Condividi tramite

Usare il collegamento privato (anteprima)

Questo articolo descrive come usare il collegamento privato per limitare l'accesso alla gestione delle risorse nelle sottoscrizioni. I collegamenti privati consentono di accedere ai servizi di Azure tramite un endpoint privato nella rete virtuale. Ciò impedisce l'esposizione del servizio alla rete Internet pubblica.

Questo articolo descrive il processo di configurazione del collegamento privato usando il portale di Azure.

Importante

È possibile abilitare questa funzionalità sui livelli, a un costo aggiuntivo.

Annotazioni

La possibilità di usare collegamenti privati con Hub di notifica di Azure è attualmente in anteprima. Se si è interessati all'uso di questa funzionalità, contattare il Customer Success Manager di Microsoft o creare un ticket di supporto di Azure.

Creare un endpoint privato insieme a un nuovo hub di notifica nel portale

La procedura seguente crea un endpoint privato insieme a un nuovo hub di notifica usando il portale di Azure:

  1. Creare un nuovo hub di notifica e selezionare la scheda Rete .

  2. Seleziona Accesso privato, quindi seleziona Crea.

    Screenshot della pagina di creazione dell'hub di notifica sul portale che mostra l'opzione di collegamento privato.

  3. Immettere la sottoscrizione, il gruppo di risorse, la posizione e un nome per il nuovo endpoint privato. Scegliere una rete virtuale e una subnet. In Integrazione con zona DNS privato selezionare e digitare privatelink.notificationhub.windows.net nella casella Zona DNS privata .

    Screenshot della pagina di creazione dell'endpoint privato dell'hub di notifica.

  4. Selezionare OK per visualizzare la conferma della creazione dello spazio dei nomi e dell'hub con un endpoint privato.

  5. Selezionare Crea per creare l'hub di notifica con una connessione endpoint privata.

    Screenshot della pagina di conferma dell'endpoint privato dell'hub di notifica.

Creare un endpoint privato per un hub di notifica esistente nel portale

  1. Nel portale, sul lato sinistro nella sezione Sicurezza + rete , selezionare Hub di notifica, quindi selezionare Rete.

  2. Selezionare la scheda Accesso privato.

    Screenshot della scheda di accesso privato.

  3. Immettere la sottoscrizione, il gruppo di risorse, la posizione e un nome per il nuovo endpoint privato. Scegliere una rete virtuale e una subnet. Fare clic su Crea.

    Screenshot delle proprietà di creazione del collegamento privato.

Creare un endpoint privato utilizzando l'interfaccia della riga di comando

  1. Accedere all'interfaccia della riga di comando di Azure e impostare una sottoscrizione:

    az login
az account set --subscription <azure_subscription_id>

  2. Creare un nuovo gruppo di risorse:

    az group create -n <resource_group_name> -l <azure_region>

  3. Registrare Microsoft.NotificationHubs come provider:

    az provider register -n Microsoft.NotificationHubs

  4. Creare un nuovo spazio dei nomi e un nuovo hub di Hub di notifica:

    az notification-hub namespace create 
     --name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>
     --sku "Standard"

 az notification-hub create 
     --name <notification_hub_name>
     --namespace-name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>

  5. Creare una rete virtuale con una subnet:

    az network vnet create
     --resource-group <resource_group_name>
     --name <vNet name>
     --location <azure_region>

az network vnet subnet create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --name <subnet_name>
     --address-prefixes <address_prefix>

  6. Disabilitare i criteri di rete virtuale:

    az network vnet subnet update
     --name <subnet_name>
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --disable-private-endpoint-network-policies true

  7. Aggiungere zone DNS private e collegarle a una rete virtuale:

    az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.servicebus.windows.net

az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.notificationhub.windows.net

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.servicebus.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.notificationhub.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

  8. Creare un endpoint privato (approvato automaticamente):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>  
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace 
     --connection-name <private_link_connection_name>
     --location <azure-region>

  9. Creare un endpoint privato (con approvazione manuale della richiesta):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vnet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace
     --connection-name <private_link_connection_name>
     --location <azure-region>
     --manual-request

  10. Mostra lo stato della connessione:

    az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>

Gestire gli endpoint privati usando il portale

Quando si crea un endpoint privato, la connessione deve essere approvata. Se la risorsa per la quale si sta creando un endpoint privato si trova nella directory, è possibile approvare la richiesta di connessione, a condizione che si disponga di autorizzazioni sufficienti. Se ci si sta connettendo a una risorsa di Azure in un'altra directory, è necessario attendere che il proprietario della risorsa approvi la richiesta di connessione.

Sono disponibili quattro stati di provisioning:

Azione del servizio Stato dell'endpoint privato del consumer del servizio Descrizione
Nessuno In sospeso La connessione viene creata manualmente ed è in attesa di approvazione da parte del proprietario della risorsa del collegamento privato.
Approvare Approvato La connessione è stata approvata automaticamente o manualmente ed è pronta per essere usata.
Rifiutare Rifiutato La connessione è stata rifiutata dal proprietario della risorsa di collegamento privato.
Rimuovi Disconnesso La connessione è stata rimossa dal proprietario della risorsa di collegamento privato. L'endpoint privato diventa informativo e deve essere eliminato a scopo di pulizia.

Approvare, rifiutare o rimuovere una connessione endpoint privato

  1. Accedere al portale di Azure.
  2. Nella barra di ricerca digitare Hub di notifica.
  3. Selezionare lo spazio dei nomi che si desidera gestire.
  4. Selezionare la scheda Rete.
  5. Passare alla sezione appropriata in base all'operazione che si desidera approvare, rifiutare o rimuovere.

Approvare una connessione endpoint privato

  1. Se sono presenti connessioni in sospeso, viene visualizzata una connessione con In sospeso nello stato di provisioning.

  2. Selezionare l'endpoint privato che si vuole approvare.

  3. Selezionare Approva.

    Screenshot che mostra la scheda Rete pronta per l'approvazione.

  4. Nella pagina Approva connessione immettere un commento facoltativo, quindi selezionare . Se si seleziona No, non accade nulla.

    Screenshot che mostra la pagina di approvazione della connessione.

  5. Lo stato della connessione nell'elenco dovrebbe essere modificato in Approvato.

Rifiutare una connessione endpoint privato

  1. Se sono presenti connessioni endpoint private che si desidera rifiutare, indipendentemente dal fatto che si tratti di una richiesta in sospeso o di una connessione esistente approvata in precedenza, selezionare l'icona di connessione dell'endpoint e selezionare Rifiuta.

    Screenshot che mostra l'opzione di rifiuto della connessione.

  2. Nella pagina Rifiuta connessione immettere un commento facoltativo, quindi selezionare . Se si seleziona No, non accade nulla.

  3. Lo stato della connessione nell'elenco dovrebbe essere modificato in Rifiutato.

Rimuovere una connessione endpoint privato

  1. Per rimuovere una connessione all'endpoint privato, selezionarla nell'elenco e selezionare Rimuovi sulla barra degli strumenti:

    Screenshot che mostra la pagina di rimozione della connessione.

  2. Nella pagina Elimina connessione selezionare per confermare l'eliminazione dell'endpoint privato. Se si seleziona No, non accade nulla.

  3. Dovresti vedere lo stato della connessione nell'elenco cambiare in Disconnesso. Il punto finale scompare quindi dall'elenco.

È necessario verificare che le risorse all'interno della rete virtuale dell'endpoint privato si connettano allo spazio dei nomi di Hub di notifica tramite un indirizzo IP privato e che dispongano dell'integrazione corretta della zona DNS privata.

Creare prima di tutto una macchina virtuale seguendo la procedura descritta in Creare una macchina virtuale Windows nel portale di Azure.

Nella scheda Rete:

  1. Specificare la rete virtuale e la subnet. È necessario selezionare la rete virtuale in cui è stato distribuito l'endpoint privato.
  2. Specificare una risorsa IP pubblico.
  3. Per Gruppo di sicurezza di rete della scheda di interfaccia di rete selezionare Nessuno.
  4. Per Bilanciamento del carico selezionare No.

Connettersi alla macchina virtuale, aprire una riga di comando ed eseguire il comando seguente:

Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net

Quando il comando viene eseguito dalla macchina virtuale, restituisce l'indirizzo IP della connessione all'endpoint privato. Quando viene eseguito da una rete esterna, restituisce l'indirizzo IP pubblico di uno dei cluster di Hub di notifica.

Limitazioni e considerazioni di progettazione

Limitazioni: questa funzionalità è disponibile in tutte le aree pubbliche di Azure. Numero massimo di endpoint privati per spazio dei nomi di Hub di notifica: 200

Per altre informazioni, vedere Servizio collegamento privato di Azure: Limitazioni.

Passaggi successivi