Udostępnij za pośrednictwem


Korzystanie z usługi Private Link (wersja zapoznawcza)

W tym artykule opisano sposób używania usługi Private Link w celu ograniczenia dostępu do zarządzania zasobami w ramach subskrypcji. Linki prywatne umożliwiają dostęp do usług platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Zapobiega to narażeniu usługi na publiczny Internet.

W tym artykule opisano proces konfigurowania usługi Private Link przy użyciu witryny Azure Portal.

Ważne

Tę funkcję można włączyć w warstwach za dodatkową opłatę.

Uwaga

Możliwość korzystania z linków prywatnych w usłudze Azure Notification Hubs jest obecnie dostępna w wersji zapoznawczej. Jeśli interesuje Cię użycie tej funkcji, skontaktuj się z menedżerem sukcesu klienta w firmie Microsoft lub utwórz bilet pomoc techniczna platformy Azure.

Tworzenie prywatnego punktu końcowego wraz z nowym centrum powiadomień w portalu

Poniższa procedura tworzy prywatny punkt końcowy wraz z nowym centrum powiadomień przy użyciu witryny Azure Portal:

  1. Utwórz nowe centrum powiadomień i wybierz kartę Sieć .

  2. Wybierz pozycję Dostęp prywatny, a następnie wybierz pozycję Utwórz.

    Screenshot of notification hub creation page on portal showing private link option.

  3. Wypełnij subskrypcję, grupę zasobów, lokalizację i nazwę nowego prywatnego punktu końcowego. Wybierz sieć wirtualną i podsieć. W obszarze Integracja z strefą Prywatna strefa DNS wybierz pozycję Tak i wpisz privatelink.notificationhubs.windows.net w polu Strefa Prywatna strefa DNS.

    Screenshot of notification hub private endpoint creation page.

  4. Wybierz przycisk OK , aby wyświetlić potwierdzenie utworzenia przestrzeni nazw i centrum z prywatnym punktem końcowym.

  5. Wybierz pozycję Utwórz , aby utworzyć centrum powiadomień z prywatnym połączeniem punktu końcowego.

    Screenshot of notification hub private endpoint confirmation page.

Tworzenie prywatnego punktu końcowego dla istniejącego centrum powiadomień w portalu

  1. W portalu po lewej stronie w sekcji Zabezpieczenia i sieć wybierz pozycję Notification Hubs, a następnie wybierz pozycję Sieć.

  2. Wybierz kartę Dostęp prywatny.

    Screenshot of private access tab.

  3. Wypełnij subskrypcję, grupę zasobów, lokalizację i nazwę nowego prywatnego punktu końcowego. Wybierz sieć wirtualną i podsieć. Wybierz pozycję Utwórz.

    Screenshot of private link creation properties.

Tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia

  1. Zaloguj się do interfejsu wiersza polecenia platformy Azure i ustaw subskrypcję:

    az login
    az account set --subscription <azure_subscription_id>
    
  2. Utwórz nową grupę zasobów:

    az group create -n <resource_group_name> -l <azure_region>
    
  3. Zarejestruj microsoft.NotificationHubs jako dostawcę:

    az provider register -n Microsoft.NotificationHubs
    
  4. Utwórz nową przestrzeń nazw i centrum usługi Notification Hubs:

    az notification-hub namespace create 
         --name <namespace_name>
         --resource-group <resource_group_name>
         --location <azure_region>
         --sku "Standard"
    
     az notification-hub create 
         --name <notification_hub_name>
         --namespace-name <namespace_name>
         --resource-group <resource_group_name>
         --location <azure_region>
    
  5. Utwórz sieć wirtualną z podsiecią:

    az network vnet create
         --resource-group <resource_group_name>
         --name <vNet name>
         --location <azure_region>
    
    az network vnet subnet create
         --resource-group <resource_group_name>
         --vnet-name <vNet_name>
         --name <subnet_name>
         --address-prefixes <address_prefix>
    
  6. Wyłącz zasady sieci wirtualnej:

    az network vnet subnet update
         --name <subnet_name>
         --resource-group <resource_group_name>
         --vnet-name <vNet_name>
         --disable-private-endpoint-network-policies true
    
  7. Dodaj prywatne strefy DNS i połącz je z siecią wirtualną:

    az network private-dns zone create
         --resource-group <resource_group_name>
         --name privatelink.servicebus.windows.net
    
    az network private-dns zone create
         --resource-group <resource_group_name>
         --name privatelink.notoficationhub.windows.net
    
    az network private-dns link vnet create
         --resource-group <resource_group_name>
         --virtual-network <vNet_name>
         --zone-name privatelink.servicebus.windows.net 
         --name <dns_zone_link_name>
         --registration-enabled true
    
    az network private-dns link vnet create
         --resource-group <resource_group_name>
         --virtual-network <vNet_name>
         --zone-name privatelink.notificationhub.windows.net 
         --name <dns_zone_link_name>
         --registration-enabled true
    
  8. Utwórz prywatny punkt końcowy (automatycznie zatwierdzony):

    az network private-endpoint create
         --resource-group <resource_group_name>
         --vnet-name <vNet_name>
         --subnet <subnet_name>
         --name <private_endpoint_name>  
         --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
         --group-ids namespace 
         --connection-name <private_link_connection_name>
         --location <azure-region>
    
  9. Utwórz prywatny punkt końcowy (z ręcznym zatwierdzeniem żądania):

    az network private-endpoint create
         --resource-group <resource_group_name>
         --vnet-name <vnet_name>
         --subnet <subnet_name>
         --name <private_endpoint_name>
         --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
         --group-ids namespace
         --connection-name <private_link_connection_name>
         --location <azure-region>
         --manual-request
    
  10. Pokaż stan połączenia:

    az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>
    

Zarządzanie prywatnymi punktami końcowymi przy użyciu portalu

Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu, możesz zatwierdzić żądanie połączenia, pod warunkiem, że masz wystarczające uprawnienia. Jeśli łączysz się z zasobem platformy Azure w innym katalogu, musisz poczekać, aż właściciel tego zasobu zatwierdzi żądanie połączenia.

Istnieją cztery stany aprowizacji:

Akcja w usłudze Stan prywatnego punktu końcowego odbiorcy usługi Opis
None Oczekiwanie Połączenie ion jest tworzony ręcznie i oczekuje na zatwierdzenie od właściciela zasobu łącza prywatnego.
Zatwierdzanie Zatwierdzona Połączenie ion został automatycznie lub ręcznie zatwierdzony i jest gotowy do użycia.
Odrzuć Odrzucona Połączenie ion został odrzucony przez właściciela zasobu łącza prywatnego.
Usuń Odłączony Połączenie ion został usunięty przez właściciela zasobu łącza prywatnego. Prywatny punkt końcowy staje się informacyjny i powinien zostać usunięty w celu oczyszczenia.

Zatwierdzanie, odrzucanie lub usuwanie prywatnego połączenia punktu końcowego

  1. Zaloguj się w witrynie Azure Portal.
  2. Na pasku wyszukiwania wpisz Notification Hubs.
  3. Wybierz przestrzeń nazw, którą chcesz zarządzać.
  4. Wybierz kartę Sieć.
  5. Przejdź do odpowiedniej sekcji na podstawie operacji, którą chcesz zatwierdzić, odrzucić lub usunąć.

Zatwierdzanie połączenia prywatnego punktu końcowego

  1. Jeśli istnieją oczekujące połączenia, zostanie wyświetlone połączenie z oczekującym stanem aprowizacji.

  2. Wybierz prywatny punkt końcowy, który chcesz zatwierdzić.

  3. Wybierz Zatwierdź.

    Screenshot showing Networking tab ready for approval.

  4. Na stronie Zatwierdź połączenie wprowadź opcjonalny komentarz, a następnie wybierz pozycję Tak. Jeśli wybierzesz pozycję Nie, nic się nie stanie.

    Screenshot showing approve connection page.

  5. Stan połączenia powinien zostać wyświetlony na liście zmieniony na Zatwierdzone.

Odrzucanie połączenia prywatnego punktu końcowego

  1. Jeśli istnieją jakiekolwiek połączenia prywatnego punktu końcowego, które chcesz odrzucić, niezależnie od tego, czy jest to oczekujące żądanie, czy istniejące połączenie zatwierdzone wcześniej, wybierz ikonę połączenia punktu końcowego i wybierz pozycję Odrzuć.

    Screenshot showing reject connection option.

  2. Na stronie Odrzucanie połączenia wprowadź opcjonalny komentarz, a następnie wybierz pozycję Tak. Jeśli wybierzesz pozycję Nie, nic się nie stanie.

  3. Stan połączenia powinien zostać wyświetlony na liście zmieniony na Odrzucone.

Usuwanie połączenia prywatnego punktu końcowego

  1. Aby usunąć połączenie prywatnego punktu końcowego, wybierz je na liście, a następnie wybierz pozycję Usuń na pasku narzędzi:

    Screenshot showing remove connection page.

  2. Na stronie Usuwanie połączenia wybierz pozycję Tak, aby potwierdzić usunięcie prywatnego punktu końcowego. Jeśli wybierzesz pozycję Nie, nic się nie stanie.

  3. Stan połączenia powinien zostać wyświetlony na liście zmieniony na Rozłączone. Punkt końcowy zniknie z listy.

Należy sprawdzić, czy zasoby w sieci wirtualnej prywatnego punktu końcowego łączą się z przestrzenią nazw usługi Notification Hubs za pośrednictwem prywatnego adresu IP i że mają prawidłową integrację prywatnej strefy DNS.

Najpierw utwórz maszynę wirtualną, wykonując kroki opisane w temacie Tworzenie maszyny wirtualnej z systemem Windows w witrynie Azure Portal.

Na karcie Sieć :

  1. Określ sieć wirtualną i podsieć. Musisz wybrać sieć wirtualną, w której wdrożono prywatny punkt końcowy.
  2. Określ zasób publicznego adresu IP.
  3. W polu Sieciowa grupa zabezpieczeń karty sieciowej wybierz pozycję Brak.
  4. W obszarze Równoważenie obciążenia wybierz pozycję Nie.

Połączenie do maszyny wirtualnej, otwórz wiersz polecenia i uruchom następujące polecenie:

Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net

Po wykonaniu polecenia z maszyny wirtualnej zwraca on adres IP połączenia prywatnego punktu końcowego. Po wykonaniu z sieci zewnętrznej zwraca publiczny adres IP jednego z klastrów usługi Notification Hubs.

Ograniczenia i zagadnienia dotyczące projektowania

Ograniczenia: ta funkcja jest dostępna we wszystkich regionach publicznych platformy Azure. Maksymalna liczba prywatnych punktów końcowych na przestrzeń nazw usługi Notification Hubs: 200

Aby uzyskać więcej informacji, zobacz Azure Private Link Service: Limitations (Usługa Azure Private Link: ograniczenia).

Następne kroki