Azure-beli privát végpontok kezelése

Az Azure privát végpontjai számos lehetőséget kínálnak konfigurációjuk és üzembe helyezésük kezelésére.

Az Azure Private Link-erőforrás lekérdezésével határozhatja meg és MemberName állíthatja be GroupId az értékeket. A privát végpont statikus IP-címének GroupId és MemberName értékeinek konfigurálásához a létrehozás során szükség van az értékekre.

A privát végpont két egyéni tulajdonsággal rendelkezik: statikus IP-címmel és hálózati adapternévvel. Ezeket a tulajdonságokat a privát végpont létrehozásakor kell beállítani.

A Private Link szolgáltatói és fogyasztói üzembe helyezésével jóváhagyási folyamat zajlik a kapcsolat létrehozásához.

A GroupID és a MemberName meghatározása

Az Azure PowerShell-lel és az Azure CLI-vel rendelkező privát végpont létrehozása során szükség lehet a GroupId privát végpont erőforrására és MemberName értékeire.

• GroupId a privát végpont alforrása.
• MemberName a végpont privát IP-címének egyedi bélyegzője.

A privát végpont alforrásairól és értékeiről további információt a Private Link-erőforrásban talál.

A privát végponti erőforrás értékeinek GroupId MemberName meghatározásához használja az alábbi parancsokat. MemberName a tulajdonságban található RequiredMembers .

PowerShell

A rendszer egy Azure-webalkalmazást használ magánvégpont-erőforrásként. A Get-AzPrivateLinkResource használatával határozza meg az és GroupId MemberNamea .

## Place the previously created webapp into a variable. ##
$webapp = 
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

$resource = 
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID

Az alábbi példához hasonló kimenetet kell kapnia.

Azure CLI

A rendszer egy Azure-webalkalmazást használ magánvégpont-erőforrásként. Az az network private-link-resource list használatával határozza meg ésMemberName.GroupId A paraméterhez --type szükség van a Private Link erőforrás névterére. A példában használt webalkalmazás esetében a névtér a következő Microsoft.Web/sites: . A Private Link-erőforrás névterének meghatározásához tekintse meg az Azure-szolgáltatások DNS-zónakonfigurációját.

az network private-link-resource list \
    --resource-group MyResourceGroup \
    --name myWebApp1979 \
    --type Microsoft.Web/sites

Az alábbi példához hasonló kimenetet kell kapnia.

Egyéni tulajdonságok

A hálózati adapter átnevezése és a statikus IP-címek hozzárendelése olyan egyéni tulajdonságok, amelyeket a létrehozás során beállíthat egy privát végponton.

Hálózati adapter átnevezése

A privát végpont létrehozásakor alapértelmezés szerint a privát végponthoz társított hálózati adapter véletlenszerű nevet kap a hálózati adapternek. A hálózati adaptert el kell nevezni a privát végpont létrehozásakor. A meglévő privát végpont hálózati adapterének átnevezése nem támogatott.

A hálózati adapter átnevezéséhez használja az alábbi parancsokat, amikor privát végpontot hoz létre.

PowerShell

Ha át szeretné nevezni a hálózati adaptert a privát végpont létrehozásakor, használja a paramétert -CustomNetworkInterfaceName . Az alábbi példa egy Azure PowerShell-paranccsal hoz létre egy privát végpontot egy Azure-webalkalmazásban. További információ: New-AzPrivateEndpoint.

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe

Azure CLI

Ha át szeretné nevezni a hálózati adaptert a privát végpont létrehozásakor, használja a paramétert --nic-name . Az alábbi példa egy Azure PowerShell-paranccsal hoz létre egy privát végpontot egy Azure-webalkalmazásban. További információ: az network private-endpoint create.

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --group-id sites \
    --nic-name myPrivateEndpointNIC \
    --vnet-name myVNet

Statikus IP-cím

Alapértelmezés szerint egy privát végpont létrehozásakor a rendszer automatikusan hozzárendeli a végpont IP-címét. Az IP-cím a privát végponthoz konfigurált virtuális hálózat IP-tartományából van hozzárendelve. A magánvégpont statikus IP-címének megadása esetén olyan helyzet léphet fel, amely miatt szükség van a statikus IP-címre. A statikus IP-címet a privát végpont létrehozásakor kell hozzárendelni. Egy meglévő privát végpont statikus IP-címének konfigurálása jelenleg nem támogatott.

A statikus IP-címek privát végpontok létrehozásakor történő konfigurálására vonatkozó eljárásokért lásd : Privát végpont létrehozása az Azure PowerShell használatával és privát végpont létrehozása az Azure CLI használatával.

Privátvégpont-kapcsolatok

A Private Link egy jóváhagyási modellen működik, ahol a Private Link felhasználója kapcsolatot kérhet a szolgáltatóval a szolgáltatás használatához.

A szolgáltató ezután eldöntheti, hogy engedélyezi-e a fogyasztónak a csatlakozást. A Private Link lehetővé teszi a szolgáltatók számára a privát végpont kapcsolatának kezelését az erőforrásaikon.

A Private Link-felhasználók két kapcsolat-jóváhagyási módszer közül választhatnak:

• Automatikus: Ha a szolgáltatásfelhasználó azure-beli szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel rendelkezik a szolgáltatói erőforráson, a fogyasztó kiválaszthatja az automatikus jóváhagyási módszert. Amikor a kérés eléri a szolgáltatói erőforrást, nincs szükség műveletre a szolgáltatótól, és a kapcsolat automatikusan jóvá lesz hagyva.

• Manuális: Ha a szolgáltatásfelhasználó nem rendelkezik RBAC-engedélyekkel a szolgáltatói erőforráson, a fogyasztó kiválaszthatja a manuális jóváhagyási módszert. A kapcsolatkérés függőben lévőként jelenik meg a szolgáltatás erőforrásaiban. A szolgáltatónak manuálisan kell jóváhagynia a kérést a kapcsolatok létrehozása előtt.

  Manuális esetekben a szolgáltatásfelhasználó megadhat egy üzenetet is a kéréssel, amely további kontextust biztosít a szolgáltatónak. A szolgáltató a következő lehetőségek közül választhat az összes privát végpontkapcsolat esetében: Jóváhagyás, Elutasítás és Eltávolítás.

Fontos

Ha külön előfizetésben vagy bérlőben lévő privát végponttal szeretne kapcsolatokat jóváhagyni, győződjön meg arról, hogy a szolgáltatói előfizetés vagy bérlő regisztrált Microsoft.Network. A fogyasztói előfizetésnek vagy bérlőnek regisztrálnia kell a célerőforrás erőforrás-szolgáltatóját is.

Az alábbi táblázat a magánvégpontok különböző szolgáltatói műveleteit és az ebből eredő kapcsolati állapotokat mutatja be. A szolgáltató később fogyasztói beavatkozás nélkül módosíthatja a kapcsolat állapotát. A művelet frissíti a végpont állapotát a fogyasztói oldalon.

Szolgáltatói művelet	Szolgáltatásfelhasználó privát végpontjának állapota	Leírás
Egyik sem	Függőben	Csatlakozás létrehozása manuálisan történik, és a Private Link-erőforrás tulajdonosa jóváhagyásra vár.
Jóváhagyás	Engedélyezve	Csatlakozás a rendszer automatikusan vagy manuálisan jóváhagyja, és készen áll a használatra.
Elutasítás	Elutasítva	A Private Link erőforrás tulajdonosa elutasítja a kapcsolatot.
Eltávolítás	Leválasztva	A Private Link erőforrás tulajdonosa eltávolítja a kapcsolatot, ami miatt a privát végpont megszakad, és törölni kell a törléshez.

Privát végpontkapcsolatok kezelése az Azure PaaS-erőforrásokon

Az alábbi lépésekkel privát végpontkapcsolatot kezelhet az Azure Portalon.

1. Jelentkezzen be az Azure Portalra.

2. A portál tetején található keresőmezőbe írja be a Private Link kifejezést. A keresési eredmények között válassza a Privát hivatkozás lehetőséget.

3. A Private Link Centerben válassza a Privát végpontok vagy a Privát kapcsolat szolgáltatások lehetőséget.

4. Az egyes végpontok esetében megtekintheti a hozzá társított privát végpontkapcsolatok számát. Igény szerint szűrheti az erőforrásokat.

5. Válassza ki a privát végpontot. A felsorolt kapcsolatok alatt válassza ki a kezelni kívánt kapcsolatot.

6. A kapcsolat állapotát a felső beállítások közül választva módosíthatja.

Privát végpontkapcsolatok kezelése ügyfél- vagy partner tulajdonában lévő Private Link-szolgáltatáson

Az alábbi PowerShell- és Azure CLI-parancsokkal kezelheti a privát végpontkapcsolatokat a Microsoft partnerszolgáltatásai vagy az ügyfél tulajdonában lévő szolgáltatások esetében.

PowerShell

A privát végpontkapcsolatok kezeléséhez használja az alábbi PowerShell-parancsokat.

Privát kapcsolat kapcsolatállapotainak lekérése

A Get-AzPrivateEndpoint Csatlakozás ion használatával lekérheti a privát végpontkapcsolatokat és azok állapotát.

$get = @{
    Name = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get

Privát végpontkapcsolat jóváhagyása

A Approve-AzPrivateEndpoint Csatlakozás ion használatával jóváhagyhat egy privát végpontkapcsolatot.

$approve = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve

Privát végpontkapcsolat megtagadása

A Deny-AzPrivateEndpoint Csatlakozás ion használatával elutasíthat egy privát végpontkapcsolatot.

$deny = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection  @deny

Privát végpontkapcsolat eltávolítása

A Remove-AzPrivateEndpoint Csatlakozás ion használatával távolítsa el a privát végpontkapcsolatot.

$remove = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove

Azure CLI

A privát végpontkapcsolatok kezeléséhez használja az alábbi Azure CLI-parancsokat.

Privát kapcsolat kapcsolatállapotainak lekérése

Használja az az network private-endpoint-connection show-t a privát végpontkapcsolatok és állapotuk lekéréséhez.

  az network private-endpoint-connection show \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Privát végpontkapcsolat jóváhagyása

Az az network private-endpoint-connection approve használatával jóváhagyhat egy privát végpontkapcsolatot.

  az network private-endpoint-connection approve \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

Privát végpontkapcsolat megtagadása

Az az network private-endpoint-connection reject (Az network private-endpoint-connection reject) használatával elutasíthat egy privát végpontkapcsolatot.

  az network private-endpoint-connection reject \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

Privát végpontkapcsolat eltávolítása

Privát végpontkapcsolat eltávolításához használja az az network private-endpoint-connection delete parancsot.

  az network private-endpoint-connection delete \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Feljegyzés

A korábban elutasított Csatlakozás nem lehet jóváhagyni. El kell távolítania a kapcsolatot, és létre kell hoznia egy újat.

Következő lépések

• Tudnivalók a privát végpontokról