Privé-eindpunten van Azure beheren
Privé-eindpunten van Azure hebben verschillende opties voor het beheren van hun configuratie en implementatie.
U kunt bepalen en MemberName
waarden door GroupId
een query uit te voeren op de Azure Private Link-resource. U hebt de GroupId
en MemberName
waarden nodig om een statisch IP-adres voor een privé-eindpunt te configureren tijdens het maken.
Een privé-eindpunt heeft twee aangepaste eigenschappen: statisch IP-adres en netwerkinterfacenaam. Deze eigenschappen moeten worden ingesteld wanneer het privé-eindpunt wordt gemaakt.
Met een serviceprovider en consumentenimplementatie van Private Link is er een goedkeuringsproces om de verbinding te maken.
GroupID en MemberName bepalen
Tijdens het maken van een privé-eindpunt met Azure PowerShell en de Azure CLI zijn de GroupId
en MemberName
waarden van de privé-eindpuntresource mogelijk nodig.
GroupId
is de subresource van het privé-eindpunt.MemberName
is de unieke stempel voor het privé-IP-adres van het eindpunt.
Zie de Private Link-resource voor meer informatie over subresources voor privé-eindpunten en de bijbehorende waarden.
Gebruik de volgende opdrachten om de waarden van GroupId
en MemberName
voor uw privé-eindpuntresource te bepalen. MemberName
is opgenomen in de RequiredMembers
eigenschap.
Een Azure-web-app wordt gebruikt als de voorbeeldresource voor privé-eindpunten. Gebruik Get-AzPrivateLinkResource om de waarden voor GroupId
en MemberName
.
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
U zou een uitvoer moeten ontvangen die vergelijkbaar is met het volgende voorbeeld.
Aangepaste eigenschappen
Naam van netwerkinterface en toewijzing van statische IP-adressen zijn aangepaste eigenschappen die u tijdens het maken op een privé-eindpunt kunt instellen.
Naam van netwerkinterface wijzigen
Wanneer een privé-eindpunt wordt gemaakt, krijgt de netwerkinterface die is gekoppeld aan het privé-eindpunt standaard een willekeurige naam voor de netwerkinterface. De netwerkinterface moet een naam krijgen wanneer het privé-eindpunt wordt gemaakt. De naam van de netwerkinterface van een bestaand privé-eindpunt wordt niet ondersteund.
Gebruik de volgende opdrachten wanneer u een privé-eindpunt maakt om de naam van de netwerkinterface te wijzigen.
Als u de naam van de netwerkinterface wilt wijzigen wanneer het privé-eindpunt wordt gemaakt, gebruikt u de -CustomNetworkInterfaceName
parameter. In het volgende voorbeeld wordt een Azure PowerShell-opdracht gebruikt om een privé-eindpunt te maken voor een Azure-web-app. Zie New-AzPrivateEndpoint voor meer informatie.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
Statisch IP-adres
Wanneer een privé-eindpunt wordt gemaakt, wordt standaard automatisch het IP-adres voor het eindpunt toegewezen. Het IP-adres wordt toegewezen vanuit het IP-bereik van het virtuele netwerk dat is geconfigureerd voor het privé-eindpunt. Er kan zich een situatie voordoen wanneer een statisch IP-adres voor het privé-eindpunt vereist is. Het statische IP-adres moet worden toegewezen wanneer het privé-eindpunt wordt gemaakt. De configuratie van een statisch IP-adres voor een bestaand privé-eindpunt wordt momenteel niet ondersteund.
Zie Een privé-eindpunt maken met behulp van Azure PowerShell en een privé-eindpunt maken met behulp van de Azure CLI voor procedures voor het configureren van een statisch IP-adres.
Privé-eindpuntverbindingen
Private Link werkt op een goedkeuringsmodel waarbij de Private Link-consument een verbinding kan aanvragen met de serviceprovider voor het gebruik van de service.
De serviceprovider kan vervolgens beslissen of de consument verbinding mag maken of niet. Met Private Link kunnen serviceproviders de privé-eindpuntverbinding op hun resources beheren.
Er zijn twee methoden voor goedkeuring van verbindingen waaruit een Private Link-consument kan kiezen:
Automatisch: als de servicegebruiker machtigingen voor op rollen gebaseerd toegangsbeheer (RBAC) van Azure heeft voor de serviceproviderresource, kan de consument de automatische goedkeuringsmethode kiezen. Wanneer de aanvraag de resource van de serviceprovider bereikt, is er geen actie vereist van de serviceprovider en wordt de verbinding automatisch goedgekeurd.
Handmatig: als de servicegebruiker geen RBAC-machtigingen heeft voor de resource van de serviceprovider, kan de consument de handmatige goedkeuringsmethode kiezen. De verbindingsaanvraag wordt weergegeven op de serviceresources als In behandeling. De serviceprovider moet de aanvraag handmatig goedkeuren voordat verbindingen tot stand kunnen worden gebracht.
In handmatige gevallen kan de servicegebruiker ook een bericht opgeven met de aanvraag om de serviceprovider meer context te bieden. De serviceprovider heeft de volgende opties waaruit u kunt kiezen voor alle privé-eindpuntverbindingen: Goedkeuren, Weigeren en Verwijderen.
Belangrijk
Als u verbindingen wilt goedkeuren met een privé-eindpunt dat zich in een afzonderlijk abonnement of een afzonderlijke tenant bevindt, moet u ervoor zorgen dat het providerabonnement of de tenant is geregistreerd Microsoft.Network
. Het consumentenabonnement of de tenant moet ook de resourceprovider van de doelresource hebben geregistreerd.
In de volgende tabel ziet u de verschillende acties van serviceproviders en de resulterende verbindingsstatussen voor privé-eindpunten. De serviceprovider kan de verbindingsstatus op een later tijdstip wijzigen zonder tussenkomst van de consument. De actie werkt de status van het eindpunt aan de kant van de consument bij.
Actie van serviceprovider | Status privé-eindpunt serviceconsument | Beschrijving |
---|---|---|
Geen | In behandeling | Verbinding maken wordt handmatig gemaakt en wacht op goedkeuring door de eigenaar van de Private Link-resource. |
Goedkeuren | Goedgekeurd | Verbinding maken ion wordt automatisch of handmatig goedgekeurd en kan worden gebruikt. |
Verwerpen | Afgewezen | De eigenaar van de Private Link-resource weigert de verbinding. |
Verwijderen | Ontkoppeld | De eigenaar van de Private Link-resource verwijdert de verbinding, waardoor het privé-eindpunt wordt verbroken en moet worden verwijderd voor opschoning. |
Privé-eindpuntverbindingen beheren in Azure PaaS-resources
Gebruik de volgende stappen om een privé-eindpuntverbinding te beheren in Azure Portal.
Meld u aan bij de Azure-portal.
Voer Private Link in het zoekvak boven aan de portal in. Selecteer Privékoppeling in de zoekresultaten.
Selecteer privé-eindpunten of Private Link-services in het Private Link-centrum.
Voor elk van uw eindpunten kunt u het aantal privé-eindpuntverbindingen weergeven dat eraan is gekoppeld. U kunt de resources zo nodig filteren.
Selecteer het privé-eindpunt. Selecteer onder de vermelde verbindingen de verbinding die u wilt beheren.
U kunt de status van de verbinding wijzigen door bovenaan de opties te selecteren.
Privé-eindpuntverbindingen beheren op een Private Link-service die eigendom is van een klant of partner
Gebruik de volgende PowerShell- en Azure CLI-opdrachten voor het beheren van privé-eindpuntverbindingen in Microsoft-partnerservices of services die eigendom zijn van de klant.
Gebruik de volgende PowerShell-opdrachten om privé-eindpuntverbindingen te beheren.
Verbindingsstatussen van Private Link ophalen
Gebruik Get-AzPrivateEndpoint Verbinding maken ion om de privé-eindpuntverbindingen en hun statussen op te halen.
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
Een privé-eindpuntverbinding goedkeuren
Gebruik Approve-AzPrivateEndpoint Verbinding maken ion om een privé-eindpuntverbinding goed te keuren.
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
Een privé-eindpuntverbinding weigeren
Gebruik Deny-AzPrivateEndpoint Verbinding maken ion om een privé-eindpuntverbinding te weigeren.
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
Een privé-eindpuntverbinding verwijderen
Gebruik Remove-AzPrivateEndpoint Verbinding maken ion om een privé-eindpuntverbinding te verwijderen.
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
Notitie
Verbinding maken ionen die eerder zijn geweigerd, kunnen niet worden goedgekeurd. U moet de verbinding verwijderen en een nieuwe maken.