Snabbstart: Skapa en privat slutpunkt med Azure PowerShell

Kom igång med Azure Private Link med hjälp av en privat slutpunkt för att ansluta säkert till Azure Attestation.

I den här snabbstarten skapar du en privat slutpunkt för Azure Attestation och distribuerar en virtuell dator för att testa den privata anslutningen.

Anteckning

Den aktuella implementeringen innehåller endast alternativet för automatiskt godkännande. Prenumerationen måste läggas till i en lista över tillåtna för att kunna fortsätta med att skapa en privat slutpunkt. Kontakta tjänstteamet eller skicka en Azure Support begäran på sidan Azure Support innan du fortsätter med stegen nedan.

Förutsättningar

• Läs mer om Azure Private Link
• Konfigurera Azure Attestation med Azure PowerShell

Skapa en resursgrupp

En Azure-resursgrupp är en logisk container där Azure-resurser distribueras och hanteras.

Skapa en resursgrupp med New-AzResourceGroup:

## Create to your Azure account subscription and create a resource group in a desired location. ##
Connect-AzAccount
Set-AzSubscription "mySubscription"
$rg = "CreateAttestationPrivateLinkTutorial-rg"
$loc= "eastus"
New-AzResourceGroup -Name $rg -Location $loc

Skapa ett virtuellt nätverk och en skyddsvärd

I det här avsnittet skapar du ett virtuellt nätverk, undernät och en bastion-värd.

Bastion-värden används för att ansluta säkert till den virtuella datorn för att testa den privata slutpunkten.

Skapa ett virtuellt nätverk och en skyddsvärd med:

• New-AzVirtualNetwork
• New-AzPublicIpAddress
• New-AzBastion

## Create backend subnet config. ##
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name myBackendSubnet -AddressPrefix 10.0.0.0/24

## Create Azure Bastion subnet. ##
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig -Name AzureBastionSubnet -AddressPrefix 10.0.1.0/24

## Create the virtual network. ##
$vnet = New-AzVirtualNetwork -Name "myAttestationTutorialVNet" -ResourceGroupName $rg -Location $loc -AddressPrefix "10.0.0.0/16" -Subnet $subnetConfig, $bastsubnetConfig

## Create public IP address for bastion host. ##
$publicip = New-AzPublicIpAddress -Name "myBastionIP" -ResourceGroupName $rg -Location $loc -Sku "Standard" -AllocationMethod "Static"

## Create bastion host ##
New-AzBastion -ResourceGroupName $rg -Name "myBastion" -PublicIpAddress $publicip -VirtualNetwork $vnet

Det kan ta några minuter för Azure Bastion-värden att distribueras.

Skapa en virtuell testdator

I det här avsnittet skapar du en virtuell dator som ska användas för att testa den privata slutpunkten.

Skapa den virtuella datorn med:

• Get-Credential
• New-AzNetworkInterface
• New-AzVM
• New-AzVMConfig
• Set-AzVMOperatingSystem
• Set-AzVMSourceImage
• Add-AzVMNetworkInterface

## Set credentials for server admin and password. ##
$cred = Get-Credential

## Command to create network interface for VM ##
$nicVM = New-AzNetworkInterface -Name "myNicVM" -ResourceGroupName $rg -Location $loc -Subnet $vnet.Subnets[0] 

## Create a virtual machine configuration.##
$vmConfig = New-AzVMConfig -VMName "myVM" -VMSize "Standard_DS1_v2" | Set-AzVMOperatingSystem -Windows -ComputerName "myVM" -Credential $cred | Set-AzVMSourceImage -PublisherName "MicrosoftWindowsServer" -Offer "WindowsServer" -Skus "2019-Datacenter" -Version "latest" | Add-AzVMNetworkInterface -Id $nicVM.Id 

## Create the virtual machine ##
New-AzVM -ResourceGroupName $rg -Location $loc -VM $vmConfig

Skapa en attesteringsprovider

## Create an attestation provider ##
$attestationProviderName = "myattestationprovider"
$attestationProvider = New-AzAttestation -Name $attestationProviderName -ResourceGroupName $rg -Location $loc
$attestationProviderId = $attestationProvider.Id

Få åtkomst till attesteringsprovidern från den lokala datorn

Ange nslookup <provider-name>.attest.azure.net. Ersätt <provider-name> med namnet på den attesteringsproviderinstans som du skapade i föregående steg.

## Access the attestation provider from local machine ##
nslookup myattestationprovider.eus.attest.azure.net

<# You'll receive a message similar to what is displayed below:

Server:  cdns01.comcast.net
Address:  2001:558:feed::1

Non-authoritative answer:
Name:    eus.service.attest.azure.net
Address:  20.62.219.160
Aliases:  myattestationprovider.eus.attest.azure.net
	attesteusatm.trafficmanager.net

#>

Skapa privat slutpunkt

I det här avsnittet skapar du den privata slutpunkten och anslutningen med hjälp av:

• New-AzPrivateLinkServiceConnection
• New-AzPrivateEndpoint

## Create private endpoint connection. ##
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnection" -PrivateLinkServiceId $attestationProviderId -GroupID "Standard"

## Disable private endpoint network policy ##
$vnet.Subnets[0].PrivateEndpointNetworkPolicies = "Disabled" 
$vnet | Set-AzVirtualNetwork

## Create private endpoint
New-AzPrivateEndpoint  -ResourceGroupName $rg -Name "myPrivateEndpoint" -Location $loc -Subnet $vnet.Subnets[0] -PrivateLinkServiceConnection $privateEndpointConnection

Konfigurera den privata DNS-zonen

I det här avsnittet skapar och konfigurerar du den privata DNS-zonen med hjälp av:

• New-AzPrivateDnsZone
• New-AzPrivateDnsVirtualNetworkLink
• New-AzPrivateDnsZoneConfig
• New-AzPrivateDnsZoneGroup

## Create private dns zone. ##
$zone = New-AzPrivateDnsZone -ResourceGroupName $rg -Name "privatelink.attest.azure.net"

## Create dns network link. ##
$link = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rg -ZoneName "privatelink.attest.azure.net" -Name "myLink" -VirtualNetworkId $vnet.Id

## Create DNS configuration ##
$config = New-AzPrivateDnsZoneConfig -Name "privatelink.attest.azure.net" -PrivateDnsZoneId $zone.ResourceId

## Create DNS zone group. ##
New-AzPrivateDnsZoneGroup -ResourceGroupName $rg -PrivateEndpointName "myPrivateEndpoint" -Name "myZoneGroup" -PrivateDnsZoneConfig $config

Testa anslutningen till den privata slutpunkten

I det här avsnittet använder du den virtuella dator som du skapade i föregående steg för att ansluta till SQL-servern över den privata slutpunkten.

1. Logga in på Azure-portalen.

2. Välj Resursgrupper i det vänstra navigeringsfönstret.

3. Välj CreateAttestationPrivateLinkTutorial-rg.

4. Välj myVM.

5. På översiktssidan för myVM väljer du Anslut och sedan Bastion.

6. Välj den blå knappen Använd Bastion .

7. Ange användarnamnet och lösenordet som du angav när den virtuella datorn skapades.

8. Öppna Windows PowerShell på servern när du har anslutit.

9. Ange nslookup <provider-name>.attest.azure.net. Ersätt <provider-name> med namnet på den attesteringsproviderinstans som du skapade i föregående steg:

   ## Access the attestation provider from local machine ##
   nslookup myattestationprovider.eus.attest.azure.net
   
   <# You'll receive a message similar to what is displayed below:
   
   Server:  cdns01.comcast.net
   Address:  2001:558:feed::1
       cdns01.comcast.net can't find myattestationprovider.eus.attest.azure.net: Non-existent domain
   
   #>
   
   ## Access the attestation provider from the VM created in the same virtual network as the private endpoint.   ##
   nslookup myattestationprovider.eus.attest.azure.net
   
   <# You'll receive a message similar to what is displayed below:
   
   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    myattestationprovider.eastus.test.attest.azure.net
   
   #>