Dela via

Använda Private Link (förhandsversion)

  • Artikel

I den här artikeln beskrivs hur du använder Private Link för att begränsa åtkomsten till att hantera resurser i dina prenumerationer. Med privata länkar kan du komma åt Azure-tjänster via en privat slutpunkt i ditt virtuella nätverk. Detta förhindrar att tjänsten exponeras för det offentliga Internet.

I den här artikeln beskrivs konfigurationsprocessen för Private Link med hjälp av Azure-portalen.

Viktigt!

Du kan aktivera den här funktionen på nivåer mot en extra avgift.

Kommentar

Möjligheten att använda privata länkar med Azure Notification Hubs är för närvarande i förhandsversion. Om du är intresserad av att använda den här funktionen kan du kontakta din kundframgångsansvarig på Microsoft eller skapa ett Azure-supportärende.

Skapa en privat slutpunkt tillsammans med en ny meddelandehubb i portalen

Följande procedur skapar en privat slutpunkt tillsammans med en ny meddelandehubb med hjälp av Azure-portalen:

  1. Skapa en ny meddelandehubb och välj fliken Nätverk .

  2. Välj Privat åtkomst och välj sedan Skapa.

    Screenshot of notification hub creation page on portal showing private link option.

  3. Fyll i prenumerationen, resursgruppen, platsen och ett namn på den nya privata slutpunkten. Välj ett virtuellt nätverk och ett undernät. I Integrera med Privat DNS Zone väljer du Ja och skriver privatelink.notificationhubs.windows.net i rutan Privat DNS Zone.

    Screenshot of notification hub private endpoint creation page.

  4. Välj OK för att se bekräftelse av att namnrymden och hubben har skapats med en privat slutpunkt.

  5. Välj Skapa för att skapa meddelandehubben med en privat slutpunktsanslutning.

    Screenshot of notification hub private endpoint confirmation page.

Skapa en privat slutpunkt för en befintlig meddelandehubb i portalen

  1. I portalen går du till vänster under avsnittet Säkerhet + nätverk , väljer Notification Hubs och sedan Nätverk.

  2. Välj fliken Privat åtkomst .

    Screenshot of private access tab.

  3. Fyll i prenumerationen, resursgruppen, platsen och ett namn på den nya privata slutpunkten. Välj ett virtuellt nätverk och undernät. Välj Skapa.

    Screenshot of private link creation properties.

Skapa en privat slutpunkt med CLI

  1. Logga in på Azure CLI och ange en prenumeration:

    az login
az account set --subscription <azure_subscription_id>

  2. Skapa en ny resursgrupp:

    az group create -n <resource_group_name> -l <azure_region>

  3. Registrera Microsoft.NotificationHubs som leverantör:

    az provider register -n Microsoft.NotificationHubs

  4. Skapa en ny Notification Hubs-namnrymd och hubb:

    az notification-hub namespace create 
     --name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>
     --sku "Standard"

 az notification-hub create 
     --name <notification_hub_name>
     --namespace-name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>

  5. Skapa ett virtuellt nätverk med ett undernät:

    az network vnet create
     --resource-group <resource_group_name>
     --name <vNet name>
     --location <azure_region>

az network vnet subnet create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --name <subnet_name>
     --address-prefixes <address_prefix>

  6. Inaktivera principer för virtuella nätverk:

    az network vnet subnet update
     --name <subnet_name>
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --disable-private-endpoint-network-policies true

  7. Lägg till privata DNS-zoner och länka dem till ett virtuellt nätverk:

    az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.servicebus.windows.net

az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.notoficationhub.windows.net

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.servicebus.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.notificationhub.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

  8. Skapa en privat slutpunkt (godkänns automatiskt):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>  
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace 
     --connection-name <private_link_connection_name>
     --location <azure-region>

  9. Skapa en privat slutpunkt (med manuellt godkännande av begäran):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vnet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace
     --connection-name <private_link_connection_name>
     --location <azure-region>
     --manual-request

  10. Visa anslutningsstatus:

    az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>

Hantera privata slutpunkter med hjälp av portalen

När du skapar en privat slutpunkt måste anslutningen godkännas. Om resursen som du skapar en privat slutpunkt för finns i din katalog kan du godkänna anslutningsbegäran, förutsatt att du har tillräcklig behörighet. Om du ansluter till en Azure-resurs i en annan katalog måste du vänta tills resursens ägare har godkänt anslutningsbegäran.

Det finns fyra etableringstillstånd:

Tjänståtgärd Tjänstkonsumentens privata slutpunktstillstånd Description
None Väntande Anslut ion skapas manuellt och väntar på godkännande från resursägaren för den privata länken.
Godkänn Godkänd Anslut ion godkändes automatiskt eller manuellt och är redo att användas.
Avvisa Avvisat Anslut ion avvisades av resursägaren för den privata länken.
Ta bort Frånkopplad Anslut ion har tagits bort av resursägaren för den privata länken. Den privata slutpunkten blir informativ och bör tas bort för rensning.

Godkänna, avvisa eller ta bort en privat slutpunktsanslutning

  1. Logga in på Azure-portalen.
  2. I sökfältet skriver du Notification Hubs.
  3. Välj det namnområde som du vill hantera.
  4. Välj fliken Nätverk.
  5. Gå till lämpligt avsnitt baserat på den åtgärd som du vill godkänna, avvisa eller ta bort.

Godkänna en privat slutpunktsanslutning

  1. Om det finns några väntande anslutningar visas en anslutning med Väntande i etableringstillståndet.

  2. Välj den privata slutpunkt som du vill godkänna.

  3. Välj godkänn.

    Screenshot showing Networking tab ready for approval.

  4. På sidan Godkänn anslutning anger du en valfri kommentar och väljer sedan Ja. Om du väljer Nej händer ingenting.

    Screenshot showing approve connection page.

  5. Du bör se status för anslutningen i listan ändras till Godkänd.

Avvisa en privat slutpunktsanslutning

  1. Om det finns några privata slutpunktsanslutningar som du vill avvisa, oavsett om det är en väntande begäran eller en befintlig anslutning som godkändes tidigare, väljer du ikonen för slutpunktsanslutning och väljer Avvisa.

    Screenshot showing reject connection option.

  2. På sidan Avvisa anslutning anger du en valfri kommentar och väljer sedan Ja. Om du väljer Nej händer ingenting.

  3. Du bör se status för anslutningen i listan ändras till Avvisad.

Ta bort en privat slutpunktsanslutning

  1. Om du vill ta bort en privat slutpunktsanslutning markerar du den i listan och väljer Ta bort i verktygsfältet:

    Screenshot showing remove connection page.

  2. På sidan Ta bort anslutning väljer du Ja för att bekräfta borttagningen av den privata slutpunkten. Om du väljer Nej händer ingenting.

  3. Du bör se status för anslutningen i listan ändras till Frånkopplad. Slutpunkten försvinner sedan från listan.

Du bör kontrollera att resurser i det virtuella nätverket för den privata slutpunkten ansluter till ditt Notification Hubs-namnområde via en privat IP-adress och att de har rätt privat DNS-zonintegrering.

Skapa först en virtuell dator genom att följa stegen i Skapa en virtuell Windows-dator i Azure-portalen.

På fliken Nätverk :

  1. Ange det virtuella nätverket och undernätet. Du måste välja det virtuella nätverk där du distribuerade den privata slutpunkten.
  2. Ange en offentlig IP-resurs .
  3. För nätverkssäkerhetsgrupp för nätverkskort väljer du Ingen.
  4. För Belastningsutjämning väljer du Nej.

Anslut till den virtuella datorn öppnar du en kommandorad och kör följande kommando:

Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net

När kommandot körs från den virtuella datorn returneras IP-adressen för den privata slutpunktsanslutningen. När den körs från ett externt nätverk returneras den offentliga IP-adressen för ett av Notification Hubs-klustren.

Begränsningar och designöverväganden

Begränsningar: Den här funktionen är tillgänglig i alla offentliga Azure-regioner. Maximalt antal privata slutpunkter per Notification Hubs-namnområde: 200

Mer information finns i Azure Private Link-tjänsten: Begränsningar.

Nästa steg