Sdílet prostřednictvím

Konfigurace služby Private Link Direct Connect

Zákazníci teď můžou připojit službu Private Link k jakékoli privátní směrovatelné cílové IP adrese.

Služba Azure Private Link umožňuje poskytovatelům služeb zpřístupnit své aplikace svým zákazníkům soukromě a bezpečně tak, že je umístí za standardní nástroj pro vyrovnávání zatížení. Služba Private Link Direct Connect rozšiřuje tuto funkci a umožňuje zákazníkům přímo připojit službu privátního propojení k jakékoli privátní směrovatelné cílové IP adrese. Tato konfigurace je zvlášť užitečná pro scénáře, které poskytují privátní připojení k aplikacím, které vyžadují přímé směrování založené na IP adresách, jako jsou připojení k databázi nebo vlastní aplikace.

Tento článek vysvětluje službu Private Link Direct Connect a jak ji vytvořit pomocí Azure PowerShellu, Azure CLI nebo Terraformu.

Poznámka:

Tato funkce je ve verzi Public Preview a je dostupná ve vybraných oblastech. Před povolením funkce pro vaše předplatné si projděte všechny relevantní aspekty.

Poznámka:

Podpora portálu je dostupná prostřednictvím odkazu preview, který aktivuje funkci na portálu: (aka.ms/PortalPLSDirectConnect). Úplná podpora portálu bez použití odkazu na verzi Preview pro přístup k této funkci čeká na vyřízení.

Požadavky

  • Účet Azure s aktivním předplatným.
  • Azure PowerShell nainstalovaný místně nebo použijte Azure Cloud Shell. Další informace najdete v tématu Instalace Azure PowerShellu.
  • Azure CLI nainstalované místně nebo použijte Azure Cloud Shell. Další informace najdete v tématu Instalace Azure CLI.
  • Pro Terraform: Nainstalujte a nakonfigurujte Terraform.
  • Povolte ve svém předplatném příznak funkce Microsoft.Network/AllowPrivateLinkserviceUDR. Postupujte podle pokynů k registraci prostřednictvím Azure CLI nebo PowerShellu: Povolení funkcí Azure Preview.
  • Virtuální síť s podsítí.
  • Směrovatelná IP adresa, která se nastaví jako cílová IP adresa.

Služba Private Link (PLS) Direct Connect umožňuje:

  • Směrujte provoz přímo na konkrétní privátní směrovatelnou cílovou IP adresu ve vaší virtuální síti.
  • Vynechání požadavků na vyrovnávač zatížení pro scénáře, které potřebují přímé IP připojení.
  • Podpora vlastních scénářů směrování , ve kterých potřebujete přesnou kontrolu nad cílem provozu.
  • Nakonfigurujte rozšířené scénáře , jako je zabezpečený přístup k místním prostředkům, SaaS třetích stran a virtuálním zařízením.

Běžné případy použití

  • Připojení přímo k databázím pro aplikace vyžadující statická připojení IP
  • Podpora scénářů vlastních aplikací, které nefungují s předáváním přes vyrovnávač zatížení
  • Povolení starších aplikací, které potřebují směrování založené na přímých IP adresách
  • Scénáře vyžadující uživatelem definované směrování (UDR) se službou Private Link
  • Zajištění místního připojení

Klíčové požadavky

  • Zadejte minimálně 2 konfigurace IP adres: Pro tuto funkci jsou pro zajištění vysoké dostupnosti vyžadovány aspoň 2 konfigurace IP adres ve násobcích 2.
  • Zadejte statickou cílovou IP adresu: Cílová IP adresa musí být dostupná ve vaší virtuální síti.
  • Zakažte vlastnost privateLinkServiceNetworkPolicies v podsíti: Tato vlastnost není pro tuto funkci nutná.

Omezení

Při používání služby Private Link Direct Connect mějte na paměti tato omezení:

  • Privátní koncový bod jako cíl není podporovaný: Cílovou IP adresou nemůže být privátní koncový bod.
  • Vyžaduje se minimálně 2 konfigurace IP adres: K nasazení rozhraní PLS Direct Connect se vyžaduje minimálně 2 konfigurace IP adres nebo násobky 2 (limit 8 max).
  • Maximálně 10 PLS na předplatné: Pro každé předplatné platí omezení hardwaru 10 PLS na oblast.
  • Omezení šířky pásma: Každý PLS Direct Connect může podporovat šířku pásma až 10 Gb/s.
  • Požadavek na statickou IP adresu: Cílová cílová IP adresa musí být přidělena staticky, neexistuje podpora dynamicky přidělených cílových IP adres.
  • Omezení mezi oblastmi: Zdrojový privátní koncový bod, služba privátního propojení a klientský virtuální počítač musí být ve stejné oblasti. Toto omezení je potřeba odebrat, když je tato funkce obecně dostupná.
  • Regionální dostupnost: Tato funkce je dostupná v omezených oblastech (USA – středosever, USA – východ 2, USA – střed, USA – středojiž, USA – západ, USA – západ 2, USA – západ 3, Asie – jihovýchod, Austrálie – východ, Španělsko – střed).

Úvahy

  • Žádná podpora migrace: Nasazení této funkce vyžaduje novou službu Private Link. Migrace stávajících služeb private linku se nepodporuje.
  • Dostupná podpora klientů: K nasazení této nové služby Private Link použijte PowerShell, rozhraní příkazového řádku nebo Terraform. Podpora portálu je dostupná prostřednictvím odkazu preview, který aktivuje funkci na portálu: (aka.ms/PortalPLSDirectConnect). Úplná podpora portálu bez použití odkazu na verzi Preview ke konfiguraci funkce čeká na vyřízení.
  • Je povoleno předávání IP: Pokud v předplatném existuje zásada, která zakáže předávání IP, musí být zásada zakázaná, aby byla povolena správná konfigurace.

Pomocí tohoto skriptu vytvořte službu Private Link Direct Connect pomocí Azure PowerShellu:

# Define variables
$resourceGroupName = "rg-pls-directconnect"
$location = "westus"
$vnetName = "pls-vnet"
$subnetName = "pls-subnet"
$plsName = "pls-directconnect"
$destinationIP = "10.0.1.100"

# Create resource group
New-AzResourceGroup -Name $resourceGroupName -Location $location

# Create virtual network (corrected parameter name)
$subnet = New-AzVirtualNetworkSubnetConfig -Name $subnetName -AddressPrefix "10.0.1.0/24" -privateLinkServiceNetworkPoliciesFlag "Disabled"
$vnet = New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $resourceGroupName -Location $location -AddressPrefix "10.0.0.0/16" -Subnet $subnet

# Get subnet reference
$subnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName

# Create IP configurations for Private Link service (minimum 2 or in multiples of 2 required)
$ipConfig1 = @{
    Name = "ipconfig1"
    PrivateIpAllocationMethod = "Dynamic"
    Subnet = $subnet
    Primary = $true
}

$ipConfig2 = @{
    Name = "ipconfig2"
    PrivateIpAllocationMethod = "Dynamic"
    Subnet = $subnet
    Primary = $false
}

# Create Private Link service Direct Connect
$pls = New-AzPrivateLinkservice `
    -Name $plsName `
    -ResourceGroupName $resourceGroupName `
    -Location $location `
    -IpConfiguration @($ipConfig1, $ipConfig2) `
    -DestinationIPAddress $destinationIP

Write-Output "Private Link service created successfully!"
Write-Output "Private Link service ID: $($pls.Id)"
Write-Output "Destination IP Address: $destinationIP"

Vytvoření privátního koncového bodu pro testování připojení

Po vytvoření služby Private Link Direct Connect vytvořte privátní koncový bod, který otestuje připojení:

# Variables for Private Endpoint
$peResourceGroupName = "rg-pe-test"
$peVnetName = "pe-vnet"
$peSubnetName = "pe-subnet"
$privateEndpointName = "pe-to-pls"
$privateLinkserviceId = "/subscriptions/your-subscription-id/resourceGroups/rg-pls-destinationip/providers/Microsoft.Network/privateLinkservices/pls-directconnect"

# Create resource group for PE
New-AzResourceGroup -Name $peResourceGroupName -Location $location

# Create VNet for Private Endpoint
$peSubnet = New-AzVirtualNetworkSubnetConfig -Name $peSubnetName -AddressPrefix "10.1.1.0/24" -PrivateEndpointNetworkPoliciesFlag "Disabled"
$peVnet = New-AzVirtualNetwork -Name $peVnetName -ResourceGroupName $peResourceGroupName -Location $location -AddressPrefix "10.1.0.0/16" -Subnet $peSubnet

# Get subnet reference for Private Endpoint
$peSubnet = Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $peVnet -Name $peSubnetName

# Create Private Endpoint
$privateLinkserviceConnection = @{
    Name = "connection-to-pls"
    PrivateLinkserviceId = $privateLinkserviceId
}

$privateEndpoint = New-AzPrivateEndpoint -Name $privateEndpointName -ResourceGroupName $peResourceGroupName -Location $location -Subnet $peSubnet -PrivateLinkserviceConnection $privateLinkserviceConnection

Write-Output "Private Endpoint created: $($privateEndpoint.Name)"

Ověření konfigurace

Po vytvoření služby Private Link i privátního koncového bodu ověřte konfiguraci:

# Get Private Link service details
$pls = Get-AzPrivateLinkservice -Name $plsName -ResourceGroupName $resourceGroupName

Write-Output "Private Link service: $($pls.Name)"
Write-Output "Provisioning State: $($pls.ProvisioningState)"
Write-Output "Destination IP: $($pls.DestinationIPAddress)"
Write-Output "IP Configurations: $($pls.IpConfigurations.Count)"

# Check Private Endpoint connections
$connections = $pls.PrivateEndpointConnections
foreach ($connection in $connections) {
    Write-Output "PE Connection: $($connection.Name) - Status: $($connection.PrivateLinkserviceConnectionState.Status)"
}

Řešení problémů

Běžné problémy a řešení

Problém: Musíte zahrnout alespoň 2 konfigurace IP adres tak, aby jejich celkový počet byl násobkem 2.

Řešení: Při konfiguraci PLS Direct Connect se ujistěte, že nakonfigurujete aspoň 2 konfigurace IP adres.

Problém: Nejde se spojit s cílovou IP adresou

Řešení: Ověřte, že:

  • Cílová IP adresa je dostupná v rámci virtuální sítě.
  • Mezi PLS a cílovou IP adresou neexistuje žádné směrování IP ani překlad adres (NAT).
  • Skupiny zabezpečení sítě umožňují požadovaný provoz.

Vyčistěte zdroje

Po testování vyčistěte prostředky, abyste se vyhnuli průběžným poplatkům:

# Remove resource groups (this deletes all resources within them)
Remove-AzResourceGroup -Name $resourceGroupName -Force
Remove-AzResourceGroup -Name $peResourceGroupName -Force

FAQs

Příznak funkce (feature flag) není na portálu viditelný. Jak se zaregistruji pro tuto funkci?

Musí být vlastnost privateLinkServiceNetworkPolicies někdy nastavena na Hodnotu True, například ga?

  • Vlastnost privateLinkServiceNetworkPolicies není pro tuto funkci nutná, proto ji nastavte na false.

Další kroky

  • Last updated on