Guida introduttiva: Creare un servizio collegamento privato con l'interfaccia della riga di comando di Azure

Introduzione alla creazione di un servizio Collegamento privato che fa riferimento al proprio servizio. Assegnare l'accesso con collegamento privato al servizio o alla risorsa distribuita dietro un'istanza di Azure Load Balancer Standard. Gli utenti del servizio hanno accesso privato dalla loro rete virtuale.

Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.

Prerequisiti

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

• Questa guida di avvio rapido richiede l'interfaccia della riga di comando di Azure versione 2.0.28 o successiva. Se si usa Azure Cloud Shell, la versione più recente è già installata.

Creare un gruppo di risorse

Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.

Come prima cosa creare con az group create un gruppo di risorse:

• Denominato test-rg.

• Nella località eastus2.

az group create \
    --name test-rg \
    --location eastus2

Creare un bilanciamento del carico interno

In questa sezione viene creata una rete virtuale e un'istanza interna di Azure Load Balancer.

Rete virtuale

In questa sezione si creano la rete virtuale e la subnet che ospiteranno l'istanza di Load Balancer usata per accedere al servizio Collegamento privato.

Con az network vnet create creare una rete virtuale:

• Denominato vnet-1.

• Prefisso indirizzo 10.0.0.0/16.

• Subnet denominata subnet-1.

• Prefisso subnet 10.0.0.0/24.

• Nel gruppo di risorse test-rg.

• Posizione di eastus2.

• Disabilitare i criteri di rete per il servizio di collegamento privato nella subnet.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Creare un servizio di bilanciamento del carico standard

Questa sezione descrive dettagliatamente come creare e configurare i componenti seguenti del servizio di bilanciamento del carico:

• Un pool IP front-end che riceve il traffico di rete in ingresso sul servizio di bilanciamento del carico.

• Un pool IP back-end a cui il pool front-end invia il traffico di rete con carico bilanciato.

• Un probe di integrità che determina l'integrità delle istanze delle macchine virtuali back-end.

• Una regola di bilanciamento del carico che definisce come verrà distribuito il traffico alle macchine virtuali.

Creare la risorsa di bilanciamento del carico

Con az network lb create creare un servizio di bilanciamento del carico pubblico:

• Servizio di bilanciamento del carico denominato.

• Pool front-end denominato front-end.

• Pool back-end denominato pool back-end.

• Associato alla rete virtuale vnet-1.

• Associato alla subnet back-end subnet-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Creare il probe di integrità

Un probe di integrità controlla tutte le istanze di macchina virtuale per verificare che possano inviare il traffico di rete.

Una macchina virtuale con un controllo probe non riuscito viene rimossa dal servizio di bilanciamento del carico. La macchina virtuale viene nuovamente aggiunta al servizio di bilanciamento del carico quando il problema viene risolto.

Con az network lb probe create creare un probe di integrità:

• Esegue il monitoraggio dello stato delle macchine virtuali.

• Denominato health-probe.

• Protocollo TCP.

• Porta 80 per il monitoraggio.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Creare la regola di bilanciamento del carico

Una regola di bilanciamento del carico definisce:

• La configurazione IP front-end per il traffico in ingresso.

• Il pool IP back-end in cui ricevere il traffico.

• La porta di origine e destinazione richiesta.

Con az network lb rule create creare una regola di bilanciamento del carico:

• Regola http denominata

• Ascolto sulla porta 80 nel front-end del pool front-end.

• Invio del traffico di rete con carico bilanciato al pool back-end del pool di indirizzi back-end tramite la porta 80.

• Uso del probe di integrità del probe di integrità.

• Protocollo TCP.

• Timeout di inattività di 15 minuti.

• Abilitare la reimpostazione TCP.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Disabilitare i criteri di rete

Prima di poter creare un servizio di collegamento privato nella rete virtuale, l'impostazione deve essere disabilitata privateLinkServiceNetworkPolicies .

• Disabilitare i criteri di rete con az network vnet subnet update.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

Creare un servizio Collegamento privato

In questa sezione creare un servizio di collegamento privato che usa Azure Load Balancer creato nel passaggio precedente.

Creare un servizio di collegamento privato usando una configurazione IP front-end del servizio di bilanciamento del carico standard con az network private-link-service create:

• Denominato private-link-service.

• Nella rete virtuale vnet-1.

• Associato al servizio di bilanciamento del carico standard e al front-end di configurazione front-end.

• Nella località eastus2.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Il servizio di collegamento privato viene creato e può ricevere traffico. Per visualizzare i flussi di traffico, configurare l'applicazione dietro il servizio di bilanciamento del carico standard.

Creare un endpoint privato

In questa sezione viene eseguito il mapping del servizio di collegamento privato a un endpoint privato. Una rete virtuale contiene l'endpoint privato per il servizio di collegamento privato. Questa rete virtuale contiene le risorse che accedono al servizio di collegamento privato.

Creare una rete virtuale dell'endpoint privato

Con az network vnet create creare una rete virtuale:

• Denominato vnet-pe.

• Prefisso indirizzo 10.1.0.0/16.

• Subnet denominata subnet-pe.

• Prefisso subnet 10.1.0.0/24.

• Nel gruppo di risorse test-rg.

• Posizione di eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Creare endpoint e connessione

• Usare az network private-link-service show per ottenere l'ID risorsa del servizio di collegamento privato. Il comando inserisce l'ID risorsa in una variabile per un uso successivo.

• Usare az network private-endpoint create per creare l'endpoint privato nella rete virtuale creata in precedenza.

• Endpoint privato denominato.

• Nel gruppo di risorse test-rg.

• Connessione nome connessione-1.

• Posizione di eastus2.

• Nella rete virtuale vnet-pe e subnet subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe 

Pulire le risorse

Quando non è più necessario, usare il comando az group delete per rimuovere il gruppo di risorse, il servizio di collegamento privato, il servizio di bilanciamento del carico e tutte le risorse correlate.

az group delete \
    --name test-rg 

Passaggi successivi

Questa guida introduttiva spiega come:

• Sono state create una rete virtuale e un'istanza interna di Azure Load Balancer.

• È stato creato un servizio Collegamento privato

Per altre informazioni sull'endpoint privato di Azure, passare a:

Guida introduttiva: Creare un endpoint privato con l'interfaccia della riga di comando di Azure