Szybki start: tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure

Rozpocznij pracę z Azure Private Link przy użyciu prywatnego punktu końcowego, aby bezpiecznie nawiązać połączenie z aplikacją internetową platformy Azure.

W tym przewodniku Szybki start utworzysz prywatny punkt końcowy dla aplikacji internetowej platformy Azure, a następnie utworzysz i wdrożysz maszynę wirtualną, aby przetestować połączenie prywatne.

Prywatne punkty końcowe można tworzyć dla różnych usług platformy Azure, takich jak Azure SQL i Azure Storage.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Jeśli nie masz jeszcze konta platformy Azure, utwórz bezpłatne konto.

  Aby upewnić się, że subskrypcja jest aktywna, zaloguj się do Azure Portal, a następnie sprawdź wersję, uruchamiając polecenie az login.

• Aplikacja internetowa platformy Azure z planem usługi App Service w warstwie PremiumV2 lub wyższym wdrożona w ramach subskrypcji platformy Azure.

  • Aby uzyskać więcej informacji i przykład, zobacz Szybki start: tworzenie aplikacji internetowej ASP.NET Core na platformie Azure.

  • Przykładowa aplikacja internetowa w tym artykule nosi nazwę myWebApp1979. Zastąp przykład nazwą aplikacji internetowej.

• Zainstalowano najnowszą wersję interfejsu wiersza polecenia platformy Azure.

  Sprawdź wersję interfejsu wiersza polecenia platformy Azure w terminalu lub oknie polecenia, uruchamiając polecenie az --version. Aby uzyskać najnowszą wersję, zobacz najnowsze informacje o wersji.

  Jeśli nie masz najnowszej wersji interfejsu wiersza polecenia platformy Azure, zaktualizuj go, postępując zgodnie z przewodnikiem instalacji systemu operacyjnego lub platformy.

Tworzenie grupy zasobów

Grupa zasobów platformy Azure to logiczny kontener, w którym zasoby platformy Azure są wdrażane i zarządzane.

Najpierw utwórz grupę zasobów przy użyciu polecenia az group create:

az group create \
    --name CreatePrivateEndpointQS-rg \
    --location eastus

Tworzenie sieci wirtualnej i hosta bastionu

Sieć wirtualna i podsieć są wymagane do hostowania prywatnego adresu IP prywatnego punktu końcowego. Utworzysz hosta bastionu, aby bezpiecznie połączyć się z maszyną wirtualną w celu przetestowania prywatnego punktu końcowego. W dalszej sekcji utworzysz maszynę wirtualną.

Utwórz sieć wirtualną za pomocą polecenia az network vnet create.

az network vnet create \
    --resource-group CreatePrivateEndpointQS-rg \
    --location eastus \
    --name myVNet \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name myBackendSubnet \
    --subnet-prefixes 10.0.0.0/24

Utwórz podsieć bastionu za pomocą polecenia az network vnet subnet create.

az network vnet subnet create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name AzureBastionSubnet \
    --vnet-name myVNet \
    --address-prefixes 10.0.1.0/27

Utwórz publiczny adres IP hosta bastionu za pomocą polecenia az network public-ip create.

az network public-ip create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name myBastionIP \
    --sku Standard \
    --zone 1 2 3

Utwórz hosta bastionu za pomocą polecenia az network bastion create.

az network bastion create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name myBastionHost \
    --public-ip-address myBastionIP \
    --vnet-name myVNet \
    --location eastus

Wdrożenie hosta usługi Azure Bastion może potrwać kilka minut.

Tworzenie prywatnego punktu końcowego

Usługa platformy Azure, która obsługuje prywatne punkty końcowe, jest wymagana do skonfigurowania prywatnego punktu końcowego i połączenia z siecią wirtualną. W przykładach w tym artykule użyjesz aplikacji internetowej platformy Azure z wymagań wstępnych. Aby uzyskać więcej informacji na temat usług platformy Azure, które obsługują prywatny punkt końcowy, zobacz Azure Private Link dostępność.

Prywatny punkt końcowy może mieć statyczny lub dynamicznie przypisany adres IP.

Ważne

Aby wykonać kroki opisane w tym artykule, musisz mieć wcześniej wdrożona aplikację internetową platformy Azure. Aby uzyskać więcej informacji, zobacz Wymagania wstępne .

Umieść identyfikator zasobu aplikacji internetowej utworzonej wcześniej w zmiennej powłoki za pomocą polecenia az webapp list. Utwórz prywatny punkt końcowy za pomocą polecenia az network private-endpoint create.

Dynamiczny adres IP

id=$(az webapp list \
    --resource-group CreatePrivateEndpointQS-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group CreatePrivateEndpointQS-rg \
    --subnet myBackendSubnet \
    --group-id sites \
    --vnet-name myVNet    

Statyczny adres IP

id=$(az webapp list \
   --resource-group CreatePrivateEndpointQS-rg \
   --query '[].[id]' \
   --output tsv)

az network private-endpoint create \
   --connection-name myConnection \
   --name myPrivateEndpoint \
   --private-connection-resource-id $id \
   --resource-group CreatePrivateEndpointQS-rg \
   --subnet myBackendSubnet \
   --group-id sites \
   --ip-config name=myIPconfig group-id=sites member-name=sites private-ip-address=10.0.0.10 \
   --vnet-name myVNet

Konfigurowanie prywatnej strefy DNS

Prywatna strefa DNS służy do rozpoznawania nazwy DNS prywatnego punktu końcowego w sieci wirtualnej. W tym przykładzie używamy informacji DNS dla usługi Azure WebApp, aby uzyskać więcej informacji na temat konfiguracji DNS prywatnych punktów końcowych, zobacz Konfiguracja dns prywatnego punktu końcowego platformy Azure.

Utwórz nową prywatną strefę DNS platformy Azure za pomocą polecenia az network private-dns zone create.

az network private-dns zone create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name "privatelink.azurewebsites.net"

Połącz strefę DNS z siecią wirtualną utworzoną wcześniej za pomocą polecenia az network private-dns link vnet create.

az network private-dns link vnet create \
    --resource-group CreatePrivateEndpointQS-rg \
    --zone-name "privatelink.azurewebsites.net" \
    --name MyDNSLink \
    --virtual-network myVNet \
    --registration-enabled false

Utwórz grupę stref DNS za pomocą polecenia az network private-endpoint dns-zone-group create.

az network private-endpoint dns-zone-group create \
    --resource-group CreatePrivateEndpointQS-rg \
    --endpoint-name myPrivateEndpoint \
    --name MyZoneGroup \
    --private-dns-zone "privatelink.azurewebsites.net" \
    --zone-name webapp

Tworzenie testowej maszyny wirtualnej

Aby sprawdzić statyczny adres IP i funkcjonalność prywatnego punktu końcowego, wymagana jest testowa maszyna wirtualna połączona z siecią wirtualną.

Utwórz maszynę wirtualną za pomocą polecenia az vm create.

az vm create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name myVM \
    --image Win2019Datacenter \
    --public-ip-address "" \
    --vnet-name myVNet \
    --subnet myBackendSubnet \
    --admin-username azureuser

Uwaga

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm ip dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy publiczny adres IP jest przypisany do maszyny wirtualnej, maszyna wirtualna jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia z regułami ruchu wychodzącego lub bez niego albo jeśli zasób bramy translatora adresów sieciowych platformy Azure Virtual Network jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przez zestawy skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie tłumaczenia adresów sieciowych źródłowych (SNAT) dla połączeń wychodzących.

Testowanie łączności z prywatnym punktem końcowym

Użyj maszyny wirtualnej utworzonej w poprzednim kroku, aby nawiązać połączenie z aplikacją internetową w prywatnym punkcie końcowym.

1. Zaloguj się do Azure portal.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne.

3. Wybierz pozycję myVM.

4. Na stronie przeglądu maszyny wirtualnej myVM wybierz pozycję Połącz, a następnie wybierz pozycję Bastion.

5. Wprowadź nazwę użytkownika i hasło użyte podczas tworzenia maszyny wirtualnej. Wybierz pozycję Połącz.

6. Po nawiązaniu połączenia otwórz program PowerShell na serwerze.

7. Wprowadź nslookup mywebapp1979.azurewebsites.net. Zastąp ciąg mywebapp1979 nazwą utworzonej wcześniej aplikacji internetowej. Zostanie wyświetlony komunikat podobny do poniższego przykładu:

   Server:  UnKnown
   Address:  168.63.129.16
   
   Non-authoritative answer:
   Name:    mywebapp1979.privatelink.azurewebsites.net
   Address:  10.0.0.10
   Aliases:  mywebapp1979.azurewebsites.net
   

8. W połączeniu bastionu z maszyną wirtualną myVM otwórz przeglądarkę internetową.

9. Wprowadź adres URL aplikacji internetowej. https://mywebapp1979.azurewebsites.net

   Jeśli aplikacja internetowa nie została wdrożona, zostanie wyświetlona następująca domyślna strona aplikacji internetowej:

   

10. Zamknij połączenie z maszyną wirtualną myVM.

Czyszczenie zasobów

Gdy grupa zasobów, usługa private link, moduł równoważenia obciążenia i wszystkie powiązane zasoby nie będą już potrzebne, użyj polecenia az group delete .

  az group delete \
    --name CreatePrivateEndpointQS-rg

Następne kroki

Aby uzyskać więcej informacji na temat usług, które obsługują prywatne punkty końcowe, zobacz:

Co to jest łącze prywatne platformy Azure?