Správa privátních koncových bodů Azure

Privátní koncové body Azure mají několik možností správy konfigurace a nasazení.

Hodnoty GroupId a MemberName můžete určit dotazováním prostředku Azure Private Link. K konfiguraci statické IP adresy privátního koncového bodu během vytváření potřebujete hodnoty GroupId a MemberName.

Privátní koncový bod má dvě vlastní vlastnosti: statickou IP adresu a název síťového rozhraní. Tyto vlastnosti musí být nastaveny při vytvoření privátního koncového bodu.

Při nasazení poskytovatelem služeb a spotřebitelem služby Private Link existuje proces schválení pro navázání spojení.

Určení ID skupiny a názvu člena

Při vytváření privátního koncového bodu pomocí Azure PowerShellu a Azure CLI může být potřeba hodnoty GroupId a MemberName prostředků privátního koncového bodu.

• GroupId je podsourcem privátního koncového bodu.
• MemberName je jedinečné razítko privátní IP adresy koncového bodu.

Další informace o podsložkách privátních koncových bodů a jejich hodnotách najdete viz Private Link resource.

K určení hodnot GroupId a MemberName pro váš prostředek privátního koncového bodu použijte následující příkazy. MemberName je obsažena v RequiredMembers vlastnosti.

PowerShell

Jako ukázkový prostředek privátního koncového bodu se používá webová aplikace Azure. Pomocí Get-AzPrivateLinkResource určete hodnoty pro GroupId a MemberName.

## Place the previously created webapp into a variable. ##
$webapp = 
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

$resource = 
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID

Měl by se zobrazit výstup podobný následujícímu příkladu.

Azure CLI

Jako ukázkový prostředek privátního koncového bodu se používá webová aplikace Azure. Použijte az network private-link-resource list k určení GroupId a MemberName. Parametr --type vyžaduje obor názvů pro prostředek „Private Link“. Obor názvů pro webovou aplikaci použitou v tomto příkladu je Microsoft.Web/sites. Informace o určení jmenného prostoru pro váš prostředek Private Link najdete v tématu Konfigurace zóny DNS služeb Azure.

az network private-link-resource list \
    --resource-group MyResourceGroup \
    --name myWebApp1979 \
    --type Microsoft.Web/sites

Měl by se zobrazit výstup podobný následujícímu příkladu.

Vlastní vlastnosti

Přejmenování síťového rozhraní a přiřazení statických IP adres jsou vlastní vlastnosti, které můžete nastavit na privátním koncovém bodu během vytváření.

Přejmenování síťového rozhraní

Ve výchozím nastavení se při vytvoření privátního koncového bodu přiděluje síťovému rozhraní přidruženému k privátnímu koncovému bodu náhodné jméno. Síťové rozhraní musí být pojmenováno při vytvoření privátního koncového bodu. Přejmenování síťového rozhraní existujícího privátního koncového bodu není podporováno.

Při vytváření privátního koncového bodu pro přejmenování síťového rozhraní použijte následující příkazy.

PowerShell

K přejmenování síťového rozhraní při vytvoření privátního koncového bodu použijte parametr -CustomNetworkInterfaceName. Následující příklad používá příkaz Azure PowerShellu k vytvoření privátního koncového bodu pro webovou aplikaci Azure. Další informace najdete v tématu New-AzPrivateEndpoint.

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe

Azure CLI

K přejmenování síťového rozhraní při vytvoření privátního koncového bodu použijte parametr --nic-name. Následující příklad používá příkaz Azure PowerShellu k vytvoření privátního koncového bodu pro webovou aplikaci Azure. Další informace najdete v tématu az network private-endpoint create.

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --group-id sites \
    --nic-name myPrivateEndpointNIC \
    --vnet-name myVNet

Statická IP adresa

Ve výchozím nastavení se při vytvoření privátního koncového bodu automaticky přiřadí IP adresa koncového bodu. IP adresa se přiřadí z rozsahu IP adres virtuální sítě nakonfigurované pro privátní koncový bod. Situace může nastat, když se vyžaduje statická IP adresa privátního koncového bodu. Statická IP adresa musí být přiřazena při vytvoření privátního koncového bodu. Konfigurace statické IP adresy pro existující privátní koncový bod se v současné době nepodporuje.

Postupy konfigurace statické IP adresy při vytváření privátního koncového bodu najdete v tématu Vytvoření privátního koncového bodu pomocí azure PowerShellu a Vytvoření privátního koncového bodu pomocí azure CLI.

Připojení privátního koncového bodu

Private Link funguje na schvalovacím modelu, ve kterém si příjemce služby Private Link může vyžádat připojení k poskytovateli služeb za účelem využívání služby.

Poskytovatel služeb se pak může rozhodnout, jestli se má uživatel připojit, nebo ne. Private Link umožňuje poskytovatelům služeb spravovat připojení privátního koncového bodu ke svým prostředkům.

Existují dvě metody schválení připojení, ze které si uživatel služby Private Link může vybrat:

• Automatické: Pokud má uživatel služby oprávnění řízení přístupu na základě role (RBAC) Azure pro prostředek poskytovatele služeb, může příjemce zvolit metodu automatického schvalování. Když požadavek dosáhne prostředku poskytovatele služeb, není od poskytovatele služeb vyžadována žádná akce a připojení se automaticky schválí.

• ruční: Pokud uživatel služby nemá oprávnění RBAC k prostředku poskytovatele služeb, může uživatel zvolit metodu ručního schválení. Žádost o připojení se zobrazí u prostředků služby jako Čekající. Poskytovatel služeb musí žádost před vytvořením připojení schválit ručně.

  V ručních případech může příjemce služby také zadat zprávu s požadavkem, aby poskytovateli služeb poskytl další kontext. Poskytovatel služeb má pro všechna připojení privátních koncových bodů následující možnosti: Schválit, Odmítnouta Odebrat.

Důležité

Pokud chcete schválit připojení se soukromým koncovým bodem, který je v samostatném předplatném nebo tenantovi, ujistěte se, že poskytovatelovo předplatné nebo tenant je registrováno Microsoft.Network. Spotřebitelské předplatné nebo nájemce by také měly mít zaregistrovaného poskytovatele zdrojů cílového zdroje.

Následující tabulka uvádí různé akce poskytovatele služeb a výsledné stavy připojení pro privátní koncové body. Poskytovatel služeb může později změnit stav připojení bez zásahu příjemce. Akce aktualizuje stav koncového bodu na straně příjemce.

Akce poskytovatele služeb	Stav privátního koncového bodu příjemce služby	Popis
Žádný	Čekající	Připojení je vytvořeno ručně a čeká na schválení vlastníkem prostředku Private Link.
Schválit	Schválené	Připojení je automaticky nebo ručně schváleno a je připravené k použití.
Odmítat	Zamítnuto	Vlastník prostředku Private Link odmítne připojení.
Odstranit	Nesouvislý	Vlastník prostředku Private Link odebere připojení, což způsobí odpojení privátního koncového bodu a měl by být odstraněn pro vyčištění.

Správa připojení privátních koncových bodů k prostředkům Azure PaaS

Pomocí následujících kroků můžete spravovat připojení privátního koncového bodu na webu Azure Portal.

1. Přihlaste se do Azure Portalu.

2. Do vyhledávacího pole v horní části portálu zadejte Private Link. Ve výsledcích hledání vyberte Private Link.

3. V základu sítě rozbalte položku Private Link v nabídce vlevo a vyberte privátní koncové body nebo služby Private Link.

4. U každého koncového bodu můžete zobrazit počet připojení privátních koncových bodů přidružených k němu. Prostředky můžete filtrovat podle potřeby.

5. Vyberte privátní koncový bod. V seznamu připojení vyberte připojení, které chcete spravovat.

6. Stav připojení můžete změnit tak, že vyberete z možností v horní části.

Správa připojení privátních koncových bodů ve službě Private Link vlastněné zákazníkem nebo partnerem

Pomocí následujících příkazů PowerShellu a Azure CLI můžete spravovat připojení privátních koncových bodů v partnerských službách Microsoftu nebo službách vlastněných zákazníkem.

PowerShell

Ke správě připojení privátního koncového bodu použijte následující příkazy PowerShellu.

Získání stavů připojení Private Link

Pomocí Get-AzPrivateEndpointConnection získejte připojení privátních koncových bodů a jejich stavů.

$get = @{
    Name = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get

Schválení privátního připojení koncového bodu

Ke schválení připojení privátního koncového bodu použijte Approve-AzPrivateEndpointConnection.

$approve = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve

Odepřít připojení privátního koncového bodu

Pokud chcete odmítnout připojení privátního koncového bodu, použijte Deny-AzPrivateEndpointConnection.

$deny = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection  @deny

Odstraňte připojení privátního koncového bodu

K odebrání připojení privátního koncového bodu použijte Remove-AzPrivateEndpointConnection.

$remove = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove

Azure CLI

Ke správě připojení privátního koncového bodu použijte následující příkazy Azure CLI.

Získání stavů připojení Private Link

Pomocí příkazu az network private-endpoint-connection show získáte připojení privátních koncových bodů a jejich aktuální stav.

  az network private-endpoint-connection show \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Schválení privátního připojení koncového bodu

Ke schválení připojení privátního koncového bodu použijte az network private-endpoint-connection approve.

  az network private-endpoint-connection approve \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

Odepřít připojení privátního koncového bodu

Pomocí příkazu az network private-endpoint-connection reject zamítněte připojení soukromého koncového bodu.

  az network private-endpoint-connection reject \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

Odstraňte připojení privátního koncového bodu

K odebrání připojení privátního koncového bodu použijte az network private-endpoint-connection delete.

  az network private-endpoint-connection delete \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Poznámka:

Připojení, která byla dříve zamítnuta, nelze schválit. Musíte odebrat připojení a vytvořit nové.

Další kroky

• Informace o privátních koncových bodech