Delen via


Quickstart: Een privé-eindpunt maken met behulp van de Azure CLI

Ga aan de slag met Azure Private Link door een privé-eindpunt te maken en te gebruiken om veilig verbinding te maken met een Azure-web-app.

In deze quickstart maakt u een privé-eindpunt voor een Azure-app Services-web-app en maakt en implementeert u vervolgens een virtuele machine (VM) om de privéverbinding te testen.

U kunt privé-eindpunten maken voor verschillende Azure-services, zoals Azure SQL en Azure Storage.

Diagram van resources die zijn gemaakt in de quickstart voor privé-eindpunten.

Vereisten

  • Een Azure-account met een actief abonnement. Als u nog geen Azure-account hebt, maakt u gratis een account.

  • Een Azure-web-app met een PremiumV2-laag of hoger App Service-plan, geïmplementeerd in uw Azure-abonnement.

Een brongroep maken

Een Azure-resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd.

Maak eerst een resourcegroep met behulp van az group create:

az group create \
    --name test-rg \
    --location eastus2

Een virtueel netwerk en Bastion-host maken

Er is een virtueel netwerk en subnet vereist voor het hosten van het privé-IP-adres voor het privé-eindpunt. U maakt een bastionhost om veilig verbinding te maken met de virtuele machine om het privé-eindpunt te testen. U maakt de virtuele machine in een latere sectie.

Notitie

De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

Maak een virtueel netwerk met az network vnet create.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Maak een bastionsubnet met az network vnet subnet create.

az network vnet subnet create \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --vnet-name vnet-1 \
    --address-prefixes 10.0.1.0/26

Maak een openbaar IP-adres voor de bastionhost met az network public-ip create.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip \
    --sku Standard \
    --zone 1 2 3

Maak de bastionhost met az network bastion create.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --public-ip-address public-ip \
    --vnet-name vnet-1 \
    --location eastus2

De Azure Bastion kan een paar minuten nodig hebben om te implementeren.

Een privé-eindpunt maken

Een Azure-service die ondersteuning biedt voor privé-eindpunten is vereist voor het instellen van het privé-eindpunt en de verbinding met het virtuele netwerk. Gebruik de Azure-web-app uit de vereisten voor de voorbeelden in dit artikel. Zie de beschikbaarheid van Azure Private Link voor meer informatie over de Azure-services die ondersteuning bieden voor een privé-eindpunt.

Een privé-eindpunt kan een statisch of dynamisch toegewezen IP-adres hebben.

Belangrijk

U moet een eerder geïmplementeerde Azure-app Services-web-app hebben om door te gaan met de stappen in dit artikel. Zie Vereisten voor meer informatie.

Plaats de resource-id van de web-app die u eerder hebt gemaakt in een shell-variabele met az webapp list. Maak het privé-eindpunt met az network private-endpoint create.

id=$(az webapp list \
    --resource-group test-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $id \
    --resource-group test-rg \
    --subnet subnet-1 \
    --group-id sites \
    --vnet-name vnet-1    

Privé-DNS-zone configureren

Een privé-DNS-zone wordt gebruikt om de DNS-naam van het privé-eindpunt in het virtuele netwerk op te lossen. Voor dit voorbeeld gebruiken we de DNS-gegevens voor een Azure-web-app, voor meer informatie over de DNS-configuratie van privé-eindpunten, zie DE DNS-configuratie van azure-privé-eindpunten].

Maak een nieuwe privé-Azure DNS-zone met az network private-dns zone create.

az network private-dns zone create \
    --resource-group test-rg \
    --name "privatelink.azurewebsites.net"

Koppel de DNS-zone aan het virtuele netwerk dat u eerder hebt gemaakt met az network private-dns link vnet create.

az network private-dns link vnet create \
    --resource-group test-rg \
    --zone-name "privatelink.azurewebsites.net" \
    --name dns-link \
    --virtual-network vnet-1 \
    --registration-enabled false

Maak een DNS-zonegroep met az network private-endpoint dns-zone-group create.

az network private-endpoint dns-zone-group create \
    --resource-group test-rg \
    --endpoint-name private-endpoint \
    --name zone-group \
    --private-dns-zone "privatelink.azurewebsites.net" \
    --zone-name webapp

Een virtuele testmachine maken

Als u het statische IP-adres en de functionaliteit van het privé-eindpunt wilt controleren, is een test-VM vereist die is verbonden met uw virtuele netwerk.

Maak de virtuele machine met az vm create.

az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --image Win2022Datacenter \
    --public-ip-address "" \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --admin-username azureuser

Notitie

Virtuele machines in een virtueel netwerk met een bastionhost hebben geen openbare IP-adressen nodig. Bastion biedt het openbare IP-adres en de VM's gebruiken privé-IP's om binnen het netwerk te communiceren. U kunt de openbare IP-adressen verwijderen van virtuele machines in gehoste virtuele bastionnetwerken. Zie Een openbaar IP-adres loskoppelen van een Virtuele Azure-machine voor meer informatie.

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:

  • Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
  • De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
  • Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.

Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.

Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.

Connectiviteit met het privé-eindpunt testen

Gebruik de virtuele machine die u eerder hebt gemaakt om verbinding te maken met de web-app in het privé-eindpunt.

  1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines.

  2. Selecteer vm-1.

  3. Selecteer Verbinding maken op de overzichtspagina voor vm-1 en selecteer vervolgens het tabblad Bastion.

  4. Selecteer Azure Bastion gebruiken.

  5. Voer de gebruikersnaam en het wachtwoord in die u hebt gebruikt bij het maken van de virtuele machine.

  6. Selecteer Verbinding maken.

  7. Nadat u verbinding hebt gemaakt, opent u PowerShell op de server.

  8. Voer nslookup webapp-1.azurewebsites.net in. U ontvangt een bericht dat lijkt op het volgende voorbeeld:

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    webapp-1.privatelink.azurewebsites.net
    Address:  10.0.0.10
    Aliases:  webapp-1.azurewebsites.net
    

    Een privé-IP-adres van 10.0.0.10 wordt geretourneerd voor de naam van de web-app als u in de vorige stappen een statisch IP-adres hebt gekozen. Dit adres bevindt zich in het subnet van het virtuele netwerk dat u eerder hebt gemaakt.

  9. Open de webbrowser in de bastionverbinding met vm-1.

  10. Voer de URL van uw web-app in. https://webapp-1.azurewebsites.net

    Als uw web-app niet is geïmplementeerd, krijgt u de volgende standaardpagina voor web-apps:

    Schermopname van de standaardpagina van de web-app in een browser.

  11. Sluit de verbinding met vm-1.

Resources opschonen

Wanneer u deze niet meer nodig hebt, gebruikt u de opdracht az group delete om de resourcegroep, de Private Link-service, de load balancer en alle gerelateerde resources te verwijderen.

  az group delete \
    --name test-rg

Volgende stappen

Zie voor meer informatie over de services die ondersteuning bieden voor privé-eindpunten: