Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы начать работу с Приватным каналом Azure, создайте частную конечную точку и воспользуйтесь ею для безопасного подключения к веб-приложению Azure.
В этом кратком руководстве создайте частную конечную точку для веб-приложения служб Azure, а затем создайте и разверните виртуальную машину для тестирования частного подключения.
Вы можете создавать частные конечные точки для различных служб Azure, таких как Azure SQL и служба хранилища Azure.
Предварительные требования
Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи Azure, создайте ее бесплатно.
Веб-приложение Azure с тарифным планом уровня PremiumV2 или более высокого уровня для службы приложений, развернутое в вашей подписке Azure.
Дополнительные сведения и пример см. в Краткое руководство: Создание веб-приложения ASP.NET Core в Azure.
Пример веб-приложения в этой статье называется webapp-1. Замените его именем своего веб-приложения.
Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. краткое руководство по Bash в Azure Cloud Shell.
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.
Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.
Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.
Создать группу ресурсов
Группа ресурсов Azure — это логический контейнер, в котором выполняется развертывание ресурсов Azure и управление ими.
Для начала создайте группу ресурсов, используя команду az group create:
az group create \
--name test-rg \
--location eastus2
Create a virtual network and bastion host
Виртуальная сеть и подсеть необходимы для размещения частного IP-адреса для частной конечной точки. You create a bastion host to connect securely to the virtual machine to test the private endpoint. Вы создадите виртуальную машину в следующем разделе.
Примечание.
Hourly pricing starts from the moment that Bastion is deployed, regardless of outbound data usage. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.
Создайте виртуальную сеть с помощью команды az network vnet create.
az network vnet create \
--resource-group test-rg \
--location eastus2 \
--name vnet-1 \
--address-prefixes 10.0.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.0.0.0/24
Создайте подсеть бастиона, используя команду az network vnet subnet create.
az network vnet subnet create \
--resource-group test-rg \
--name AzureBastionSubnet \
--vnet-name vnet-1 \
--address-prefixes 10.0.1.0/26
Создайте общедоступный IP-адрес для узла-бастиона с помощью команды az network public-ip create.
az network public-ip create \
--resource-group test-rg \
--name public-ip \
--sku Standard \
--zone 1 2 3
Create the bastion host with az network bastion create.
az network bastion create \
--resource-group test-rg \
--name bastion \
--public-ip-address public-ip \
--vnet-name vnet-1 \
--location eastus2
Развертывание узла Azure Bastion может занять несколько минут.
Создание частной конечной точки
Служба Azure, поддерживающая частные конечные точки, необходима для настройки частной конечной точки и подключения к виртуальной сети. Для примеров в этой статье используйте Azure WebApp из списка предварительных требований. Дополнительные сведения о службах Azure, поддерживающих частную конечную точку, см. в статье Доступность Приватного канала Azure.
Частная конечная точка может иметь статически или динамически назначаемый IP-адрес.
Внимание
Для выполнения шагов, описанных в этой статье, необходимо иметь веб-приложение Azure App Services, развернутое ранее. Дополнительные сведения см. в разделе Необходимые условия.
Поместите идентификатор ресурса ранее созданного веб-приложения в переменную оболочки с помощью команды az webapp list. Создайте частную конечную точку с помощью команды az network private-endpoint create.
id=$(az webapp list \
--resource-group test-rg \
--query '[].[id]' \
--output tsv)
az network private-endpoint create \
--connection-name connection-1 \
--name private-endpoint \
--private-connection-resource-id $id \
--resource-group test-rg \
--subnet subnet-1 \
--group-id sites \
--vnet-name vnet-1
Настройка частной зоны DNS
Частная зона DNS используется для разрешения DNS-имени частной конечной точки в виртуальной сети. В этом примере мы используем данные DNS для веб-приложения Azure. Чтобы получить дополнительные сведения о конфигурации DNS частных конечных точек, см. Конфигурация DNS частных конечных точек Azure.
Создайте частную зону Azure DNS с помощью команды az network private-dns zone create.
az network private-dns zone create \
--resource-group test-rg \
--name "privatelink.azurewebsites.net"
Свяжете зону DNS с ранее созданной виртуальной сетью с помощью команды az network private-dns link vnet create.
az network private-dns link vnet create \
--resource-group test-rg \
--zone-name "privatelink.azurewebsites.net" \
--name dns-link \
--virtual-network vnet-1 \
--registration-enabled false
Создайте группу зон DNS с помощью команды az network private-endpoint dns-zone-group create:
az network private-endpoint dns-zone-group create \
--resource-group test-rg \
--endpoint-name private-endpoint \
--name zone-group \
--private-dns-zone "privatelink.azurewebsites.net" \
--zone-name webapp
Создание тестовой виртуальной машины
Чтобы проверить статический IP-адрес и функциональные возможности частной конечной точки, требуется тестовая виртуальная машина, подключенная к виртуальной сети.
Создайте виртуальную машину с помощью команды az vm create:
az vm create \
--resource-group test-rg \
--name vm-1 \
--image Win2022Datacenter \
--public-ip-address "" \
--vnet-name vnet-1 \
--subnet subnet-1 \
--admin-username azureuser
Примечание.
Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.
Примечание.
Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.
IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:
- Общедоступный IP-адрес назначается виртуальной машине.
- Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
- Ресурс NAT-шлюза Azure назначается на подсеть этой виртуальной машины.
Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.
Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.
Проверка подключения к частной конечной точке
Используйте виртуальную машину, созданную ранее, для подключения к веб-приложению через частную конечную точку.
В поле поиска в верхней части портала введите Виртуальная машина. Выберите Виртуальные машины.
Выберите vm-1.
На странице обзора для vm-1 выберите "Подключиться" и перейдите на вкладку Бастион .
Select Use Bastion.
Введите имя пользователя и пароль, которые вы применяли при создании виртуальной машины.
Нажмите Подключиться.
После подключения откройте PowerShell на сервере.
Введите
nslookup webapp-1.azurewebsites.net. Вы получите сообщение, аналогичное следующему примеру:Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: webapp-1.privatelink.azurewebsites.net Address: 10.0.0.10 Aliases: webapp-1.azurewebsites.netЧастный IP-адрес 10.0.0.10 возвращается для имени веб-приложения, если вы выбрали статический IP-адрес на предыдущих шагах. Этот адрес находится в подсети виртуальной сети, созданной ранее.
In the bastion connection to vm-1, open the web browser.
Введите URL-адрес веб-приложения:
https://webapp-1.azurewebsites.net.Если веб-приложение не было развернуто, вы получите следующую страницу веб-приложения по умолчанию:
Закройте подключение к vm-1.
Очистка ресурсов
Вы можете удалить ненужную группу ресурсов, службу "Приватный канал", подсистему балансировки нагрузки и все связанные с ней ресурсы, выполнив команду az group delete.
az group delete \
--name test-rg
Следующие шаги
Дополнительные сведения о службах, поддерживающих частную конечную точку, см. в следующей статье: