Краткое руководство. Создание частной конечной точки с помощью Azure CLI

Чтобы начать работу с Приватным каналом Azure, воспользуйтесь частной конечной точкой для безопасного подключения к веб-приложению Azure.

Из этого краткого руководства вы узнаете, как создать частную конечную точку для веб-приложения Azure, а затем создать и развернуть виртуальную машину для тестирования частного подключения.

Вы можете создавать частные конечные точки для различных служб Azure, таких как Azure SQL и служба хранилища Azure.

Предварительные требования

  • Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи Azure, создайте ее бесплатно.

    Чтобы убедиться, что подписка активна, войдите на портал Azure и проверьте текущую версию, выполнив команду az login.

  • Веб-приложение Azure с уровнем Премиум версии 2 и выше или с планом Службы приложений, развернутое в подписке Azure.

  • Установленная последняя версия Azure CLI.

    Проверьте версию Azure CLI в терминале или в командном окне, выполнив команду az --version. Сведения о последней версии можно найти в свежих заметках о выпуске.

    Если вы используете не самую последнюю версию Azure CLI, обновите ее с помощью руководства по установке для используемой ОС или платформы.

Создание группы ресурсов

Группа ресурсов Azure — это логический контейнер, в котором выполняется развертывание ресурсов Azure и управление ими.

Для начала создайте группу ресурсов, используя команду az group create:

az group create \
    --name CreatePrivateEndpointQS-rg \
    --location eastus

Создание виртуальной сети и узла бастиона

Виртуальная сеть и подсеть необходимы для размещения частного IP-адреса для частной конечной точки. Вы создадите узел-бастион для безопасного подключения к виртуальной машине, чтобы протестировать частную конечную точку. Вы создадите виртуальную машину в одном из следующих разделов.

Создайте виртуальную сеть с помощью команды az network vnet create.

az network vnet create \
    --resource-group CreatePrivateEndpointQS-rg \
    --location eastus \
    --name myVNet \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name myBackendSubnet \
    --subnet-prefixes 10.0.0.0/24

Создайте подсеть бастиона, используя команду az network vnet subnet create.

az network vnet subnet create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name AzureBastionSubnet \
    --vnet-name myVNet \
    --address-prefixes 10.0.1.0/27

Создайте общедоступный IP-адрес для узла-бастиона с помощью команды az network public-ip create.

az network public-ip create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name myBastionIP \
    --sku Standard \
    --zone 1 2 3

Создайте узел-бастиона, используя команду az network bastion create.

az network bastion create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name myBastionHost \
    --public-ip-address myBastionIP \
    --vnet-name myVNet \
    --location eastus

Развертывание узла-бастиона может занять несколько минут.

Создание частной конечной точки

Служба Azure, поддерживающая частные конечные точки, необходима для настройки частной конечной точки и подключения к виртуальной сети. В примерах, приведенных в этой статье, вы будете использовать веб-приложение Azure из числа необходимых компонентов. Дополнительные сведения о службах Azure, поддерживающих частную конечную точку, см. в статье Доступность Приватного канала Azure.

Частная конечная точка может иметь статически или динамически назначаемый IP-адрес.

Важно!

Для выполнения действий, описанных в этой статье, требуется ранее развернутое веб-приложение Azure. Дополнительные сведения см. в разделе Предварительные требования.

Сохраните идентификатор ресурса созданного ранее веб-приложения в переменную оболочки с помощью команды az webapp list. Создайте частную конечную точку с помощью команды az network private-endpoint create.

id=$(az webapp list \
    --resource-group CreatePrivateEndpointQS-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group CreatePrivateEndpointQS-rg \
    --subnet myBackendSubnet \
    --group-id sites \
    --vnet-name myVNet    

Настройка частной зоны DNS

Частная зона DNS используется для разрешения DNS-имени частной конечной точки в виртуальной сети. В этом примере мы используем информацию о DNS для веб-приложения Azure. Дополнительные сведения о конфигурации DNS частных конечных точек см. в статье Конфигурация DNS частной конечной точки Azure.

Создайте частную зону Azure DNS с помощью команды az network private-dns zone create.

az network private-dns zone create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name "privatelink.azurewebsites.net"

Свяжете зону DNS с ранее созданной виртуальной сетью с помощью команды az network private-dns link vnet create.

az network private-dns link vnet create \
    --resource-group CreatePrivateEndpointQS-rg \
    --zone-name "privatelink.azurewebsites.net" \
    --name MyDNSLink \
    --virtual-network myVNet \
    --registration-enabled false

Создайте группу зон DNS с помощью команды az network private-endpoint dns-zone-group create:

az network private-endpoint dns-zone-group create \
    --resource-group CreatePrivateEndpointQS-rg \
    --endpoint-name myPrivateEndpoint \
    --name MyZoneGroup \
    --private-dns-zone "privatelink.azurewebsites.net" \
    --zone-name webapp

Создание тестовой виртуальной машины

Чтобы проверить статический IP-адрес и функциональные возможности частной конечной точки, требуется тестовая виртуальная машина, подключенная к виртуальной сети.

Создайте виртуальную машину с помощью команды az vm create:

az vm create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name myVM \
    --image Win2019Datacenter \
    --public-ip-address "" \
    --vnet-name myVNet \
    --subnet myBackendSubnet \
    --admin-username azureuser

Примечание

Azure предоставляет IP-адрес исходящего трафика по умолчанию для виртуальных машин, которым не назначен общедоступный IP-адрес или которые находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure ценовой категории "Базовый". Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключается, если виртуальной машине назначен общедоступный IP-адрес, виртуальная машина помещается во внутренний пул подсистемы балансировки нагрузки уровня "Стандартный" с правилами для исходящего трафика или без него, или если ресурс шлюза NAT Azure виртуальная сеть назначен подсети виртуальной машины.

На виртуальных машинах, созданных с помощью масштабируемых наборов виртуальных машин в режиме гибкой оркестрации, исходящий доступ по умолчанию не предоставляется.

Дополнительные сведения об исходящих подключениях в Azure см. в разделах Исходящий доступ по умолчанию в Azure и Использование преобразования исходных сетевых адресов (SNAT) для исходящих подключений.

Проверка подключения к частной конечной точке

Используйте виртуальную машину, созданную на предыдущем шаге, для подключения к веб-приложению через частную конечную точку.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите Виртуальная машина. Выберите Виртуальные машины.

  3. Выберите myVM.

  4. На обзорной странице для myVM выберите Подключиться, а затем — Бастион.

  5. Введите имя пользователя и пароль, которые вы применяли при создании виртуальной машины. Выберите Подключиться.

  6. После подключения откройте PowerShell на сервере.

  7. Введите nslookup mywebapp1979.azurewebsites.net. Замените mywebapp1979 именем созданного ранее веб-приложения. Должно появиться сообщение следующего вида:

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    mywebapp1979.privatelink.azurewebsites.net
    Address:  10.0.0.10
    Aliases:  mywebapp1979.azurewebsites.net
    
  8. Во время подключения бастиона к myVM откройте веб-браузер.

  9. Введите URL-адрес веб-приложения: https://mywebapp1979.azurewebsites.net.

    Если веб-приложение не развернуто, откроется следующая страница веб-приложения по умолчанию:

    Снимок экрана: страница веб-приложения по умолчанию в браузере.

  10. Закройте подключение к myVM.

Очистка ресурсов

Вы можете удалить ненужную группу ресурсов, службу "Приватный канал", подсистему балансировки нагрузки и все связанные с ней ресурсы, выполнив команду az group delete.

  az group delete \
    --name CreatePrivateEndpointQS-rg

Дальнейшие действия

Дополнительные сведения о службах, поддерживающих частную конечную точку, см. в следующей статье: