Démarrage rapide – Créer un point de terminaison privé en utilisant le portail Azure CLI
Article
Démarrez avec Azure Private Link en créant et utilisant un point de terminaison privé pour vous connecter en toute sécurité à une application web Azure.
Dans ce guide de démarrage rapide, créez un point de terminaison privé pour une application web Azure App Services, puis créez et déployez une machine virtuelle (VM) pour tester la connexion privée.
Vous pouvez créer des points de terminaison privés pour divers services Azure, tels qu’Azure SQL et Stockage Azure.
Prérequis
Compte Azure avec un abonnement actif. Si vous n’avez pas encore de compte Azure, créez-en un gratuitement.
Une application web Azure avec un niveau PremiumV2 ou un plan App Service supérieur déployé dans votre abonnement Azure.
Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.
Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.
Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.
Créer un groupe de ressources
Un groupe de ressources Azure est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.
Commencez par créer un groupe de ressources à l’aide de la commande az group create :
Azure CLI
az group create \
--name test-rg \
--location eastus2
Créer un réseau virtuel et un hôte bastion
Un réseau virtuel et un sous-réseau sont requis pour héberger l’adresse IP privée du point de terminaison privé. Vous créez un hôte bastion pour vous connecter en toute sécurité à la machine virtuelle afin de tester le point de terminaison privé. Vous créerez la machine virtuelle dans une section ultérieure.
Notes
Le tarif horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, consultez Tarifications et Références SKU. Si vous déployez Bastion dans le cadre d’un tutoriel ou d’un test, nous vous recommandons de supprimer cette ressource après l’avoir utilisée.
Le déploiement de l’hôte Azure Bastion peut prendre quelques minutes.
Créer un Private Endpoint
Un service Azure qui prend en charge les points de terminaison privés est nécessaire pour configurer le point de terminaison privé et la connexion au réseau virtuel. Pour accéder aux exemples de cet article, utilisez l’Azure WebApp des conditions préalables. Pour plus d’informations sur les services Azure qui prennent en charge un point de terminaison privé, consultez Disponibilité d’Azure Private Link.
Un point de terminaison privé peut avoir une adresse IP statique ou affectée dynamiquement.
Important
Vous devez avoir une WebApp Azure App Services précédemment déployée pour continuer à suivre les étapes de cet article. Pour plus d’informations, consultez Prérequis.
Placez l’ID de ressource de l’application web que vous avez créée précédemment dans une variable d’interpréteur de commandes à l’aide de la commande az webapp list. Créez le point de terminaison privé à l’aide de la commande az network private-endpoint create.
Une zone DNS privée est utilisée pour résoudre le nom DNS du point de terminaison privé dans le réseau virtuel. Pour cet exemple, nous utilisons les informations DNS pour une application web Azure. Pour plus d’informations sur la configuration DNS des points de terminaison privés, consultez Configuration DNS des points de terminaison privés Azure.
Pour vérifier l’adresse IP statique et les fonctionnalités du point de terminaison privé, une machine virtuelle de test connectée à votre réseau virtuel est requise.
Créez la machine virtuelle à l’aide de la commande az vm create.
Les machines virtuelles d’un réseau virtuel avec un hôte bastion n’ont pas besoin d’adresses IP publiques. Bastion fournit l’adresse IP publique et les machines virtuelles utilisent des adresses IP privées pour communiquer au sein du réseau. Vous pouvez supprimer les adresses IP publiques des machines virtuelles des réseaux virtuels hébergés par bastion. Pour plus d’informations, consultez Dissocier une adresse IP publique d’une machine virtuelle Azure.
Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends d’un équilibreur de charge Azure de base interne. Le mécanisme d’adresse IP d’accès sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP de l’accès sortant par défaut est désactivée quand l’un des événements suivants se produit :
Une adresse IP publique est affectée à la machine virtuelle.
La machine virtuelle est placée dans le pool principal d’un équilibreur de charge standard, avec ou sans règles de trafic sortant.
Une ressource Azure NAT Gateway est attribuée au sous-réseau de la machine virtuelle.
Les machines virtuelles que vous avez créées, au moyen de groupes de machines virtuelles identiques en mode d’orchestration flexible, n’ont pas d’accès sortant par défaut.
Une adresse IP privée de 10.0.0.10 est renvoyée pour le nom de l'application Web si vous avez choisi une adresse IP statique dans les étapes précédentes. Cette adresse se trouve dans le sous-réseau du réseau virtuel que vous avez créé plus tôt.
Dans la connexion de l’hôte bastion à vm-1, ouvrez le navigateur web.
Entrez l’URL de votre application web, https://webapp-1.azurewebsites.net.
Si votre application Web n'a pas été déployée, vous obtenez la page d'application Web par défaut suivante :
Fermez la connexion à vm-1.
Nettoyer les ressources
Lorsque vous n’en avez plus besoin, utilisez la commande az group delete pour supprimer le groupe de ressources, le service de liaison privée, l’équilibreur de charge et toutes les ressources associées.
Azure CLI
az group delete \
--name test-rg
Étapes suivantes
Pour plus d’informations sur les services qui prennent en charge les points de terminaison privés, consultez :
Découvrez comment connecter en toute sécurité un serveur Azure SQL à l’aide d’un point de terminaison privé Azure via le Portail Azure, ce qui garantit une communication privée et sécurisée avec votre serveur SQL.
Faites la démonstration de la conception, de l’implémentation et de la maintenance de l’infrastructure de mise en réseau, du trafic d’équilibrage de charge, du routage réseau Azure et bien plus encore.