Megosztás:

Privát hivatkozás létrehozása az Azure-erőforrások kezeléséhez a portál használatával

Ez a cikk azt ismerteti, hogyan korlátozhatja az Azure Private Link használatát az előfizetésekben lévő erőforrások kezeléséhez. Bemutatja, hogyan használhatja az Azure Portalt az erőforrások privát hozzáférésen keresztüli felügyeletének beállításához.

A privát hivatkozások lehetővé teszik az Azure-szolgáltatások elérését egy privát végponton keresztül a virtuális hálózaton. Ha privát hivatkozásokat kombinál az Azure Resource Manager műveleteivel, lehetővé teszi, hogy a felhasználók egy adott végpontot használjanak az erőforrások kezeléséhez.

A privát kapcsolat a következő biztonsági előnyöket nyújtja:

  • Privát hozzáférés – a felhasználók privát végponton keresztül kezelhetik az erőforrásokat egy magánhálózatról.

Feljegyzés

Az Azure Kubernetes Service (AKS) jelenleg nem támogatja az ARM privát végpont implementálását.

Az Azure Bastion nem támogatja a privát kapcsolatokat. Ajánlott privát DNS-zónát használni az erőforrás-kezelési privát kapcsolat privát végpontkonfigurációjához, de a management.azure.com nevével való átfedés miatt a Bastion-példány működése leáll. További információkért tekintse meg az Azure Bastion gyakori kérdéseit.

Az architektúra ismertetése

Fontos

Ebben a kiadásban csak a gyökérszintű felügyeleti csoport szintjén alkalmazhat privát kapcsolatkezelési hozzáférést. Ez a korlátozás azt jelenti, hogy a privát kapcsolat hozzáférése a bérlőre vonatkozik.

A privát kapcsolaton keresztüli felügyelet megvalósításakor két erőforrástípust fog használni.

  • Erőforrás-kezelési privát kapcsolat (Microsoft.Authorization/resourceManagementPrivateLinks)
  • Privát kapcsolat társítása (Microsoft.Authorization/privateLinkAssociations)

Az alábbi ábra bemutatja, hogyan hozhat létre olyan megoldást, amely korlátozza az erőforrások kezeléséhez való hozzáférést.

Erőforrás-kezelés – privát kapcsolat diagramja

A privát kapcsolat társítása kibővíti a gyökérszintű felügyeleti csoportot. A privát kapcsolat társítása és a privát végpontok az erőforrás-kezelési privát kapcsolatra hivatkoznak.

Fontos

A több-bérlős fiókok jelenleg nem támogatottak az erőforrások privát kapcsolaton keresztüli kezeléséhez. A különböző bérlők privát kapcsolati társításai nem kapcsolhatók egyetlen erőforrás-kezelési privát kapcsolathoz.

Ha a fiókja egynél több bérlőhöz fér hozzá, csak az egyikhez adjon meg privát hivatkozást.

Workflow

Ha privát hivatkozást szeretne beállítani az erőforrásokhoz, kövesse az alábbi lépéseket. A lépéseket a cikk későbbi részében részletesebben ismertetjük.

  1. Hozza létre az erőforrás-kezelési privát hivatkozást.
  2. Hozzon létre egy privát kapcsolattársítást. A privát kapcsolat társítása kibővíti a gyökérszintű felügyeleti csoportot. Hivatkozik az erőforrás-kezelési privát hivatkozás erőforrás-azonosítóra is.
  3. Adjon hozzá egy privát végpontot, amely az erőforrás-kezelési privát hivatkozásra hivatkozik.

A lépések elvégzése után kezelheti a hatókör hierarchiájának részét képező Azure-erőforrásokat. Az alhálózathoz csatlakoztatott privát végpontot használja.

A privát hivatkozáshoz való hozzáférést figyelheti. További információ: Naplózás és figyelés.

Szükséges engedélyek

Fontos

Ebben a kiadásban csak a gyökérszintű felügyeleti csoport szintjén alkalmazhat privát kapcsolatkezelési hozzáférést. Ez a korlátozás azt jelenti, hogy a privát kapcsolat hozzáférése a bérlőre vonatkozik.

Az erőforrás-kezelés privát hivatkozásának beállításához a következő hozzáférésre van szüksége:

  • Az előfizetés tulajdonosa. Ez a hozzáférés szükséges az erőforrás-kezelés privát kapcsolati erőforrásának létrehozásához.
  • Tulajdonos vagy közreműködő a gyökérszintű felügyeleti csoportban. Ez a hozzáférés szükséges a privát kapcsolat társítása erőforrás létrehozásához.
  • A Microsoft Entra-azonosító globális rendszergazdája nem rendelkezik automatikusan engedéllyel szerepkörök hozzárendelésére a gyökérszintű felügyeleti csoportban. Az erőforrás-kezelés privát hivatkozásainak létrehozásához a globális rendszergazdának engedéllyel kell rendelkeznie a gyökérszintű felügyeleti csoport olvasásához és a hozzáférés emeléséhez ahhoz, hogy a bérlő összes előfizetéséhez és felügyeleti csoportjához felhasználói hozzáférés-rendszergazdai jogosultsággal rendelkezzen. A felhasználói hozzáférés-rendszergazdai engedély beszerzését követően a globális rendszergazdának tulajdonosi vagy közreműködői engedélyt kell adnia a gyökérszintű felügyeleti csoportban a privát kapcsolat társítóját létrehozó felhasználónak.

Amikor privát erőforrás-kezelési hivatkozást hoz létre, a portál automatikusan létrehozza a privát kapcsolat társítását.

  1. A portálon keresse meg az erőforrás-kezelés privát hivatkozásait, és válassza ki az elérhető lehetőségek közül.

    Képernyőkép az Azure Portal keresősávjáról, amelyen meg van adva az Erőforrás-kezelés.

  2. Ha az előfizetése még nem rendelkezik erőforrás-kezelési privát hivatkozásokkal, egy üres oldal jelenik meg. Válassza az Erőforrás-kezelés privát hivatkozásának létrehozása lehetőséget.

    Képernyőkép az Azure Portalról az

  3. Adjon meg értékeket az új erőforrás-kezelési privát kapcsolathoz. A kiválasztott címtár gyökérszintű felügyeleti csoportját használja a rendszer az új erőforráshoz. Válassza az Áttekintés + létrehozás lehetőséget.

    Képernyőkép az Azure Portalról az új erőforrás-kezelési privát hivatkozás értékeinek megadásához szükséges mezőkkel.

  4. Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget.

Privát végpont létrehozása

Ezután hozzon létre egy privát végpontot, amely az erőforrás-kezelési privát hivatkozásra hivatkozik.

  1. Lépjen a Privát kapcsolat központra. Válassza a Privát végpont létrehozása lehetőséget.

    Képernyőkép az Azure Portal Privát kapcsolatközpontjáról, kiemelt

  2. Az Alapok lapon adja meg a privát végpont értékeit.

    Képernyőkép az Azure Portalról, amelyen az

  3. Az Erőforrás lapon válassza a Csatlakozás azure-erőforráshoz a címtáramban lehetőséget. Erőforrástípus esetén válassza a Microsoft.Authorization/resourceManagementPrivateLinks lehetőséget. A cél-alforrás esetében válassza a ResourceManagement lehetőséget.

    Képernyőkép az Azure Portalról, amelyen az

  4. A Konfiguráció lapon válassza ki a virtuális hálózatot. Javasoljuk, hogy integráljon egy privát DNS-zónával. Válassza az Áttekintés + létrehozás lehetőséget.

  5. Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget.

Privát DNS-zóna ellenőrzése

A környezet megfelelő konfigurálásához ellenőrizze a DNS-zóna helyi IP-címét.

  1. A privát végpontot üzembe helyező erőforráscsoportban válassza ki a privatelink.azure.com nevű privát DNS-zónaerőforrást.

  2. Ellenőrizze, hogy a rekordhalmaz nevesített kezelése érvényes helyi IP-címmel rendelkezik-e.

    Képernyőkép az Azure Portalról, amely megjeleníti a privát DNS-zónaerőforrást a

Következő lépések

  • A privát hivatkozásokról további információt az Azure Private Linkben talál.
  • A támogatott szolgáltatásokra és régiókra vonatkozó információkért tekintse meg az Azure Private Link rendelkezésre állását , beleértve a kormányzati felhőtámogatást is.
  • Last updated on