Szybki start: tworzenie usługi Private Link przy użyciu interfejsu wiersza polecenia platformy Azure

Rozpocznij tworzenie usługi Private Link, która odwołuje się do twojej usługi. Przyznaj Private Link dostęp do swojej usługi lub zasobu chronionego przez Azure Standard Load Balancer. Użytkownicy usługi mają dostęp prywatny z sieci wirtualnej.

Jeśli nie masz jeszcze konta platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Wymagania wstępne

• Użyj środowiska Bash w Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Get started with Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj Azure CLI. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze platformy Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby zakończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Gdy zostaniesz o to poproszony, zainstaluj rozszerzenie Azure CLI przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.

  • Uruchom az version, aby sprawdzić zainstalowaną wersję i biblioteki zależne. Aby przeprowadzić uaktualnienie do najnowszej wersji, uruchom polecenie az upgrade.

• Ten szybki start wymaga wersji 2.0.28 lub nowszej Azure CLI. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.

Tworzenie grupy zasobów

Grupa zasobów platformy Azure to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.

Utwórz grupę zasobów za pomocą polecenia az group create:

• Nazywany test-rg.

• W lokalizacji eastus2.

az group create \
    --name test-rg \
    --location eastus2

Utwórz wewnętrzny moduł równoważenia obciążenia.

W tej sekcji utworzysz sieć wirtualną i wewnętrzną usługę Azure Load Balancer.

Sieć wirtualna

W tej sekcji utworzysz sieć wirtualną i podsieć do hostowania modułu równoważenia obciążenia, który uzyskuje dostęp do usługi Private Link.

Utwórz sieć wirtualną za pomocą az network vnet create:

• Nazwane jako vnet-1.

• Prefiks adresu 10.0.0.0/16.

• Podsieć o nazwie subnet-1.

• Prefiks podsieci 10.0.0.0/24.

• W grupie zasobów test-rg.

• Lokalizacja eastus2.

• Wyłącz zasady sieciowe dla usługi łącza prywatnego w podsieci.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Utwórz standardowy moduł równoważenia obciążenia

W tej sekcji opisano szczegółowo procedurę tworzenia i konfigurowania następujących składników modułu równoważenia obciążenia:

• Pula adresów IP zewnętrznego interfejsu, odpowiadająca za przychodzący ruch sieciowy na równoważniku obciążenia.

• Pula adresów IP zaplecza, do której pula frontendu przesyła ruch sieciowy ze zrównoważonym obciążeniem.

• Sonda kondycji, która określa kondycję wystąpień maszyn wirtualnych zaplecza.

• Reguła modułu równoważenia obciążenia, która definiuje sposób dystrybucji ruchu do maszyn wirtualnych.

Tworzenie zasobu modułu równoważenia obciążenia

Utwórz publiczny moduł równoważenia obciążenia za pomocą polecenia az network lb create:

• O nazwie moduł równoważenia obciążenia.

• Pula frontowa o nazwie frontend.

• Zaplecze puli o nazwie backend-pool.

• Skojarzone z siecią wirtualną vnet-1.

• Skojarzone z podsiecią zaplecza podsieć-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Tworzenie sondy kondycji

Sonda stanu zdrowia sprawdza wszystkie instancje maszyn wirtualnych, aby upewnić się, że mogą wysyłać ruch sieciowy.

Maszyna wirtualna, która nie przeszła testu sondy, zostaje usunięta z równoważnika obciążenia. Maszyna wirtualna jest dodawana z powrotem do modułu równoważenia obciążenia po rozwiązaniu błędu.

Utwórz sondę kondycji za pomocą polecenia az network lb probe create:

• Monitoruje kondycję maszyn wirtualnych.

• Sonda zdrowotna o nazwie .

• Protokół TCP.

• Monitorowanie port 80.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Utwórz regułę modułu równoważenia obciążenia

Reguła modułu równoważenia obciążenia definiuje:

• Konfiguracja IP frontendu dla ruchu przychodzącego.

• Pula adresów IP zaplecza przyjmująca ruch.

• Wymagany port źródłowy i docelowy.

Utwórz regułę modułu równoważenia obciążenia az network lb rule create:

• Nazwane reguła HTTP

• Nasłuchiwanie na porcie 80 w puli frontonu frontonu.

• Wysyłanie ruchu sieciowego ze zrównoważonym obciążeniem do puli adresów zaplecza , puli zaplecza, przy użyciu portu 80.

• Używanie sondy kondycji i sondy kondycji.

• Protokół TCP.

• Limit czasu bezczynności 15 minut.

• Włącz resetowanie protokołu TCP.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Wyłącz zasady sieciowe

Aby można było utworzyć usługę łącza prywatnego w sieci wirtualnej, należy wyłączyć ustawienie privateLinkServiceNetworkPolicies.

• Wyłącz zasady sieciowe za pomocą polecenia az network vnet subnet update.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

Tworzenie usługi łącza prywatnego

W tej sekcji utwórz usługę łącza prywatnego, która używa usługi Azure Load Balancer utworzonej w poprzednim kroku.

Utwórz usługę łącza prywatnego przy użyciu standardowej konfiguracji adresu IP frontonu modułu równoważenia obciążenia z az network private-link-service create:

• Nazwany serwis prywatnego połączenia .

• W sieci wirtualnej vnet-1.

• Skojarzone ze standardowym modułem równoważenia obciążenia , modułem oraz konfiguracją interfejsu , interfejsem.

• W lokalizacji eastus2.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Twoja usługa łącza prywatnego została utworzona i może odbierać ruch. Jeśli chcesz zobaczyć przepływy ruchu, skonfiguruj aplikację za standardowym modułem równoważenia obciążenia.

Tworzenie prywatnego punktu końcowego

W tej sekcji przypisujesz usługę łącza prywatnego do prywatnego punktu końcowego. Sieć wirtualna zawiera prywatny punkt końcowy dla usługi łącza prywatnego. Ta sieć wirtualna zawiera zasoby, które mają dostęp do usługi łącza prywatnego.

Utwórz prywatny punkt końcowy sieci wirtualnej

Utwórz sieć wirtualną za pomocą az network vnet create:

• Nazwany vnet-pe.

• Prefiks adresu 10.1.0.0/16.

• Podsieć nosi nazwę subnet-pe.

• Prefiks podsieci 10.1.0.0/24.

• W grupie zasobów test-rg.

• Lokalizacja eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Tworzenie punktu końcowego i połączenia

• Użyj az network private-link-service show, aby otrzymać identyfikator zasobu dla usługi łącza prywatnego. Polecenie umieszcza identyfikator zasobu w zmiennej do późniejszego użycia.

• Użyj polecenia az network private-endpoint create, aby utworzyć prywatny punkt końcowy w wcześniej utworzonej sieci wirtualnej.

• Nazwany prywatny punkt końcowy.

• W grupie zasobów test-rg.

• Nazwa połączenia connection-1.

• Lokalizacja eastus2.

• W sieci wirtualnej vnet-pe oraz podsieci subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe 

Czyszczenie zasobów

Gdy nie są już potrzebne, użyj polecenia az group delete do usunięcia grupy zasobów, usługi private link, modułu równoważenia obciążenia i wszystkich powiązanych zasobów.

az group delete \
    --name test-rg 

Następne kroki

W ramach tego szybkiego przewodnika wykonasz następujące czynności:

• Utworzono sieć wirtualną i wewnętrzną usługę Azure Load Balancer.

• Utworzono usługę łącza prywatnego

Aby dowiedzieć się więcej na temat prywatnego punktu końcowego platformy Azure, przejdź do:

Szybki start: tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure