Início Rápido: Criar um Ponto Final Privado com Azure PowerShell
Comece a utilizar Azure Private Link através de um ponto final privado para ligar de forma segura ao Azure Attestation.
Neste início rápido, irá criar um ponto final privado para Azure Attestation e implementar uma máquina virtual para testar a ligação privada.
Nota
A implementação atual inclui apenas a opção de aprovação automática. A subscrição tem de ser adicionada a uma lista de permissões para poder prosseguir com a criação de pontos finais privados. Contacte a equipa de serviço ou submeta um pedido de suporte do Azure na página suporte do Azure antes de prosseguir com os passos abaixo.
Pré-requisitos
- Saiba mais sobre Azure Private Link
- Configurar Azure Attestation com Azure PowerShell
Criar um grupo de recursos
Um grupo de recursos do Azure é um contentor lógico no qual os recursos do Azure são implementados e geridos.
Criar um grupo de recursos com New-AzResourceGroup:
## Create to your Azure account subscription and create a resource group in a desired location. ##
Connect-AzAccount
Set-AzSubscription "mySubscription"
$rg = "CreateAttestationPrivateLinkTutorial-rg"
$loc= "eastus"
New-AzResourceGroup -Name $rg -Location $loc
Criar uma rede virtual e um anfitrião bastion
Nesta secção, irá criar uma rede virtual, uma sub-rede e um anfitrião bastion.
O anfitrião bastion será utilizado para ligar de forma segura à máquina virtual para testar o ponto final privado.
Crie uma rede virtual e um anfitrião bastion com:
## Create backend subnet config. ##
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name myBackendSubnet -AddressPrefix 10.0.0.0/24
## Create Azure Bastion subnet. ##
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig -Name AzureBastionSubnet -AddressPrefix 10.0.1.0/24
## Create the virtual network. ##
$vnet = New-AzVirtualNetwork -Name "myAttestationTutorialVNet" -ResourceGroupName $rg -Location $loc -AddressPrefix "10.0.0.0/16" -Subnet $subnetConfig, $bastsubnetConfig
## Create public IP address for bastion host. ##
$publicip = New-AzPublicIpAddress -Name "myBastionIP" -ResourceGroupName $rg -Location $loc -Sku "Standard" -AllocationMethod "Static"
## Create bastion host ##
New-AzBastion -ResourceGroupName $rg -Name "myBastion" -PublicIpAddress $publicip -VirtualNetwork $vnet
A implementação do anfitrião do Azure Bastion pode demorar alguns minutos.
Criar máquina virtual de teste
Nesta secção, irá criar uma máquina virtual que será utilizada para testar o ponto final privado.
Crie a máquina virtual com:
- Get-Credential
- New-AzNetworkInterface
- New-AzVM
- New-AzVMConfig
- Set-AzVMOperatingSystem
- Set-AzVMSourceImage
- Add-AzVMNetworkInterface
## Set credentials for server admin and password. ##
$cred = Get-Credential
## Command to create network interface for VM ##
$nicVM = New-AzNetworkInterface -Name "myNicVM" -ResourceGroupName $rg -Location $loc -Subnet $vnet.Subnets[0]
## Create a virtual machine configuration.##
$vmConfig = New-AzVMConfig -VMName "myVM" -VMSize "Standard_DS1_v2" | Set-AzVMOperatingSystem -Windows -ComputerName "myVM" -Credential $cred | Set-AzVMSourceImage -PublisherName "MicrosoftWindowsServer" -Offer "WindowsServer" -Skus "2019-Datacenter" -Version "latest" | Add-AzVMNetworkInterface -Id $nicVM.Id
## Create the virtual machine ##
New-AzVM -ResourceGroupName $rg -Location $loc -VM $vmConfig
Criar um fornecedor de atestado
## Create an attestation provider ##
$attestationProviderName = "myattestationprovider"
$attestationProvider = New-AzAttestation -Name $attestationProviderName -ResourceGroupName $rg -Location $loc
$attestationProviderId = $attestationProvider.Id
Aceder ao fornecedor de atestado a partir do computador local
Introduza nslookup <provider-name>.attest.azure.net. Substitua <provider-name> pelo nome da instância do fornecedor de atestado que criou nos passos anteriores.
## Access the attestation provider from local machine ##
nslookup myattestationprovider.eus.attest.azure.net
<# You'll receive a message similar to what is displayed below:
Server: cdns01.comcast.net
Address: 2001:558:feed::1
Non-authoritative answer:
Name: eus.service.attest.azure.net
Address: 20.62.219.160
Aliases: myattestationprovider.eus.attest.azure.net
attesteusatm.trafficmanager.net
#>
Criar ponto final privado
Nesta secção, irá criar o ponto final privado e a ligação com:
## Create private endpoint connection. ##
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnection" -PrivateLinkServiceId $attestationProviderId -GroupID "Standard"
## Disable private endpoint network policy ##
$vnet.Subnets[0].PrivateEndpointNetworkPolicies = "Disabled"
$vnet | Set-AzVirtualNetwork
## Create private endpoint
New-AzPrivateEndpoint -ResourceGroupName $rg -Name "myPrivateEndpoint" -Location $loc -Subnet $vnet.Subnets[0] -PrivateLinkServiceConnection $privateEndpointConnection
Configurar a zona DNS privada
Nesta secção, irá criar e configurar a zona DNS privada com:
- New-AzPrivateDnsZone
- New-AzPrivateDnsVirtualNetworkLink
- New-AzPrivateDnsZoneConfig
- New-AzPrivateDnsZoneGroup
## Create private dns zone. ##
$zone = New-AzPrivateDnsZone -ResourceGroupName $rg -Name "privatelink.attest.azure.net"
## Create dns network link. ##
$link = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rg -ZoneName "privatelink.attest.azure.net" -Name "myLink" -VirtualNetworkId $vnet.Id
## Create DNS configuration ##
$config = New-AzPrivateDnsZoneConfig -Name "privatelink.attest.azure.net" -PrivateDnsZoneId $zone.ResourceId
## Create DNS zone group. ##
New-AzPrivateDnsZoneGroup -ResourceGroupName $rg -PrivateEndpointName "myPrivateEndpoint" -Name "myZoneGroup" -PrivateDnsZoneConfig $config
Testar a conectividade ao ponto final privado
Nesta secção, irá utilizar a máquina virtual que criou no passo anterior para ligar ao SQL Server através do ponto final privado.
Inicie sessão no portal do Azure.
Selecione Grupos de recursos no painel de navegação esquerdo.
Selecione CreateAttestationPrivateLinkTutorial-rg.
Selecione myVM.
Na página de descrição geral da myVM, selecione Ligar e , em seguida, Bastion.
Selecione o botão azul Utilizar Bastion .
Introduza o nome de utilizador e a palavra-passe que introduziu durante a criação da máquina virtual.
Abra Windows PowerShell no servidor depois de ligar.
Introduza
nslookup <provider-name>.attest.azure.net. Substitua <provider-name> pelo nome da instância do fornecedor de atestado que criou nos passos anteriores:## Access the attestation provider from local machine ## nslookup myattestationprovider.eus.attest.azure.net <# You'll receive a message similar to what is displayed below: Server: cdns01.comcast.net Address: 2001:558:feed::1 cdns01.comcast.net can't find myattestationprovider.eus.attest.azure.net: Non-existent domain #> ## Access the attestation provider from the VM created in the same virtual network as the private endpoint. ## nslookup myattestationprovider.eus.attest.azure.net <# You'll receive a message similar to what is displayed below: Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: myattestationprovider.eastus.test.attest.azure.net #>
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários