Gérer des points de terminaison privés Azure
Les points de terminaison privés Azure ont plusieurs options pour gérer leur configuration et leur déploiement.
Vous pouvez déterminer GroupId et MemberName valeurs en interrogeant la ressource Azure Private Link. Vous avez besoin des valeurs et MemberName des GroupId valeurs pour configurer une adresse IP statique pour un point de terminaison privé lors de la création.
Un point de terminaison privé a deux propriétés personnalisées : l’adresse IP statique et le nom de l’interface réseau. Ces propriétés doivent être définies lorsque le point de terminaison privé est créé.
Avec un fournisseur de services et un déploiement consommateur de Private Link, un processus d’approbation est en place pour établir la connexion.
Déterminer GroupID et MemberName
Lors de la création d’un point de terminaison privé avec Azure PowerShell et Azure CLI, les valeurs et MemberName les GroupId valeurs de la ressource de point de terminaison privé peuvent être nécessaires.
GroupIdest la sous-ressource du point de terminaison privé.MemberNameest l’empreinte unique de l’adresse IP privée du point de terminaison.
Pour plus d’informations sur les sous-ressources de point de terminaison privé et leurs valeurs, consultez la ressource Private Link.
Pour déterminer les valeurs et pour votre ressource de point de GroupIdMemberName terminaison privé, utilisez les commandes suivantes. MemberName est contenu dans la RequiredMembers propriété.
Une application web Azure est utilisée comme exemple de ressource de point de terminaison privé. Utilisez Get-AzPrivateLinkResource pour déterminer les valeurs pour GroupId et MemberName.
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
Vous devez recevoir une sortie similaire à l’exemple suivant.
Propriétés personnalisées
Le renommage de l’interface réseau et l’attribution d’adresses IP statiques sont des propriétés personnalisées que vous pouvez définir sur un point de terminaison privé lors de la création.
Changement de nom de l’interface réseau
Par défaut, lorsqu’un point de terminaison privé est créé, l’interface réseau associée au point de terminaison privé reçoit un nom aléatoire pour son interface réseau. L’interface réseau doit être nommée lorsque le point de terminaison privé est créé. Le changement de nom de l’interface réseau d’un point de terminaison privé existant n’est pas pris en charge.
Utilisez les commandes suivantes lorsque vous créez un point de terminaison privé pour renommer l’interface réseau.
Pour renommer l’interface réseau lorsque le point de terminaison privé est créé, utilisez le paramètre -CustomNetworkInterfaceName. L’exemple suivant utilise une commande Azure PowerShell pour créer un point de terminaison privé sur une application web Azure. Pour plus d’informations, consultez New-AzPrivateEndpoint.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
Adresse IP statique
Par défaut, lorsqu’un point de terminaison privé est créé, l’adresse IP du point de terminaison est automatiquement affectée. L’adresse IP est affectée à partir de la plage d’adresses IP du réseau virtuel configuré pour le point de terminaison privé. Une situation peut survenir lorsqu’une adresse IP statique pour le point de terminaison privé est requise. L’adresse IP statique doit être affectée lorsque le point de terminaison privé est créé. La configuration d’une adresse IP statique pour un point de terminaison privé existant n’est actuellement pas prise en charge.
Pour connaître les procédures de configuration d’une adresse IP statique lorsque vous créez un point de terminaison privé, consultez Créer un point de terminaison privé à l’aide d’Azure PowerShell et créer un point de terminaison privé à l’aide d’Azure CLI.
Connexions des points de terminaison privés
Private Link fonctionne sur un modèle d’approbation où le consommateur Private Link peut demander une connexion au fournisseur de services pour consommer le service.
Le fournisseur de services peut alors décider s’il faut autoriser l’utilisateur à se connecter. Private Link permet aux fournisseurs de services de gérer la connexion de point de terminaison privé sur leurs ressources.
Il existe deux méthodes d’approbation de connexion qu’un consommateur Private Link peut choisir parmi :
Automatique : si le consommateur de services dispose d’autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure sur la ressource du fournisseur de services, le consommateur peut choisir la méthode d’approbation automatique. Lorsque la demande atteint la ressource du fournisseur de services, celui-ci n’a rien à faire, car la connexion est automatiquement approuvée.
Manuel : si le consommateur de services n’a pas d’autorisations RBAC sur la ressource du fournisseur de services, le consommateur peut choisir la méthode d’approbation manuelle. La demande de connexion apparaît comme étant En attente dans les ressources du service. Le fournisseur de services doit approuver manuellement la demande avant de pouvoir établir des connexions.
Dans les cas manuels, le consommateur de services peut également spécifier un message avec la demande pour fournir plus de contexte au fournisseur de services. Le fournisseur de services dispose des options suivantes pour choisir parmi toutes les connexions de point de terminaison privé : Approuver, Rejeter et Supprimer.
Important
Pour approuver les connexions avec un point de terminaison privé qui se trouve dans un abonnement ou un locataire distinct, vérifiez que l’abonnement ou le locataire du fournisseur est inscrit Microsoft.Network. L’abonnement ou le locataire consommateur doivent également avoir le fournisseur de ressources de la ressource de destination inscrite.
Le tableau suivant présente les différentes actions du fournisseur de services et les états de connexion résultants pour les points de terminaison privés. Le fournisseur de services peut modifier l’état de la connexion ultérieurement sans intervention de l’utilisateur. L’action met à jour l’état du point de terminaison côté consommateur.
| Action du fournisseur de services | État du point de terminaison privé de l’utilisateur du service | Description |
|---|---|---|
| None | Pending | La connexion est créée manuellement et est en attente de l’approbation du propriétaire de la ressource Private Link. |
| Approbation | Approved | Connecter ion est automatiquement ou approuvée manuellement et est prête à être utilisée. |
| Rejeter | Rejeté | Le propriétaire de la ressource Private Link rejette la connexion. |
| Remove | Déconnecté | Le propriétaire de la ressource Private Link supprime la connexion, ce qui entraîne la déconnexion du point de terminaison privé et doit être supprimé pour propre up. |
Gérer les connexions de point de terminaison privé sur les ressources Azure PaaS
Suivez les étapes suivantes pour gérer une connexion de point de terminaison privé dans le Portail Azure.
Connectez-vous au portail Azure.
Dans la zone de recherche située en haut du portail, entrez Private Link. Dans les résultats de la recherche, sélectionnez Liaison privée.
Dans le Centre Private Link, sélectionnez Points de terminaison privés ou services private link.
Pour chaque point de terminaison, vous pouvez afficher le nombre de connexions de point de terminaison privé qui lui sont associées. Vous pouvez filtrer les ressources selon vos besoins.
Sélectionnez le point de terminaison privé. Dans la liste des connexions, sélectionnez la connexion que vous souhaitez gérer.
Vous pouvez modifier l’état de la connexion en sélectionnant l’une des options situées en haut.
Gérer les connexions de point de terminaison privé sur un service Private Link appartenant au client ou au partenaire
Utilisez les commandes PowerShell et Azure CLI suivantes pour gérer les connexions de point de terminaison privé sur les services partenaires Microsoft ou les services appartenant au client.
Utilisez les commandes PowerShell suivantes pour gérer les connexions de point de terminaison privé.
Obtenir les état des connexions Private Link
Utilisez Get-AzPrivateEndpoint Connecter ion pour obtenir les connexions de point de terminaison privé et leurs états.
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
Approuver une connexion de point de terminaison privé
Utilisez Approve-AzPrivateEndpoint Connecter ion pour approuver une connexion de point de terminaison privé.
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
Refuser une connexion de point de terminaison privé
Utilisez Deny-AzPrivateEndpoint Connecter ion pour rejeter une connexion de point de terminaison privé.
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
Supprimer une connexion de point de terminaison privé
Utilisez Remove-AzPrivateEndpoint Connecter ion pour supprimer une connexion de point de terminaison privé.
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
Remarque
Connecter ions précédemment refusées ne peuvent pas être approuvées. Vous devez supprimer la connexion et en créer une nouvelle.