Delen via

Private Link gebruiken in Virtual WAN

  • Artikel

Azure Private Link is een technologie waarmee u Azure Platform-as-a-Service-aanbiedingen kunt verbinden met behulp van privé-IP-adresconnectiviteit door privé-eindpunten weer te geven. Met Azure Virtual WAN kunt u een privé-eindpunt implementeren in een van de virtuele netwerken die zijn verbonden met elke virtuele hub. Deze privékoppeling biedt connectiviteit met elk ander virtueel netwerk of een andere vertakking die is verbonden met hetzelfde Virtual WAN.

Voordat u begint

In de stappen in dit artikel wordt ervan uitgegaan dat u al een virtueel WAN hebt geïmplementeerd met een of meer hubs en ten minste twee virtuele netwerken die zijn verbonden met Virtual WAN.

Als u een nieuw virtueel WAN en een nieuwe hub wilt maken, gebruikt u de stappen in de volgende artikelen:

Een privékoppelingseindpunt maken

U kunt een privékoppelingseindpunt maken voor veel verschillende services. In dit voorbeeld gebruiken we Azure SQL Database. Meer informatie over het maken van een privé-eindpunt voor een Azure SQL Database vindt u in quickstart: Een privé-eindpunt maken met behulp van Azure Portal. In de volgende afbeelding ziet u de netwerkconfiguratie van de Azure SQL Database:

Privékoppeling maken

Nadat u de Azure SQL Database hebt gemaakt, kunt u het IP-adres van het privé-eindpunt controleren dat door uw privé-eindpunten bladert:

privé-eindpunten

Als u op het privé-eindpunt klikt dat we hebben gemaakt, ziet u het privé-IP-adres en de FQDN (Fully Qualified Domain Name). Het privé-eindpunt moet een IP-adres hebben in het bereik van het VNet waar het is geïmplementeerd (10.1.3.0/24):

SQL-eindpunt

Connectiviteit van hetzelfde VNet controleren

In dit voorbeeld controleren we de connectiviteit met de Azure SQL Database vanaf een virtuele Linux-machine waarop de MS SQL-hulpprogramma's zijn geïnstalleerd. De eerste stap is controleren of DNS-omzetting werkt en de Fully Qualified Domain Name van Azure SQL Database wordt omgezet in een privé-IP-adres, in hetzelfde VNet waar het privé-eindpunt is geïmplementeerd (10.1.3.0/24):

nslookup wantest.database.windows.net

Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Zoals u in de vorige uitvoer kunt zien, wordt de FQDN wantest.database.windows.net toegewezen aan wantest.privatelink.database.windows.net, dat de privé-DNS-zone die langs het privé-eindpunt is gemaakt, wordt omgezet in het privé-IP-adres 10.1.3.228. Als u naar de privé-DNS-zone kijkt, wordt bevestigd dat er een A-record is voor het privé-eindpunt dat is toegewezen aan het privé-IP-adres:

DNS-zone

Nadat de juiste DNS-omzetting is gecontroleerd, kunnen we proberen verbinding te maken met de database:

query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.3.75

Zoals u kunt zien, gebruiken we een speciale SQL-query die ons het bron-IP-adres geeft dat de SQL-server van de client ziet. In dit geval ziet de server de client met het privé-IP-adres (10.1.3.75), wat betekent dat het verkeer van het VNet rechtstreeks naar het privé-eindpunt gaat.

Stel de variabelen username in en password koppel de referenties die zijn gedefinieerd in de Azure SQL Database om de voorbeelden in deze handleiding te laten werken.

Verbinding maken vanuit een ander VNet

Nu één VNet in Azure Virtual WAN verbinding heeft met het privé-eindpunt, hebben alle andere VNets en vertakkingen die zijn verbonden met Virtual WAN ook toegang. U moet connectiviteit bieden via een van de modellen die worden ondersteund door Azure Virtual WAN, zoals het any-to-any-scenario of het VNet-scenario voor gedeelde services, om twee voorbeelden te noemen.

Zodra u verbinding hebt tussen het VNet of de vertakking naar het VNet waar het privé-eindpunt is geïmplementeerd, moet u DNS-omzetting configureren:

  • Als u verbinding maakt met het privé-eindpunt vanuit een VNet, kunt u dezelfde privézone gebruiken die is gemaakt met de Azure SQL Database.
  • Als u verbinding maakt met het privé-eindpunt vanuit een vertakking (site-naar-site-VPN, punt-naar-site-VPN of ExpressRoute), moet u on-premises DNS-omzetting gebruiken.

In dit voorbeeld maken we verbinding vanuit een ander VNet. Koppel eerst de privé-DNS-zone aan het nieuwe VNet, zodat de workloads de Fully Qualified Domain Name van Azure SQL Database kunnen omzetten in het privé-IP-adres. Dit wordt gedaan door de privé-DNS-zone te koppelen aan het nieuwe VNet:

DNS-koppeling

Nu moet elke virtuele machine in het gekoppelde VNet de FQDN van Azure SQL Database correct omzetten in het privé-IP-adres van de private link:

nslookup wantest.database.windows.net

Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Als u wilt controleren of dit VNet (10.1.1.0/24) verbinding heeft met het oorspronkelijke VNet waar het privé-eindpunt is geconfigureerd (10.1.3.0/24), kunt u de effectieve routetabel controleren op elke virtuele machine in het VNet:

effectieve routes

Zoals u ziet, is er een route die verwijst naar het VNet 10.1.3.0/24 dat is geïnjecteerd door de virtuele netwerkgateways in Azure Virtual WAN. Nu kunnen we de connectiviteit met de database testen:

query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.1.75

In dit voorbeeld hebben we gezien hoe het maken van een privé-eindpunt in een van de VNets die aan een Virtual WAN zijn gekoppeld, connectiviteit biedt met de rest van VNets en vertakkingen in virtual WAN.

Volgende stappen

Zie de veelgestelde vragen voor meer informatie over Virtual WAN.