Início Rápido: Criar um ponto de extremidade privado usando o Azure PowerShell

Introdução ao Link Privado do Azure usando um ponto de extremidade privado para se conectar com segurança ao Atestado do Azure.

Neste guia de início rápido, você criará um ponto de extremidade privado para o Atestado do Azure e implantará uma máquina virtual para testar a conexão privada.

Observação

A implementação atual inclui apenas a opção de aprovação automática. A assinatura precisa estar em uma lista de permitidos para que seja possível continuar com a criação do ponto de extremidade privado. Entre em contato com a equipe de serviço ou envie uma solicitação de suporte do Azure na página de suporte do Azure, antes de prosseguir com as etapas a seguir.

Pré-requisitos

• Saiba mais sobre o Link Privado do Azure
• Configurar o Atestado do Azure com o Azure PowerShell

Criar um grupo de recursos

Um grupo de recursos do Azure é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados.

Crie um grupo de recursos com New-AzResourceGroup:

## Create to your Azure account subscription and create a resource group in a desired location. ##
Connect-AzAccount
Set-AzSubscription "mySubscription"
$rg = "CreateAttestationPrivateLinkTutorial-rg"
$loc= "eastus"
New-AzResourceGroup -Name $rg -Location $loc

Criar uma rede virtual e um bastion host

Nesta seção, você criará uma rede virtual, uma sub-rede e um bastion host.

O bastion host será usado para se conectar com segurança à máquina virtual para testar o ponto de extremidade privado.

Criar uma rede virtual e um bastion host com:

• New-AzVirtualNetwork
• New-AzPublicIpAddress
• New-AzBastion

## Create backend subnet config. ##
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name myBackendSubnet -AddressPrefix 10.0.0.0/24

## Create Azure Bastion subnet. ##
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig -Name AzureBastionSubnet -AddressPrefix 10.0.1.0/24

## Create the virtual network. ##
$vnet = New-AzVirtualNetwork -Name "myAttestationTutorialVNet" -ResourceGroupName $rg -Location $loc -AddressPrefix "10.0.0.0/16" -Subnet $subnetConfig, $bastsubnetConfig

## Create public IP address for bastion host. ##
$publicip = New-AzPublicIpAddress -Name "myBastionIP" -ResourceGroupName $rg -Location $loc -Sku "Standard" -AllocationMethod "Static"

## Create bastion host ##
New-AzBastion -ResourceGroupName $rg -Name "myBastion" -PublicIpAddress $publicip -VirtualNetwork $vnet

Levará alguns minutos para que o host do Azure Bastion seja implantado.

Criar máquina virtual de teste

Nesta seção, você criará uma máquina virtual que será usada para testar o ponto de extremidade privado.

Crie a máquina virtual com:

• Get-Credential
• New-AzNetworkInterface
• New-AzVM
• New-AzVMConfig
• Set-AzVMOperatingSystem
• Set-AzVMSourceImage
• Add-AzVMNetworkInterface

## Set credentials for server admin and password. ##
$cred = Get-Credential

## Command to create network interface for VM ##
$nicVM = New-AzNetworkInterface -Name "myNicVM" -ResourceGroupName $rg -Location $loc -Subnet $vnet.Subnets[0] 

## Create a virtual machine configuration.##
$vmConfig = New-AzVMConfig -VMName "myVM" -VMSize "Standard_DS1_v2" | Set-AzVMOperatingSystem -Windows -ComputerName "myVM" -Credential $cred | Set-AzVMSourceImage -PublisherName "MicrosoftWindowsServer" -Offer "WindowsServer" -Skus "2019-Datacenter" -Version "latest" | Add-AzVMNetworkInterface -Id $nicVM.Id 

## Create the virtual machine ##
New-AzVM -ResourceGroupName $rg -Location $loc -VM $vmConfig

Criar um provedor de atestado

## Create an attestation provider ##
$attestationProviderName = "myattestationprovider"
$attestationProvider = New-AzAttestation -Name $attestationProviderName -ResourceGroupName $rg -Location $loc
$attestationProviderId = $attestationProvider.Id

Acessar o provedor de atestado do computador local

Digite nslookup <provider-name>.attest.azure.net. Substitua <o nome do provedor> pelo nome da instância do provedor de atestado que você criou nas etapas anteriores.

## Access the attestation provider from local machine ##
nslookup myattestationprovider.eus.attest.azure.net

<# You'll receive a message similar to what is displayed below:

Server:  cdns01.comcast.net
Address:  2001:558:feed::1

Non-authoritative answer:
Name:    eus.service.attest.azure.net
Address:  20.62.219.160
Aliases:  myattestationprovider.eus.attest.azure.net
	attesteusatm.trafficmanager.net

#>

Criar um ponto de extremidade privado

Nesta seção, você criará o ponto de extremidade privado e a conexão usando:

• New-AzPrivateLinkServiceConnection
• New-AzPrivateEndpoint

## Create private endpoint connection. ##
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnection" -PrivateLinkServiceId $attestationProviderId -GroupID "Standard"

## Disable private endpoint network policy ##
$vnet.Subnets[0].PrivateEndpointNetworkPolicies = "Disabled" 
$vnet | Set-AzVirtualNetwork

## Create private endpoint
New-AzPrivateEndpoint  -ResourceGroupName $rg -Name "myPrivateEndpoint" -Location $loc -Subnet $vnet.Subnets[0] -PrivateLinkServiceConnection $privateEndpointConnection

Configurar a zona DNS privada

Nesta seção, você criará e configurará a zona DNS privada usando:

• New-AzPrivateDnsZone
• New-AzPrivateDnsVirtualNetworkLink
• New-AzPrivateDnsZoneConfig
• New-AzPrivateDnsZoneGroup

## Create private dns zone. ##
$zone = New-AzPrivateDnsZone -ResourceGroupName $rg -Name "privatelink.attest.azure.net"

## Create dns network link. ##
$link = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rg -ZoneName "privatelink.attest.azure.net" -Name "myLink" -VirtualNetworkId $vnet.Id

## Create DNS configuration ##
$config = New-AzPrivateDnsZoneConfig -Name "privatelink.attest.azure.net" -PrivateDnsZoneId $zone.ResourceId

## Create DNS zone group. ##
New-AzPrivateDnsZoneGroup -ResourceGroupName $rg -PrivateEndpointName "myPrivateEndpoint" -Name "myZoneGroup" -PrivateDnsZoneConfig $config

Testar a conectividade com o ponto de extremidade privado

Nesta seção, você usará a máquina virtual criada na etapa anterior para se conectar ao SQL Server pelo ponto de extremidade privado.

1. Entre no portal do Azure.

2. Selecione Grupos de recursos no painel de navegação à esquerda.

3. Selecione CreateAttestationPrivateLinkTutorial-rg.

4. Selecione myVM.

5. Na página de visão geral de myVM, escolha Conectar e Bastion.

6. Selecione o botão azul Usar Bastion.

7. Insira o nome de usuário e a senha que você inseriu durante a criação da máquina virtual.

8. Abra o Windows PowerShell no servidor depois de se conectar.

9. Digite nslookup <provider-name>.attest.azure.net. Substitua <o nome do provedor> pelo nome da instância do provedor de atestado que você criou nas etapas anteriores:

   ## Access the attestation provider from local machine ##
   nslookup myattestationprovider.eus.attest.azure.net
   
   <# You'll receive a message similar to what is displayed below:
   
   Server:  cdns01.comcast.net
   Address:  2001:558:feed::1
       cdns01.comcast.net can't find myattestationprovider.eus.attest.azure.net: Non-existent domain
   
   #>
   
   ## Access the attestation provider from the VM created in the same virtual network as the private endpoint.   ##
   nslookup myattestationprovider.eus.attest.azure.net
   
   <# You'll receive a message similar to what is displayed below:
   
   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    myattestationprovider.eastus.test.attest.azure.net
   
   #>