Události
31. 3. 23 - 2. 4. 23
Ultimate Fabric, AI a SQL, power BI community-led event. 31. března – 2. dubna. Použijte kód MSCUST pro slevu ve výši 150 USD.
Zaregistrovat se ještě dnesTento prohlížeč se už nepodporuje.
Upgradujte na Microsoft Edge, abyste mohli využívat nejnovější funkce, aktualizace zabezpečení a technickou podporu.
Služba Azure Private Link umožňuje přístup ke službám Azure (například Azure Service Bus, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti.
Privátní koncový bod je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službám využívajícím službu Azure Private Link. Privátní koncový bod využívá privátní IP adresu z vaší virtuální sítě, a tím skutečně přináší danou službu do vaší virtuální sítě. Veškeré přenosy do služby je možné směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure a získat tak nejvyšší úroveň členitosti řízení přístupu.
Další informace najdete v tématu Co je Azure Private Link?
Tato funkce je podporovaná s úrovní Premium služby Azure Service Bus. Další informace o úrovni Premium najdete v článku o úrovních zasílání zpráv Service Bus Premium a Standard.
Implementace privátních koncových bodů může zabránit interakci jiných služeb Azure se službou Service Bus. Jako výjimku můžete povolit přístup k prostředkům služby Service Bus z určitých důvěryhodných služeb i v případě, že jsou povolené privátní koncové body. Seznam důvěryhodných služeb naleznete v tématu Důvěryhodné služby.
Následující služby Microsoft musí být ve virtuální síti.
Zadejte alespoň jedno pravidlo PROTOKOLU IP nebo pravidlo virtuální sítě pro obor názvů, které povolí provoz pouze ze zadaných IP adres nebo podsítě virtuální sítě. Pokud neexistují žádná pravidla PROTOKOLU IP a virtuální sítě, je možné k oboru názvů přistupovat přes veřejný internet (pomocí přístupového klíče).
Pokud chcete integrovat obor názvů služby Service Bus se službou Azure Private Link, potřebujete následující entity nebo oprávnění:
Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Když vyberete oblast privátního koncového bodu pomocí portálu, automaticky vyfiltruje jenom virtuální sítě, které jsou v dané oblasti. Obor názvů služby Service Bus může být v jiné oblasti. Privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.
Při vytváření oboru názvů můžete buď povolit veřejný přístup (ze všech sítí) nebo pouze privátní přístup (pouze prostřednictvím privátních koncových bodů) k oboru názvů.
Pokud vyberete možnost Privátní přístup na stránce Sítě průvodce vytvořením oboru názvů, můžete na stránce přidat privátní koncový bod výběrem tlačítka + Privátní koncový bod. Podrobný postup přidání privátního koncového bodu najdete v další části.
Pokud už máte existující obor názvů, můžete privátní koncový bod vytvořit pomocí následujícího postupu:
Přihlaste se k portálu Azure.
Na panelu hledání zadejte Service Bus.
V seznamu vyberte obor názvů, do kterého chcete přidat privátní koncový bod.
V nabídce vlevo vyberte možnost Sítě v části Nastavení.
Poznámka
Zobrazí se karta Sítě pouze pro obory názvů Premium .
Na stránce Sítě vyberte pro přístup k veřejné síti možnost Zakázáno, pokud chcete, aby byl obor názvů přístupný pouze prostřednictvím privátních koncových bodů.
Chcete-li povolit důvěryhodné služby Microsoft obejít tuto bránu firewall, vyberte možnost Ano, pokud chcete povolit důvěryhodné služby Microsoft obejít tuto bránu firewall.
Na panelu nástrojů vyberte Uložit.
Pokud chcete povolit přístup k oboru názvů prostřednictvím privátních koncových bodů, vyberte kartu Připojení privátního koncového bodu v horní části stránky.
V horní části stránky vyberte tlačítko + privátní koncový bod.
Na stránce Základy postupujte takto:
Vyberte předplatné Azure, ve kterém chcete vytvořit privátní koncový bod.
Vyberte skupinu prostředků pro prostředek privátního koncového bodu.
Zadejte název privátního koncového bodu.
Zadejte název síťového rozhraní.
Vyberte oblast privátního koncového bodu. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť, ale může být v jiné oblasti než prostředek privátního propojení, ke kterému se připojujete.
Výběr tlačítka Další: Prostředek > v dolní části stránky
Na stránce Prostředek zkontrolujte nastavení a vyberte Další: Virtuální síť v dolní části stránky.
Na stránce Virtuální síť vyberete podsíť ve virtuální síti, do které chcete privátní koncový bod nasadit.
Na stránce DNS vyberte, jestli má být privátní koncový bod integrovaný s privátní zónou DNS, a pak vyberte Další: Značky.
Na stránce Značky vytvořte všechny značky (názvy a hodnoty), které chcete přidružit k prostředku privátního koncového bodu. Pak v dolní části stránky vyberte Tlačítko Zkontrolovat a vytvořit .
V části Zkontrolovat a vytvořit zkontrolujte všechna nastavení a výběrem možnosti Vytvořit vytvořte privátní koncový bod.
Ověřte, že je vytvořený privátní koncový bod. Pokud jste vlastníkem prostředku, na stránce Sítě oboru názvů služby Service Bus by mělo být připojení koncového bodu automaticky schváleno. Pokud je ve stavu čekání , přečtěte si část Správa privátních koncových bodů pomocí webu Azure Portal .
Když povolíte povolit důvěryhodné služby Microsoft obejít toto nastavení brány firewall, budou k vašim prostředkům služby Service Bus uděleny následující služby.
Důvěryhodná služba | Podporované scénáře použití |
---|---|
Azure Event Grid | Umožňuje službě Azure Event Grid odesílat události do front nebo témat ve vašem oboru názvů služby Service Bus. Musíte také provést následující kroky:
Další informace najdete v tématu Doručování událostí se spravovanou identitou. |
Azure Stream Analytics | Umožňuje úloze Azure Stream Analytics výstupní data do front Service Bus do témat. Důležité: Úloha Stream Analytics by měla být nakonfigurovaná tak, aby používala spravovanou identitu pro přístup k oboru názvů služby Service Bus. Přidejte identitu do role Odesílatele dat služby Azure Service Bus v oboru názvů služby Service Bus. |
Azure IoT Hub | Umožňuje službě IoT Hub odesílat zprávy do front nebo témat ve vašem oboru názvů služby Service Bus. Musíte také provést následující kroky:
|
Azure API Management | Služba API Management umožňuje odesílat zprávy do fronty nebo tématu služby Service Bus ve vašem oboru názvů služby Service Bus.
|
Azure IoT Central | Umožňuje Službě IoT Central exportovat data do front služby Service Bus nebo témat ve vašem oboru názvů služby Service Bus. Musíte také provést následující kroky:
|
Azure Digital Twins | Umožňuje službě Azure Digital Twins odchozí data do témat služby Service Bus v oboru názvů služby Service Bus. Musíte také provést následující kroky:
|
Azure Monitor (nastavení diagnostiky a skupiny akcí) | Umožňuje službě Azure Monitor odesílat diagnostické informace a oznámení výstrah do služby Service Bus v oboru názvů služby Service Bus. Azure Monitor může číst a zapisovat data do oboru názvů služby Service Bus. |
Azure Synapse | Umožňuje službě Azure Synapse připojit se ke službě Service Bus pomocí spravované identity pracovního prostoru Synapse. Přidejte do identity v oboru názvů služby Service Bus roli odesílatele dat služby Azure Service Bus, příjemce nebo vlastníka. |
Další důvěryhodné služby pro Azure Service Bus najdete níže:
Chcete-li povolit důvěryhodným službám přístup k vašemu oboru názvů, přepněte na kartu Veřejný přístup na stránce Sítě a u možnosti Povolit důvěryhodné služby Microsoft tuto bránu firewall obejít?
Následující příklad ukazuje, jak pomocí Azure PowerShellu vytvořit připojení privátního koncového bodu k oboru názvů služby Service Bus.
Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Obor názvů služby Service Bus může být v jiné oblasti. Privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.
$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"
# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation
# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $vnetlocation `
-Name $vnetName `
-AddressPrefix 10.0.0.0/16
# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name $subnetName `
-AddressPrefix 10.0.0.0/24 `
-PrivateEndpointNetworkPoliciesFlag "Disabled" `
-VirtualNetwork $virtualNetwork
# update virtual network
$virtualNetwork | Set-AzVirtualNetwork
# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -
# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $peConnectionName `
-PrivateLinkServiceId $namespaceResource.ResourceId `
-GroupId "namespace"
# get subnet object that you will use in the next step
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
| Where-Object {$_.Name -eq $subnetName}
# now, create private endpoint
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName `
-Name $vnetName `
-Location $vnetlocation `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection
(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties
Když vytvoříte privátní koncový bod, musí být připojení schváleno. Pokud prostředek, pro který vytváříte privátní koncový bod, je ve vašem adresáři, můžete schválit žádost o připojení za předpokladu, že máte dostatečná oprávnění. Pokud se připojujete k prostředku Azure v jiném adresáři, musíte počkat, až vlastník tohoto prostředku schválí vaši žádost o připojení.
Existují čtyři stavy zřizování:
Akce služby | Stav privátního koncového bodu příjemce služby | Popis |
---|---|---|
Nic | Nevyřízeno | Připojení se vytvoří ručně a čeká na schválení od vlastníka prostředku Private Link. |
Schválit | Schválený | Připojení bylo automaticky nebo ručně schváleno a je připravené k použití. |
Odmítnout | Zamítnuto | Vlastník prostředku privátního propojení odmítl připojení. |
Odebrat | Odpojeno | Vlastník prostředku privátního propojení odebral připojení. Privátní koncový bod se stane informativním a měl by být odstraněn pro vyčištění. |
Pokud existují nějaká připojení privátního koncového bodu, která chcete odmítnout, ať už se jedná o nevyřízenou žádost nebo existující připojení schválené dříve, vyberte připojení koncového bodu a vyberte tlačítko Odmítnout .
Na stránce Odmítnout připojení zadejte volitelný komentář a vyberte Ano. Pokud vyberete Ne, nic se nestane.
V seznamu by se měl zobrazit stav připojení, které se změnilo.
Pokud chcete odebrat připojení privátního koncového bodu, vyberte ho v seznamu a na panelu nástrojů vyberte Odebrat .
Na stránce Odstranit připojení vyberte Ano a potvrďte odstranění privátního koncového bodu. Pokud vyberete Ne, nic se nestane.
Měl by se zobrazit stav změněný na Odpojeno. Koncový bod pak zmizí ze seznamu.
Měli byste ověřit, že se prostředky ve virtuální síti privátního koncového bodu připojují k vašemu oboru názvů služby Service Bus přes privátní IP adresu a že mají správnou integraci zóny privátního DNS.
Nejprve vytvořte virtuální počítač podle kroků v části Vytvoření virtuálního počítače s Windows na webu Azure Portal.
Na kartě Sítě:
Připojte se k virtuálnímu počítači, otevřete příkazový řádek a spusťte následující příkaz:
nslookup <service-bus-namespace-name>.servicebus.windows.net
Měl by se zobrazit výsledek, který vypadá nějak takto.
Non-authoritative answer:
Name: <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address: 10.0.0.4 (private IP address associated with the private endpoint)
Aliases: <service-bus-namespace-name>.servicebus.windows.net
nslookup
operace vůči veřejnému koncovému bodu, i když je veřejný přístup zakázaný.Další informace najdete ve službě Azure Private Link: Omezení
Události
31. 3. 23 - 2. 4. 23
Ultimate Fabric, AI a SQL, power BI community-led event. 31. března – 2. dubna. Použijte kód MSCUST pro slevu ve výši 150 USD.
Zaregistrovat se ještě dnesŠkolení
Modul
Návrh a implementace privátního přístupu ke službám Azure - Training
Naučíte se navrhovat a implementovat privátní přístup ke službám Azure pomocí služby Azure Private Link a koncových bodů služeb virtuální sítě.
Certifikace
Microsoft Certified: Certifikovaný Asistent Síťového Inženýra pro Azure - Certifications
Předvedení návrhu, implementace a údržby síťové infrastruktury Azure, vyrovnávání zatížení provozu, směrování sítě a další.