Share via

Guia de início rápido: criar um serviço de Link Privado usando a CLI do Azure

  • Artigo

Comece a criar um serviço Private Link que se refira ao seu serviço. Dê acesso ao Link Privado ao seu serviço ou recurso implantado atrás de um Balanceador de Carga Padrão do Azure. Os utilizadores do seu serviço têm acesso privado a partir da sua rede virtual.

Diagram of resources created in private endpoint quickstart.

Se não tiver uma subscrição do Azure, crie uma conta gratuita do Azure antes de começar.

Pré-requisitos

  • Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.

  • Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

    • Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.

    • Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.

    • Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.

  • Este início rápido requer a versão 2.0.28 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.

Criar um grupo de recursos

Um grupo de recursos do Azure é um contentor lógico no qual os recursos do Azure são implementados e geridos.

Crie um grupo de recursos com az group create:

  • Nomeado test-rg.

  • Na localização eastus2.

az group create \
    --name test-rg \
    --location eastus2

Criar um balanceador de carga interno

Nesta seção, você cria uma rede virtual e um Balanceador de Carga do Azure interno.

Rede virtual

Nesta seção, você cria uma rede virtual e uma sub-rede para hospedar o balanceador de carga que acessa seu serviço de Link Privado.

Crie uma rede virtual usando az network vnet create:

  • Nomeado vnet-1.

  • Prefixo de endereço de 10.0.0.0/16.

  • Sub-rede denominada sub-rede-1.

  • Prefixo de sub-rede de 10.0.0.0/24.

  • No grupo de recursos test-rg.

  • Localização do eastus2.

  • Desative a política de rede para o serviço de link privado na sub-rede.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Criar balanceador de carga padrão

Esta secção descreve como pode criar e configurar os seguintes componentes do balanceador de carga:

  • Um pool de IP frontend que recebe o tráfego de rede de entrada no balanceador de carga.

  • Um pool de IP de back-end onde o pool de front-end envia o tráfego de rede com balanceamento de carga.

  • Um teste de integridade que determina a integridade das instâncias de VM de back-end.

  • Uma regra de balanceador de carga que define como o tráfego é distribuído para as VMs.

Criar o recurso do balanceador de carga

Crie um balanceador de carga público com az network lb create:

  • Balanceador de carga nomeado.

  • Um pool de frontend chamado frontend.

  • Um pool de back-end chamado backend-pool.

  • Associado à rede virtual vnet-1.

  • Associado à sub-rede de back-end sub-rede-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Criar a sonda de estado de funcionamento

Uma investigação de integridade verifica todas as instâncias da máquina virtual para garantir que elas possam enviar tráfego de rede.

Uma máquina virtual com uma verificação de teste com falha é removida do balanceador de carga. A máquina virtual é adicionada novamente ao balanceador de carga quando a falha é resolvida.

Criar uma sonda de integridade com az network lb probe criar:

  • Monitora a integridade das máquinas virtuais.

  • Denominada sonda de saúde.

  • Protocolo TCP.

  • Monitorização da Porta 80.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Criar a regra de balanceador de carga

Uma regra de balanceador de carga define:

  • Configuração de IP frontend para o tráfego de entrada.

  • O pool de IP de back-end para receber o tráfego.

  • A porta de origem e de destino necessária.

Criar uma regra de balanceador de carga com a regra az network lb criar:

  • Regra http nomeada

  • Escutando na porta 80 no frontend do pool frontend.

  • Envio de tráfego de rede com balanceamento de carga para o pool de back-end do pool de endereços de back-end usando a Porta 80.

  • Usando sonda de saúde sonda de saúde.

  • Protocolo TCP.

  • Tempo limite de inatividade de 15 minutos.

  • Habilite a redefinição de TCP.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Desativar a política de rede

Antes que um serviço de link privado possa ser criado na rede virtual, a configuração privateLinkServiceNetworkPolicies deve ser desabilitada.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

Nesta seção, crie um serviço de link privado que use o Balanceador de Carga do Azure criado na etapa anterior.

Crie um serviço de link privado usando uma configuração IP frontend de balanceador de carga padrão com az network private-link-service crie:

  • Denominado private-link-service.

  • Na rede virtual vnet-1.

  • Associado ao balanceador de carga padrão e frontend de configuração de frontend.

  • Na localização eastus2.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Seu serviço de link privado é criado e pode receber tráfego. Se você quiser ver fluxos de tráfego, configure seu aplicativo atrás do balanceador de carga padrão.

Criar ponto de extremidade privado

Nesta seção, você mapeia o serviço de link privado para um ponto de extremidade privado. Uma rede virtual contém o ponto de extremidade privado para o serviço de link privado. Esta rede virtual contém os recursos que acedem ao seu serviço de ligação privada.

Criar rede virtual de ponto de extremidade privada

Crie uma rede virtual usando az network vnet create:

  • Chamado vnet-pe.

  • Prefixo de endereço de 10.1.0.0/16.

  • Sub-rede denominada subnet-pe.

  • Prefixo de sub-rede de 10.1.0.0/24.

  • No grupo de recursos test-rg.

  • Localização do eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Criar ponto de extremidade e conexão

  • Use az network private-link-service show para obter a ID do recurso do serviço de link privado. O comando coloca o ID do recurso em uma variável para uso posterior.

  • Use az network private-endpoint create para criar o ponto de extremidade privado na rede virtual que você criou anteriormente.

  • Ponto de extremidade privado nomeado.

  • No grupo de recursos test-rg.

  • Nome da conexão connection-1.

  • Localização do eastus2.

  • Na rede virtual vnet-pe e sub-rede subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe

Clean up resources (Limpar recursos)

Quando não for mais necessário, use o comando az group delete para remover o grupo de recursos, o serviço de link privado, o balanceador de carga e todos os recursos relacionados.

az group delete \
    --name test-rg

Próximos passos

Neste início rápido, irá:

  • Criou uma rede virtual e um Balanceador de Carga do Azure interno.

  • Criou um serviço de link privado

Para saber mais sobre o ponto de extremidade privado do Azure, continue:

Guia de início rápido: criar um ponto de extremidade privado usando a CLI do Azure