Verwalten von privaten Azure-Endpunkten
Private Azure-Endpunkte haben mehrere Optionen zum Verwalten ihrer Konfiguration und Bereitstellung.
Sie können bestimmen GroupId und MemberName werte, indem Sie die Azure Private Link-Ressource abfragen. Sie benötigen die GroupId Werte, MemberName um während der Erstellung eine statische IP-Adresse für einen privaten Endpunkt zu konfigurieren.
Ein privater Endpunkt verfügt über zwei benutzerdefinierte Eigenschaften: statische IP-Adresse und Netzwerkschnittstellenname. Diese Eigenschaften müssen festgelegt werden, wenn der private Endpunkt erstellt wird.
Bei einem Dienstanbieter und einer Consumerbereitstellung von privatem Link ist ein Genehmigungsprozess vorhanden, um die Verbindung herzustellen.
Bestimmen von GroupID und MemberName
Während der Erstellung eines privaten Endpunkts mit Azure PowerShell und der Azure CLI sind möglicherweise die GroupId Werte MemberName und Werte der privaten Endpunktressource erforderlich.
GroupIdist die Unterressource des privaten Endpunkts.MemberNameist der eindeutige Stempel für die private IP-Adresse des Endpunkts.
Weitere Informationen zu privaten Endpunktunterressourcen und deren Werten finden Sie unter Private Link-Ressource.
Verwenden Sie die folgenden Befehle, um die Werte von GroupId und MemberName für Ihre private Endpunktressource zu ermitteln. MemberName ist in der RequiredMembers Eigenschaft enthalten.
Eine Azure Web App wird als beispiel für eine private Endpunktressource verwendet. Verwenden Sie Get-AzPrivateLinkResource , um die Werte für GroupId und MemberName.
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
Sie sollten eine Ausgabe ähnlich dem folgenden Beispiel erhalten.
Benutzerdefinierte Eigenschaften
Netzwerkschnittstelle umbenennen und statische IP-Adresszuweisung sind benutzerdefinierte Eigenschaften, die Sie während der Erstellung für einen privaten Endpunkt festlegen können.
Umbenennen der Netzwerkschnittstelle
Wenn ein privater Endpunkt erstellt wird, wird der mit dem privaten Endpunkt verknüpfte Netzwerkschnittstelle standardmäßig ein zufälliger Name zugewiesen. Die Netzwerkschnittstelle muss benannt werden, wenn der private Endpunkt erstellt wird. Die Umbenennung der Netzwerkschnittstelle eines vorhandenen privaten Endpunkts wird nicht unterstützt.
Verwenden Sie die folgenden Befehle, wenn Sie einen privaten Endpunkt erstellen, um die Netzwerkschnittstelle umzubenennen.
Verwenden Sie beim Erstellen eines privaten Endpunkts den Parameter -CustomNetworkInterfaceName, um die Netzwerkschnittstelle umzubenennen. Im folgenden Beispiel wird ein Azure PowerShell-Befehl verwendet, um einen privaten Endpunkt für eine Azure Web App zu erstellen. Weitere Informationen finden Sie unter New-AzPrivateEndpoint.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
Statische IP-Adresse
Wenn ein privater Endpunkt erstellt wird, wird standardmäßig die IP-Adresse für den Endpunkt automatisch zugewiesen. Die IP-Adresse wird aus dem IP-Adressbereich des virtuellen Netzwerks zugewiesen, das für den privaten Endpunkt konfiguriert ist. Eine Situation kann auftreten, wenn eine statische IP-Adresse für den privaten Endpunkt erforderlich ist. Die statische IP-Adresse muss während der Erstellung des privaten Endpunkts zugewiesen werden. Die Konfiguration einer statischen IP-Adresse für einen vorhandenen privaten Endpunkt wird derzeit nicht unterstützt.
Verfahren zum Konfigurieren einer statischen IP-Adresse beim Erstellen eines privaten Endpunkts finden Sie unter Erstellen eines privaten Endpunkts mithilfe von Azure PowerShell und Erstellen eines privaten Endpunkts mithilfe der Azure CLI.
Private Endpunktverbindungen
Private Link funktioniert in einem Genehmigungsmodell, bei dem der Private Link-Consumer eine Verbindung mit dem Dienstanbieter anfordern kann, um den Dienst zu nutzen.
Der Dienstanbieter kann dann entscheiden, ob er es dem Consumer gestattet, die Verbindung herzustellen. Mit privatem Link können Dienstanbieter die private Endpunktverbindung für ihre Ressourcen verwalten.
Es gibt zwei Methoden für die Verbindungsgenehmigung, aus denen ein Consumer für private Links wählen kann:
Automatisch: Wenn der Dienstanwender über Azure-Berechtigungen für die rollenbasierte Zugriffssteuerung (RBAC) für die Dienstanbieterressource verfügt, kann der Verbraucher die automatische Genehmigungsmethode auswählen. Wenn die Anforderung die Ressource des Dienstanbieters erreicht, ist keine Aktion des Dienstanbieters erforderlich, und die Verbindung wird automatisch genehmigt.
Manual: If the service consumer doesn't have RBAC permissions on the service provider resource, the consumer can choose the manual approval method. Die Verbindungsanforderung wird für die Dienstressourcen als Ausstehend angezeigt. Der Dienstanbieter muss die Anforderung manuell genehmigen, bevor Verbindungen hergestellt werden können.
In manuellen Fällen kann der Dienstanwender auch eine Nachricht mit der Anforderung angeben, um dem Dienstanbieter mehr Kontext bereitzustellen. Der Dienstanbieter verfügt über die folgenden Optionen für alle privaten Endpunktverbindungen: Genehmigen, Ablehnen und Entfernen.
Wichtig
Um Verbindungen mit einem privaten Endpunkt zu genehmigen, der sich in einem separaten Abonnement oder Mandanten befindet, stellen Sie sicher, dass das Anbieterabonnement oder der Mandant registriert Microsoft.Networkist. Das Consumerabonnement oder der Mandant sollte auch den Ressourcenanbieter der Zielressource registriert haben.
In der folgenden Tabelle sind die verschiedenen Dienstanbieteraktionen und die resultierenden Verbindungszustände für private Endpunkte aufgeführt. Der Dienstanbieter kann den Verbindungsstatus zu einem späteren Zeitpunkt ändern, ohne dass der Consumer eingreifen muss. Die Aktion aktualisiert den Status des Endpunkts auf der Consumerseite.
| Dienstanbieteraktion | Zustand des privaten Endpunkts des Dienstconsumers | BESCHREIBUNG |
|---|---|---|
| Keine | Ausstehend | Die Verbindung wurde manuell erstellt, wobei die Genehmigung des Besitzers der Private Link-Ressource aussteht. |
| Genehmigen | Genehmigt | Verbinden ion wird automatisch oder manuell genehmigt und kann verwendet werden. |
| Reject | Rejected (Abgelehnt) | Der Besitzer der Privaten Verknüpfung-Ressource lehnt die Verbindung ab. |
| Remove | Getrennt | Der Besitzer der Ressource für private Verknüpfung entfernt die Verbindung, sodass der private Endpunkt getrennt wird und für sauber up gelöscht werden sollte. |
Verwalten von Verbindungen mit privaten Endpunkten für Azure PaaS-Ressourcen
Führen Sie die folgenden Schritte aus, um eine private Endpunktverbindung mit dem Azure-Portal zu verwalten.
Melden Sie sich beim Azure-Portal an.
Geben Sie am oberen Rand des Portals den Suchbegriff Private Link in das Suchfeld ein. Wählen Sie in den Suchergebnissen Private Link aus.
Wählen Sie im Private Link Center private Endpunkte oder private Linkdienste aus.
Für jeden Ihrer Endpunkte können Sie die Anzahl der zugeordneten privaten Endpunktverbindungen anzeigen. Sie können die Ressourcen bei Bedarf filtern.
Wählen Sie den privaten Endpunkt aus. Wählen Sie unter den aufgelisteten Verbindungen die Verbindung aus, die Sie verwalten möchten.
Sie können den Zustand der Verbindung ändern, indem Sie eine der obigen Optionen auswählen.
Verwalten privater Endpunktverbindungen auf einem Kunden- oder Partner-eigenen Privaten Link-Dienst
Verwenden Sie die folgenden PowerShell- und Azure CLI-Befehle, um private Endpunktverbindungen für Microsoft-Partnerdienste oder kundeneigene Dienste zu verwalten.
Verwenden Sie die folgenden PowerShell-Befehle, um private Endpunktverbindungen zu verwalten.
Abrufen von Private Link-Verbindungszuständen
Verwenden Sie Get-AzPrivateEndpoint Verbinden ion, um die privaten Endpunktverbindungen und deren Zustände abzurufen.
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
Genehmigen einer Verbindung mit einem privaten Endpunkt
Verwenden Sie "Approve-AzPrivateEndpoint Verbinden ion", um eine private Endpunktverbindung zu genehmigen.
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
Verweigern einer privaten Endpunktverbindung
Verwenden Sie Deny-AzPrivateEndpoint Verbinden ion, um eine private Endpunktverbindung abzulehnen.
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
Entfernen einer Verbindung mit einem privaten Endpunkt
Verwenden Sie Remove-AzPrivateEndpoint Verbinden ion, um eine private Endpunktverbindung zu entfernen.
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
Hinweis
Verbinden ionen, die zuvor verweigert wurden, können nicht genehmigt werden. Sie müssen die Verbindung entfernen und eine neue erstellen.