Zarządzanie prywatnymi punktami końcowymi platformy Azure
Prywatne punkty końcowe platformy Azure mają kilka opcji zarządzania konfiguracją i wdrażaniem.
Wartości i MemberName można określićGroupId, wysyłając zapytanie do zasobu usługi Azure Private Link. Podczas tworzenia potrzebne są GroupId wartości i MemberName , aby skonfigurować statyczny adres IP dla prywatnego punktu końcowego.
Prywatny punkt końcowy ma dwie właściwości niestandardowe: statyczny adres IP i nazwę interfejsu sieciowego. Te właściwości należy ustawić po utworzeniu prywatnego punktu końcowego.
W przypadku dostawcy usług i wdrożenia usługi Private Link przez użytkownika proces zatwierdzania odbywa się w celu nawiązania połączenia.
Określanie identyfikatora grupy i nazwy elementu członkowskiego
Podczas tworzenia prywatnego punktu końcowego przy użyciu programu Azure PowerShell i interfejsu wiersza polecenia GroupId platformy Azure mogą być potrzebne wartości i MemberName zasobu prywatnego punktu końcowego.
GroupIdto podźródło prywatnego punktu końcowego.MemberNameto unikatowa sygnatura prywatnego adresu IP punktu końcowego.
Aby uzyskać więcej informacji na temat podźródł prywatnych punktów końcowych i ich wartości, zobacz Zasób usługi Private Link.
Aby określić wartości GroupId i MemberName dla zasobu prywatnego punktu końcowego, użyj następujących poleceń. MemberName element jest zawarty RequiredMembers we właściwości .
Aplikacja internetowa platformy Azure jest używana jako przykładowy zasób prywatnego punktu końcowego. Użyj polecenia Get-AzPrivateLinkResource , aby określić wartości dla GroupId i MemberName.
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
Powinny zostać wyświetlone dane wyjściowe podobne do poniższego przykładu.
Właściwości niestandardowe
Zmiana nazwy interfejsu sieciowego i przypisanie statycznego adresu IP to właściwości niestandardowe, które można ustawić w prywatnym punkcie końcowym podczas tworzenia.
Zmiana nazwy interfejsu sieciowego
Domyślnie po utworzeniu prywatnego punktu końcowego interfejs sieciowy skojarzony z prywatnym punktem końcowym otrzymuje losową nazwę interfejsu sieciowego. Interfejs sieciowy musi mieć nazwę podczas tworzenia prywatnego punktu końcowego. Zmiana nazwy interfejsu sieciowego istniejącego prywatnego punktu końcowego nie jest obsługiwana.
Użyj następujących poleceń podczas tworzenia prywatnego punktu końcowego, aby zmienić nazwę interfejsu sieciowego.
Aby zmienić nazwę interfejsu sieciowego po utworzeniu prywatnego punktu końcowego, użyj parametru -CustomNetworkInterfaceName . W poniższym przykładzie użyto polecenia programu Azure PowerShell, aby utworzyć prywatny punkt końcowy w aplikacji internetowej platformy Azure. Aby uzyskać więcej informacji, zobacz New-AzPrivateEndpoint.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
Statyczny adres IP
Domyślnie po utworzeniu prywatnego punktu końcowego adres IP punktu końcowego jest przypisywany automatycznie. Adres IP jest przypisywany z zakresu adresów IP sieci wirtualnej skonfigurowanej dla prywatnego punktu końcowego. Może wystąpić sytuacja, gdy wymagany jest statyczny adres IP dla prywatnego punktu końcowego. Statyczny adres IP musi być przypisany podczas tworzenia prywatnego punktu końcowego. Konfiguracja statycznego adresu IP dla istniejącego prywatnego punktu końcowego jest obecnie nieobsługiwana.
Aby uzyskać procedury konfigurowania statycznego adresu IP podczas tworzenia prywatnego punktu końcowego, zobacz Tworzenie prywatnego punktu końcowego przy użyciu programu Azure PowerShell i Tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure.
Połączenia prywatnego punktu końcowego
Usługa Private Link działa w modelu zatwierdzania, w którym użytkownik usługi Private Link może zażądać połączenia z dostawcą usług w celu korzystania z usługi.
Następnie dostawca usług może zdecydować, czy zezwolić użytkownikowi na nawiązywanie połączenia. Usługa Private Link umożliwia dostawcom usług zarządzanie połączeniem prywatnego punktu końcowego w swoich zasobach.
Istnieją dwie metody zatwierdzania połączenia, które użytkownik usługi Private Link może wybrać:
Automatyczne: jeśli użytkownik usługi ma uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure w zasobie dostawcy usług, użytkownik może wybrać metodę automatycznego zatwierdzania. Gdy żądanie osiągnie zasób dostawcy usług, nie jest wymagana żadna akcja od dostawcy usług, a połączenie zostanie automatycznie zatwierdzone.
Ręczne: jeśli użytkownik usługi nie ma uprawnień RBAC do zasobu dostawcy usług, użytkownik może wybrać metodę ręcznego zatwierdzania. Żądanie połączenia jest wyświetlane w zasobach usługi jako Oczekujące. Dostawca usług musi ręcznie zatwierdzić żądanie przed nawiązaniem połączeń.
W przypadkach ręcznych użytkownik usługi może również określić komunikat z żądaniem podania większego kontekstu dostawcy usług. Dostawca usług ma następujące opcje do wyboru dla wszystkich połączeń prywatnych punktów końcowych: Zatwierdź, Odrzuć i Usuń.
Ważne
Aby zatwierdzić połączenia z prywatnym punktem końcowym, który znajduje się w oddzielnej subskrypcji lub dzierżawie, upewnij się, że subskrypcja dostawcy lub dzierżawa zarejestrowała usługę Microsoft.Network. Subskrypcja lub dzierżawa odbiorcy powinna mieć również zarejestrowanego dostawcę zasobów docelowych.
W poniższej tabeli przedstawiono różne akcje dostawcy usług i wynikowe stany połączenia dla prywatnych punktów końcowych. Dostawca usług może zmienić stan połączenia w późniejszym czasie bez interwencji konsumenta. Akcja aktualizuje stan punktu końcowego po stronie konsumenta.
| Akcja dostawcy usług | Stan prywatnego punktu końcowego odbiorcy usługi | Opis |
|---|---|---|
| None | Oczekiwanie | Połączenie ion jest tworzony ręcznie i oczekuje na zatwierdzenie przez właściciela zasobu usługi Private Link. |
| Zatwierdzanie | Zatwierdzona | Połączenie ion jest automatycznie lub ręcznie zatwierdzony i jest gotowy do użycia. |
| Odrzuć | Odrzucona | Właściciel zasobu usługi Private Link odrzuca połączenie. |
| Usuń | Odłączony | Właściciel zasobu usługi Private Link usuwa połączenie, powodując rozłączenie prywatnego punktu końcowego i należy go usunąć w celu oczyszczenia. |
Zarządzanie połączeniami prywatnego punktu końcowego w zasobach usługi Azure PaaS
Wykonaj poniższe kroki, aby zarządzać połączeniem prywatnego punktu końcowego w witrynie Azure Portal.
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Private Link. W wynikach wyszukiwania wybierz pozycję Łącze prywatne.
W Centrum usługi Private Link wybierz pozycję Prywatne punkty końcowe lub usługi łącza prywatnego.
Dla każdego z punktów końcowych można wyświetlić liczbę skojarzonych z nim połączeń prywatnych punktów końcowych. Zasoby można filtrować zgodnie z potrzebami.
Wybierz prywatny punkt końcowy. W obszarze połączeń na liście wybierz połączenie, którym chcesz zarządzać.
Stan połączenia można zmienić, wybierając z opcji u góry.
Zarządzanie połączeniami prywatnego punktu końcowego w usłudze Private Link należącej do klienta lub partnera
Użyj następujących poleceń programu PowerShell i interfejsu wiersza polecenia platformy Azure, aby zarządzać połączeniami prywatnego punktu końcowego w usługach partnerskich firmy Microsoft lub usługach należących do klienta.
Użyj następujących poleceń programu PowerShell, aby zarządzać połączeniami prywatnych punktów końcowych.
Uzyskiwanie stanów połączenia usługi Private Link
Użyj polecenia Get-AzPrivateEndpoint Połączenie ion, aby uzyskać połączenia prywatnego punktu końcowego i ich stany.
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
Zatwierdzanie połączenia prywatnego punktu końcowego
Użyj polecenia Approve-AzPrivateEndpoint Połączenie ion, aby zatwierdzić połączenie prywatnego punktu końcowego.
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
Odmowa połączenia prywatnego punktu końcowego
Użyj polecenia Deny-AzPrivateEndpoint Połączenie ion, aby odrzucić połączenie prywatnego punktu końcowego.
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
Usuwanie połączenia prywatnego punktu końcowego
Użyj polecenia Remove-AzPrivateEndpoint Połączenie ion, aby usunąć połączenie prywatnego punktu końcowego.
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
Uwaga
nie można wcześniej zatwierdzić Połączenie ions. Musisz usunąć połączenie i utworzyć nowe.