Démarrage rapide : Créer un service Private Link en utilisant Azure CLI
Commencez à créer un service Private Link qui fait référence à votre service. Accordez à Private Link un accès à votre service ou ressource déployé(e) derrière Azure Standard Load Balancer. Les utilisateurs de votre service ont un accès privé à partir de leur réseau virtuel.
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.
Prérequis
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.
Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.
Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.
- Ce guide de démarrage rapide nécessite la version 2.0.28 ou ultérieure de l’interface Azure CLI. Si vous utilisez Azure Cloud Shell, la version la plus récente est déjà installée.
Créer un groupe de ressources
Un groupe de ressources Azure est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.
Créez un groupe de ressources avec la commande az group create :
Nommé test-rg.
À l’emplacement eastus2.
az group create \
--name test-rg \
--location eastus2
Créer un équilibrage de charge interne
Dans cette section, vous allez créer un réseau virtuel et un Azure Load Balancer interne.
Réseau virtuel
Dans cette section, vous allez créer un réseau virtuel et un sous-réseau pour héberger l’équilibreur de charge qui accède à votre service Private Link.
Créez un réseau virtuel avec la commande az network vnet create :
Nommé vnet-1.
Préfixe d’adresse 10.0.0.0/16.
Sous-réseau nommé subnet-1.
Préfixe du sous-réseau 10.0.0.0/24.
Dans le groupe de ressources test-rg .
Emplacement eastus2.
Désactivez la stratégie réseau pour le service de liaison privée sur le sous-réseau.
az network vnet create \
--resource-group test-rg \
--location eastus2 \
--name vnet-1 \
--address-prefixes 10.0.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.0.0.0/24
Créer un équilibreur de charge standard
Cette section explique en détail comment vous pouvez créer et configurer les composants suivants de l’équilibreur de charge :
Un pool d’adresses IP frontal qui reçoit le trafic réseau entrant sur l’équilibreur de charge.
Un pool d’adresses IP principal auquel le pool frontal envoie le trafic réseau dont la charge est équilibrée.
Une sonde d’intégrité qui détermine l’intégrité des instances de machine virtuelle backend.
Une règle d’équilibreur de charge qui définit la distribution du trafic aux machines virtuelles.
Créer la ressource d’équilibreur de charge
Créez un équilibreur de charge public avec la commande az network lb create :
Ajout d'un programme d'équilibrage de charge.
Un pool frontal nommé frontend.
Un pool back-end nommé backend-pool.
Associé au réseau virtuel vnet-1.
Associé au sous-réseau back-end subnet-1.
az network lb create \
--resource-group test-rg \
--name load-balancer \
--sku Standard \
--vnet-name vnet-1 \
--subnet subnet-1 \
--frontend-ip-name frontend \
--backend-pool-name backend-pool
Créer la sonde d’intégrité
Une sonde d’intégrité vérifie toutes les instances de machine virtuelle pour s’assurer qu’elles peuvent transmettre du trafic réseau.
Une machine virtuelle dont le contrôle de sonde a échoué est supprimée de l’équilibreur de charge. La machine virtuelle est rajoutée à l’équilibreur de charge une fois l’échec résolu.
Créez une sonde d’intégrité avec la commande az network lb probe create :
Analyse l’intégrité des machines virtuelles.
Nommé health-probe.
Protocole TCP.
Surveillant le Port 80.
az network lb probe create \
--resource-group test-rg \
--lb-name load-balancer \
--name health-probe \
--protocol tcp \
--port 80
Créer la règle d’équilibreur de charge
Une règle d’équilibreur de charge définit les éléments suivants :
La configuration IP frontale pour le trafic entrant.
Le pool d’adresses IP principal qui reçoit le trafic.
Les ports source et de destination requis.
Créez une règle d’équilibreur de charge avec la commande az network lb rule create :
Nommé http-rule
Écoutant le Port 80 dans le pool frontal frontend.
Envoi du trafic réseau à charge équilibrée vers le pool d'adresses back-end backend-pool en utilisant Port 80.
Utilisation de la sonde d’intégrité health-probe.
Protocole TCP.
Délai d’inactivité de 15 minutes.
Activez la réinitialisation TCP.
az network lb rule create \
--resource-group test-rg \
--lb-name load-balancer \
--name http-rule \
--protocol tcp \
--frontend-port 80 \
--backend-port 80 \
--frontend-ip-name frontend \
--backend-pool-name backend-pool \
--probe-name health-probe \
--idle-timeout 15 \
--enable-tcp-reset true
Désactiver la stratégie réseau
Avant de pouvoir créer un service de liaison privée dans le réseau virtuel, le paramètre privateLinkServiceNetworkPolicies
doit être désactivé.
- Désactivez la stratégie réseau avec az network vnet subnet update.
az network vnet subnet update \
--name subnet-1 \
--vnet-name vnet-1 \
--resource-group test-rg \
--disable-private-link-service-network-policies yes
Créer un service Private Link
Dans cette section, créez un service de liaison privée qui utilise l’équilibreur de charge Azure créé à l’étape précédente.
Créez un service de liaison privée à l’aide de la configuration IP front-end de l’équilibreur de charge standard avec la commande az network private-link-service create :
Nommé private-link-service.
Dans un réseau virtuel vnet-1.
Associé à l’équilibreur de charge standard load-balancer et à la configuration du frontale frontend.
À l’emplacement eastus2.
az network private-link-service create \
--resource-group test-rg \
--name private-link-service \
--vnet-name vnet-1 \
--subnet subnet-1 \
--lb-name load-balancer \
--lb-frontend-ip-configs frontend \
--location eastus2
Votre service de liaison privée est créé et peut recevoir du trafic. Si vous voulez voir les flux de trafic, configurez votre application derrière votre équilibreur de charge standard.
Créer un point de terminaison privé
Dans cette section, vous allez mapper le service de liaison privée à un point de terminaison privé. Un réseau virtuel contient le point de terminaison privé pour le service de liaison privée. Ce réseau virtuel contient les ressources qui auront accès à votre service de liaison privée.
Créer un réseau virtuel de point de terminaison privé
Créez un réseau virtuel avec la commande az network vnet create :
Nommé vnet-pe.
Préfixe d’adresse 10.1.0.0/16.
Sous-réseau nommé subnet-pe.
Préfixe du sous-réseau 10.1.0.0/24.
Dans le groupe de ressources test-rg .
Emplacement eastus2.
az network vnet create \
--resource-group test-rg \
--location eastus2 \
--name vnet-pe \
--address-prefixes 10.1.0.0/16 \
--subnet-name subnet-pe \
--subnet-prefixes 10.1.0.0/24
Créer un point de terminaison et une connexion
Utilisez az network private-link-service show pour obtenir l’ID de la ressource du service de liaison privée. La commande place l’ID de la ressource dans une variable à des fins d’utilisation ultérieure.
Utilisez az network private-endpoint create pour créer le point de terminaison privé dans le réseau virtuel que vous avez créé précédemment.
Nommé private-endpoint.
Dans le groupe de ressources test-rg .
Nom de la connexion : connection-1.
Emplacement eastus2.
Dans le réseau virtuel vnet-pe et le sous-réseau subnet-pe.
export resourceid=$(az network private-link-service show \
--name private-link-service \
--resource-group test-rg \
--query id \
--output tsv)
az network private-endpoint create \
--connection-name connection-1 \
--name private-endpoint \
--private-connection-resource-id $resourceid \
--resource-group test-rg \
--subnet subnet-pe \
--manual-request false \
--vnet-name vnet-pe
Nettoyer les ressources
Lorsque vous n’en avez plus besoin, utilisez la commande az group delete pour supprimer le groupe de ressources, le service de liaison privée, l’équilibreur de charge et toutes les ressources associées.
az group delete \
--name test-rg
Étapes suivantes
Dans ce guide de démarrage rapide, vous :
Avez créé un réseau virtuel et un Azure Load Balancer interne.
Avez créé un service de liaison privée.
Pour en savoir plus sur le point de terminaison privé Azure, passez à :