředkům Azure PaaS

Pomocí následujících kroků můžete spravovat připojení privátního koncového bodu na webu Azure Portal.

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole v horní části portálu zadejte Private Link. Ve výsledcích hledání vyberte Private Link.

3. V Centru služby Private Link vyberte privátní koncové body nebo služby Private Link.

4. U každého koncového bodu můžete zobrazit počet připojení privátních koncových bodů přidružených k němu. Prostředky můžete filtrovat podle potřeby.

5. Vyberte privátní koncový bod. V seznamu připojení vyberte připojení, které chcete spravovat.

6. Stav připojení můžete změnit tak, že vyberete z možností v horní části.

Správa připojení privátních koncových bodů ve službě Private Link vlastněné zákazníkem nebo partnerem

Pomocí následujících příkazů PowerShellu a Azure CLI můžete spravovat připojení privátních koncových bodů v partnerských službách Microsoftu nebo službách vlastněných zákazníkem.

PowerShell

Ke správě připojení privátního koncového bodu použijte následující příkazy PowerShellu.

Získání stavů připojení Private Link

Pomocí rutiny Get-AzPrivateEndpoint Připojení ion získejte připojení privátního koncového bodu a jejich stavy.

$get = @{
    Name = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get

Schválení připojení privátního koncového bodu

Pomocí funkce Approve-AzPrivateEndpoint Připojení ion můžete schválit připojení privátního koncového bodu.

$approve = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve

Odepřít připojení privátního koncového bodu

Pokud chcete odmítnout připojení privátního koncového bodu, použijte Deny-AzPrivateEndpoint Připojení ion.

$deny = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection  @deny

Odebrání připojení privátního koncového bodu

K odebrání připojení privátního koncového bodu použijte Remove-AzPrivateEndpoint Připojení ion.

$remove = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove

Azure CLI

Ke správě připojení privátního koncového bodu použijte následující příkazy Azure CLI.

Získání stavů připojení Private Link

Pomocí příkazu az network private-endpoint-connection show získejte připojení privátního koncového bodu a jejich stavy.

  az network private-endpoint-connection show \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Schválení připojení privátního koncového bodu

Ke schválení připojení privátního koncového bodu použijte příkaz az network private-endpoint-connection.

  az network private-endpoint-connection approve \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

Odepřít připojení privátního koncového bodu

Pokud chcete odmítnout připojení privátního koncového bodu, použijte příkaz az network private-endpoint-connection.

  az network private-endpoint-connection reject \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

Odebrání připojení privátního koncového bodu

Pomocí příkazu az network private-endpoint-connection delete odeberte připojení privátního koncového bodu.

  az network private-endpoint-connection delete \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Poznámka:

Připojení dříve zamítnuté nebylo možné schválit. Musíte odebrat připojení a vytvořit nové.

Další kroky

• Informace o privátních koncových bodech