Avvio rapido: Creare un endpoint privato con Azure PowerShell

Introduzione al collegamento privato di Azure, che consente di connettersi in modo sicuro ad Attestazione di Azure.

In questa guida di avvio rapido si creerà un endpoint privato per Attestazione di Azure e si distribuirà una macchina virtuale per testare la connessione privata.

Nota

L'implementazione corrente include solo l'opzione di approvazione automatica. La sottoscrizione deve essere aggiunta a un elenco consentito per poter procedere con la creazione di endpoint privati. Contattare il team del servizio o inviare una richiesta di supporto tecnico di Azure nella pagina supporto tecnico di Azure prima di procedere con i passaggi seguenti.

Prerequisiti

• Vedere informazioni su collegamento privato di Azure
• Configurare Attestazione di Azure con Azure PowerShell

Creare un gruppo di risorse

Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.

Creare un gruppo di risorse con New-AzResourceGroup:

## Create to your Azure account subscription and create a resource group in a desired location. ##
Connect-AzAccount
Set-AzSubscription "mySubscription"
$rg = "CreateAttestationPrivateLinkTutorial-rg"
$loc= "eastus"
New-AzResourceGroup -Name $rg -Location $loc

Creare una rete virtuale e un host bastion

In questa sezione si creeranno una rete virtuale, una subnet e un host bastion.

L'host bastion verrà usato per connettersi in modo sicuro alla macchina virtuale per testare l'endpoint privato.

Creare una rete virtuale e un host bastion con:

• New-AzVirtualNetwork
• New-AzPublicIpAddress
• New-AzBastion

## Create backend subnet config. ##
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name myBackendSubnet -AddressPrefix 10.0.0.0/24

## Create Azure Bastion subnet. ##
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig -Name AzureBastionSubnet -AddressPrefix 10.0.1.0/24

## Create the virtual network. ##
$vnet = New-AzVirtualNetwork -Name "myAttestationTutorialVNet" -ResourceGroupName $rg -Location $loc -AddressPrefix "10.0.0.0/16" -Subnet $subnetConfig, $bastsubnetConfig

## Create public IP address for bastion host. ##
$publicip = New-AzPublicIpAddress -Name "myBastionIP" -ResourceGroupName $rg -Location $loc -Sku "Standard" -AllocationMethod "Static"

## Create bastion host ##
New-AzBastion -ResourceGroupName $rg -Name "myBastion" -PublicIpAddress $publicip -VirtualNetwork $vnet

La distribuzione dell'host Azure Bastion può richiedere qualche minuto.

Creare una macchina virtuale di test

In questa sezione si creerà una macchina virtuale che verrà usata per testare l'endpoint privato.

Creare la macchina virtuale con:

• Get-Credential
• New-AzNetworkInterface
• New-AzVM
• New-AzVMConfig
• Set-AzVMOperatingSystem
• Set-AzVMSourceImage
• Add-AzVMNetworkInterface

## Set credentials for server admin and password. ##
$cred = Get-Credential

## Command to create network interface for VM ##
$nicVM = New-AzNetworkInterface -Name "myNicVM" -ResourceGroupName $rg -Location $loc -Subnet $vnet.Subnets[0] 

## Create a virtual machine configuration.##
$vmConfig = New-AzVMConfig -VMName "myVM" -VMSize "Standard_DS1_v2" | Set-AzVMOperatingSystem -Windows -ComputerName "myVM" -Credential $cred | Set-AzVMSourceImage -PublisherName "MicrosoftWindowsServer" -Offer "WindowsServer" -Skus "2019-Datacenter" -Version "latest" | Add-AzVMNetworkInterface -Id $nicVM.Id 

## Create the virtual machine ##
New-AzVM -ResourceGroupName $rg -Location $loc -VM $vmConfig

Creare un provider di attestazioni

## Create an attestation provider ##
$attestationProviderName = "myattestationprovider"
$attestationProvider = New-AzAttestation -Name $attestationProviderName -ResourceGroupName $rg -Location $loc
$attestationProviderId = $attestationProvider.Id

Accedere al provider di attestazioni dal computer locale

Immettere nslookup <provider-name>.attest.azure.net. Sostituire <il nome> del provider con il nome dell'istanza del provider di attestazione creata nei passaggi precedenti.

## Access the attestation provider from local machine ##
nslookup myattestationprovider.eus.attest.azure.net

<# You'll receive a message similar to what is displayed below:

Server:  cdns01.comcast.net
Address:  2001:558:feed::1

Non-authoritative answer:
Name:    eus.service.attest.azure.net
Address:  20.62.219.160
Aliases:  myattestationprovider.eus.attest.azure.net
	attesteusatm.trafficmanager.net

#>

Creare un endpoint privato

In questa sezione si creerà l'endpoint privato e la connessione usando:

• New-AzPrivateLinkServiceConnection
• New-AzPrivateEndpoint

## Create private endpoint connection. ##
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnection" -PrivateLinkServiceId $attestationProviderId -GroupID "Standard"

## Disable private endpoint network policy ##
$vnet.Subnets[0].PrivateEndpointNetworkPolicies = "Disabled" 
$vnet | Set-AzVirtualNetwork

## Create private endpoint
New-AzPrivateEndpoint  -ResourceGroupName $rg -Name "myPrivateEndpoint" -Location $loc -Subnet $vnet.Subnets[0] -PrivateLinkServiceConnection $privateEndpointConnection

Configurare la zona DNS privato

In questa sezione si creerà e si configurerà la zona DNS privata usando:

• New-AzPrivateDnsZone
• New-AzPrivateDnsVirtualNetworkLink
• New-AzPrivateDnsZoneConfig
• New-AzPrivateDnsZoneGroup

## Create private dns zone. ##
$zone = New-AzPrivateDnsZone -ResourceGroupName $rg -Name "privatelink.attest.azure.net"

## Create dns network link. ##
$link = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rg -ZoneName "privatelink.attest.azure.net" -Name "myLink" -VirtualNetworkId $vnet.Id

## Create DNS configuration ##
$config = New-AzPrivateDnsZoneConfig -Name "privatelink.attest.azure.net" -PrivateDnsZoneId $zone.ResourceId

## Create DNS zone group. ##
New-AzPrivateDnsZoneGroup -ResourceGroupName $rg -PrivateEndpointName "myPrivateEndpoint" -Name "myZoneGroup" -PrivateDnsZoneConfig $config

Testare la connettività con l'endpoint privato

In questa sezione si userà la macchina virtuale creata nel passaggio precedente per connettersi al server SQL tramite l'endpoint privato.

1. Accedere al portale di Azure.

2. Selezionare Gruppi di risorse nel riquadro di spostamento sinistro.

3. Selezionare CreateAttestationPrivateLinkTutorial-rg.

4. Selezionare myVM.

5. Nella pagina di panoramica di myVM selezionare Connetti e quindi Bastion.

6. Selezionare il pulsante blu Usa Bastion.

7. Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.

8. Aprire Windows PowerShell nel server dopo la connessione.

9. Immettere nslookup <provider-name>.attest.azure.net. Sostituire <il nome> del provider con il nome dell'istanza del provider di attestazione creata nei passaggi precedenti:

   ## Access the attestation provider from local machine ##
   nslookup myattestationprovider.eus.attest.azure.net
   
   <# You'll receive a message similar to what is displayed below:
   
   Server:  cdns01.comcast.net
   Address:  2001:558:feed::1
       cdns01.comcast.net can't find myattestationprovider.eus.attest.azure.net: Non-existent domain
   
   #>
   
   ## Access the attestation provider from the VM created in the same virtual network as the private endpoint.   ##
   nslookup myattestationprovider.eus.attest.azure.net
   
   <# You'll receive a message similar to what is displayed below:
   
   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    myattestationprovider.eastus.test.attest.azure.net
   
   #>