Szybki start: tworzenie prywatnego punktu końcowego przy użyciu Azure PowerShell
Rozpocznij pracę z Azure Private Link przy użyciu prywatnego punktu końcowego, aby bezpiecznie nawiązać połączenie z Azure Attestation.
W tym przewodniku Szybki start utworzysz prywatny punkt końcowy dla Azure Attestation i wdrożysz maszynę wirtualną w celu przetestowania połączenia prywatnego.
Uwaga
Bieżąca implementacja obejmuje tylko opcję automatycznego zatwierdzania. Subskrypcja musi zostać dodana do listy dozwolonych, aby móc kontynuować tworzenie prywatnego punktu końcowego. Skontaktuj się z zespołem usługi lub prześlij żądanie pomoc techniczna platformy Azure na stronie pomoc techniczna platformy Azure przed wykonaniem poniższych kroków.
Wymagania wstępne
- Dowiedz się więcej o Azure Private Link
- Konfigurowanie Azure Attestation przy użyciu Azure PowerShell
Tworzenie grupy zasobów
Grupa zasobów platformy Azure to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.
Utwórz grupę zasobów za pomocą polecenia New-AzResourceGroup:
## Create to your Azure account subscription and create a resource group in a desired location. ##
Connect-AzAccount
Set-AzSubscription "mySubscription"
$rg = "CreateAttestationPrivateLinkTutorial-rg"
$loc= "eastus"
New-AzResourceGroup -Name $rg -Location $loc
Tworzenie sieci wirtualnej i hosta bastionu
W tej sekcji utworzysz sieć wirtualną, podsieć i hosta bastionu.
Host bastionu będzie używany do bezpiecznego łączenia się z maszyną wirtualną na potrzeby testowania prywatnego punktu końcowego.
Utwórz sieć wirtualną i hosta bastionu przy użyciu:
## Create backend subnet config. ##
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name myBackendSubnet -AddressPrefix 10.0.0.0/24
## Create Azure Bastion subnet. ##
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig -Name AzureBastionSubnet -AddressPrefix 10.0.1.0/24
## Create the virtual network. ##
$vnet = New-AzVirtualNetwork -Name "myAttestationTutorialVNet" -ResourceGroupName $rg -Location $loc -AddressPrefix "10.0.0.0/16" -Subnet $subnetConfig, $bastsubnetConfig
## Create public IP address for bastion host. ##
$publicip = New-AzPublicIpAddress -Name "myBastionIP" -ResourceGroupName $rg -Location $loc -Sku "Standard" -AllocationMethod "Static"
## Create bastion host ##
New-AzBastion -ResourceGroupName $rg -Name "myBastion" -PublicIpAddress $publicip -VirtualNetwork $vnet
Wdrożenie hosta usługi Azure Bastion może potrwać kilka minut.
Tworzenie testowej maszyny wirtualnej
W tej sekcji utworzysz maszynę wirtualną, która będzie używana do testowania prywatnego punktu końcowego.
Utwórz maszynę wirtualną za pomocą następujących funkcji:
- Get-Credential
- New-AzNetworkInterface
- New-AzVM
- New-AzVMConfig
- Set-AzVMOperatingSystem
- Set-AzVMSourceImage
- Add-AzVMNetworkInterface
## Set credentials for server admin and password. ##
$cred = Get-Credential
## Command to create network interface for VM ##
$nicVM = New-AzNetworkInterface -Name "myNicVM" -ResourceGroupName $rg -Location $loc -Subnet $vnet.Subnets[0]
## Create a virtual machine configuration.##
$vmConfig = New-AzVMConfig -VMName "myVM" -VMSize "Standard_DS1_v2" | Set-AzVMOperatingSystem -Windows -ComputerName "myVM" -Credential $cred | Set-AzVMSourceImage -PublisherName "MicrosoftWindowsServer" -Offer "WindowsServer" -Skus "2019-Datacenter" -Version "latest" | Add-AzVMNetworkInterface -Id $nicVM.Id
## Create the virtual machine ##
New-AzVM -ResourceGroupName $rg -Location $loc -VM $vmConfig
Tworzenie dostawcy zaświadczania
## Create an attestation provider ##
$attestationProviderName = "myattestationprovider"
$attestationProvider = New-AzAttestation -Name $attestationProviderName -ResourceGroupName $rg -Location $loc
$attestationProviderId = $attestationProvider.Id
Uzyskiwanie dostępu do dostawcy zaświadczania z komputera lokalnego
Wprowadź nslookup <provider-name>.attest.azure.net
. Zastąp <ciąg provider-name> nazwą wystąpienia dostawcy zaświadczania utworzonego w poprzednich krokach.
## Access the attestation provider from local machine ##
nslookup myattestationprovider.eus.attest.azure.net
<# You'll receive a message similar to what is displayed below:
Server: cdns01.comcast.net
Address: 2001:558:feed::1
Non-authoritative answer:
Name: eus.service.attest.azure.net
Address: 20.62.219.160
Aliases: myattestationprovider.eus.attest.azure.net
attesteusatm.trafficmanager.net
#>
Tworzenie prywatnego punktu końcowego
W tej sekcji utworzysz prywatny punkt końcowy i połączenie przy użyciu:
## Create private endpoint connection. ##
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnection" -PrivateLinkServiceId $attestationProviderId -GroupID "Standard"
## Disable private endpoint network policy ##
$vnet.Subnets[0].PrivateEndpointNetworkPolicies = "Disabled"
$vnet | Set-AzVirtualNetwork
## Create private endpoint
New-AzPrivateEndpoint -ResourceGroupName $rg -Name "myPrivateEndpoint" -Location $loc -Subnet $vnet.Subnets[0] -PrivateLinkServiceConnection $privateEndpointConnection
Konfigurowanie prywatnej strefy DNS
W tej sekcji utworzysz i skonfigurujesz prywatną strefę DNS przy użyciu następujących elementów:
- New-AzPrivateDnsZone
- New-AzPrivateDnsVirtualNetworkLink
- New-AzPrivateDnsZoneConfig
- New-AzPrivateDnsZoneGroup
## Create private dns zone. ##
$zone = New-AzPrivateDnsZone -ResourceGroupName $rg -Name "privatelink.attest.azure.net"
## Create dns network link. ##
$link = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rg -ZoneName "privatelink.attest.azure.net" -Name "myLink" -VirtualNetworkId $vnet.Id
## Create DNS configuration ##
$config = New-AzPrivateDnsZoneConfig -Name "privatelink.attest.azure.net" -PrivateDnsZoneId $zone.ResourceId
## Create DNS zone group. ##
New-AzPrivateDnsZoneGroup -ResourceGroupName $rg -PrivateEndpointName "myPrivateEndpoint" -Name "myZoneGroup" -PrivateDnsZoneConfig $config
Testowanie łączności z prywatnym punktem końcowym
W tej sekcji użyjesz maszyny wirtualnej utworzonej w poprzednim kroku, aby nawiązać połączenie z serwerem SQL w prywatnym punkcie końcowym.
Zaloguj się w witrynie Azure Portal.
Wybierz pozycję Grupy zasobów w okienku nawigacji po lewej stronie.
Wybierz pozycję CreateAttestationPrivateLinkTutorial-rg.
Wybierz pozycję myVM.
Na stronie przeglądu maszyny wirtualnej myVM wybierz pozycję Połącz , a następnie pozycję Bastion.
Wybierz niebieski przycisk Użyj usługi Bastion .
Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.
Otwórz Windows PowerShell na serwerze po nawiązaniu połączenia.
Wprowadź
nslookup <provider-name>.attest.azure.net
. Zastąp <ciąg provider-name> nazwą wystąpienia dostawcy zaświadczania utworzonego w poprzednich krokach:## Access the attestation provider from local machine ## nslookup myattestationprovider.eus.attest.azure.net <# You'll receive a message similar to what is displayed below: Server: cdns01.comcast.net Address: 2001:558:feed::1 cdns01.comcast.net can't find myattestationprovider.eus.attest.azure.net: Non-existent domain #> ## Access the attestation provider from the VM created in the same virtual network as the private endpoint. ## nslookup myattestationprovider.eus.attest.azure.net <# You'll receive a message similar to what is displayed below: Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: myattestationprovider.eastus.test.attest.azure.net #>
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla