Краткое руководство. Создание частной конечной точки с помощью Azure CLI
Чтобы начать работу с Приватным каналом Azure, воспользуйтесь частной конечной точкой для безопасного подключения к веб-приложению Azure.
Из этого краткого руководства вы узнаете, как создать частную конечную точку для веб-приложения Azure, а затем создать и развернуть виртуальную машину для тестирования частного подключения.
Вы можете создавать частные конечные точки для различных служб Azure, таких как Azure SQL и служба хранилища Azure.
Предварительные требования
Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи Azure, создайте ее бесплатно.
Чтобы убедиться, что подписка активна, войдите на портал Azure и проверьте текущую версию, выполнив команду
az login
.Веб-приложение Azure с уровнем Премиум версии 2 и выше или с планом Службы приложений, развернутое в подписке Azure.
Дополнительные сведения и пример см. в статье кратком руководстве по созданию веб-приложения ASP.NET Core в Azure.
Веб-приложение, пример которого используется в этой статье, называется myWebApp1979. Замените его именем своего веб-приложения.
Установленная последняя версия Azure CLI.
Проверьте версию Azure CLI в терминале или в командном окне, выполнив команду
az --version
. Сведения о последней версии можно найти в свежих заметках о выпуске.Если вы используете не самую последнюю версию Azure CLI, обновите ее с помощью руководства по установке для используемой ОС или платформы.
Создание группы ресурсов
Группа ресурсов Azure — это логический контейнер, в котором выполняется развертывание ресурсов Azure и управление ими.
Для начала создайте группу ресурсов, используя команду az group create:
az group create \
--name CreatePrivateEndpointQS-rg \
--location eastus
Создание виртуальной сети и узла бастиона
Виртуальная сеть и подсеть необходимы для размещения частного IP-адреса для частной конечной точки. Вы создадите узел-бастион для безопасного подключения к виртуальной машине, чтобы протестировать частную конечную точку. Вы создадите виртуальную машину в одном из следующих разделов.
Создайте виртуальную сеть с помощью команды az network vnet create.
az network vnet create \
--resource-group CreatePrivateEndpointQS-rg \
--location eastus \
--name myVNet \
--address-prefixes 10.0.0.0/16 \
--subnet-name myBackendSubnet \
--subnet-prefixes 10.0.0.0/24
Создайте подсеть бастиона, используя команду az network vnet subnet create.
az network vnet subnet create \
--resource-group CreatePrivateEndpointQS-rg \
--name AzureBastionSubnet \
--vnet-name myVNet \
--address-prefixes 10.0.1.0/27
Создайте общедоступный IP-адрес для узла-бастиона с помощью команды az network public-ip create.
az network public-ip create \
--resource-group CreatePrivateEndpointQS-rg \
--name myBastionIP \
--sku Standard \
--zone 1 2 3
Создайте узел-бастиона, используя команду az network bastion create.
az network bastion create \
--resource-group CreatePrivateEndpointQS-rg \
--name myBastionHost \
--public-ip-address myBastionIP \
--vnet-name myVNet \
--location eastus
Развертывание узла-бастиона может занять несколько минут.
Создание частной конечной точки
Служба Azure, поддерживающая частные конечные точки, необходима для настройки частной конечной точки и подключения к виртуальной сети. В примерах, приведенных в этой статье, вы будете использовать веб-приложение Azure из числа необходимых компонентов. Дополнительные сведения о службах Azure, поддерживающих частную конечную точку, см. в статье Доступность Приватного канала Azure.
Частная конечная точка может иметь статически или динамически назначаемый IP-адрес.
Важно!
Для выполнения действий, описанных в этой статье, требуется ранее развернутое веб-приложение Azure. Дополнительные сведения см. в разделе Предварительные требования.
Сохраните идентификатор ресурса созданного ранее веб-приложения в переменную оболочки с помощью команды az webapp list. Создайте частную конечную точку с помощью команды az network private-endpoint create.
id=$(az webapp list \
--resource-group CreatePrivateEndpointQS-rg \
--query '[].[id]' \
--output tsv)
az network private-endpoint create \
--connection-name myConnection
--name myPrivateEndpoint \
--private-connection-resource-id $id \
--resource-group CreatePrivateEndpointQS-rg \
--subnet myBackendSubnet \
--group-id sites \
--vnet-name myVNet
Настройка частной зоны DNS
Частная зона DNS используется для разрешения DNS-имени частной конечной точки в виртуальной сети. В этом примере мы используем информацию о DNS для веб-приложения Azure. Дополнительные сведения о конфигурации DNS частных конечных точек см. в статье Конфигурация DNS частной конечной точки Azure.
Создайте частную зону Azure DNS с помощью команды az network private-dns zone create.
az network private-dns zone create \
--resource-group CreatePrivateEndpointQS-rg \
--name "privatelink.azurewebsites.net"
Свяжете зону DNS с ранее созданной виртуальной сетью с помощью команды az network private-dns link vnet create.
az network private-dns link vnet create \
--resource-group CreatePrivateEndpointQS-rg \
--zone-name "privatelink.azurewebsites.net" \
--name MyDNSLink \
--virtual-network myVNet \
--registration-enabled false
Создайте группу зон DNS с помощью команды az network private-endpoint dns-zone-group create:
az network private-endpoint dns-zone-group create \
--resource-group CreatePrivateEndpointQS-rg \
--endpoint-name myPrivateEndpoint \
--name MyZoneGroup \
--private-dns-zone "privatelink.azurewebsites.net" \
--zone-name webapp
Создание тестовой виртуальной машины
Чтобы проверить статический IP-адрес и функциональные возможности частной конечной точки, требуется тестовая виртуальная машина, подключенная к виртуальной сети.
Создайте виртуальную машину с помощью команды az vm create:
az vm create \
--resource-group CreatePrivateEndpointQS-rg \
--name myVM \
--image Win2019Datacenter \
--public-ip-address "" \
--vnet-name myVNet \
--subnet myBackendSubnet \
--admin-username azureuser
Примечание
Azure предоставляет IP-адрес исходящего трафика по умолчанию для виртуальных машин, которым не назначен общедоступный IP-адрес или которые находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure ценовой категории "Базовый". Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.
IP-адрес исходящего доступа по умолчанию отключается, если виртуальной машине назначен общедоступный IP-адрес, виртуальная машина помещается во внутренний пул подсистемы балансировки нагрузки уровня "Стандартный" с правилами для исходящего трафика или без него, или если ресурс шлюза NAT Azure виртуальная сеть назначен подсети виртуальной машины.
На виртуальных машинах, созданных с помощью масштабируемых наборов виртуальных машин в режиме гибкой оркестрации, исходящий доступ по умолчанию не предоставляется.
Дополнительные сведения об исходящих подключениях в Azure см. в разделах Исходящий доступ по умолчанию в Azure и Использование преобразования исходных сетевых адресов (SNAT) для исходящих подключений.
Проверка подключения к частной конечной точке
Используйте виртуальную машину, созданную на предыдущем шаге, для подключения к веб-приложению через частную конечную точку.
Войдите на портал Azure.
В поле поиска в верхней части портала введите Виртуальная машина. Выберите Виртуальные машины.
Выберите myVM.
На обзорной странице для myVM выберите Подключиться, а затем — Бастион.
Введите имя пользователя и пароль, которые вы применяли при создании виртуальной машины. Выберите Подключиться.
После подключения откройте PowerShell на сервере.
Введите
nslookup mywebapp1979.azurewebsites.net
. Замените mywebapp1979 именем созданного ранее веб-приложения. Должно появиться сообщение следующего вида:Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: mywebapp1979.privatelink.azurewebsites.net Address: 10.0.0.10 Aliases: mywebapp1979.azurewebsites.net
Во время подключения бастиона к myVM откройте веб-браузер.
Введите URL-адрес веб-приложения:
https://mywebapp1979.azurewebsites.net
.Если веб-приложение не развернуто, откроется следующая страница веб-приложения по умолчанию:
Закройте подключение к myVM.
Очистка ресурсов
Вы можете удалить ненужную группу ресурсов, службу "Приватный канал", подсистему балансировки нагрузки и все связанные с ней ресурсы, выполнив команду az group delete.
az group delete \
--name CreatePrivateEndpointQS-rg
Дальнейшие действия
Дополнительные сведения о службах, поддерживающих частную конечную точку, см. в следующей статье: