Hızlı Başlangıç: Azure CLI kullanarak özel uç nokta oluşturma

Azure web uygulamasına güvenli bir şekilde bağlanmak için özel uç nokta oluşturup kullanarak Azure Özel Bağlantı kullanmaya başlayın.

Bu hızlı başlangıçta, Azure Uygulaması Services web uygulaması için özel bir uç nokta oluşturun ve ardından özel bağlantıyı test etmek için bir sanal makine (VM) oluşturup dağıtın.

Azure SQL ve Azure Depolama gibi çeşitli Azure hizmetleri için özel uç noktalar oluşturabilirsiniz.

Önkoşullar

• Etkin aboneliği olan bir Azure hesabı. Henüz bir Azure hesabınız yoksa ücretsiz olarak bir hesap oluşturun.

• Azure aboneliğinizde dağıtılan PremiumV2 katmanlı veya daha yüksek uygulama hizmeti planına sahip bir Azure web uygulaması.

  • Daha fazla bilgi ve örnek için bkz . Hızlı Başlangıç: Azure'da ASP.NET Core web uygulaması oluşturma.

  • Bu makaledeki örnek web uygulamasına webapp-1 adı verilmiştir. Örneği web uygulaması adınız ile değiştirin.

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

Kaynak grubu oluşturma

Azure kaynak grubu, Azure kaynaklarının dağıtıldığı ve yönetildiği mantıksal bir kapsayıcıdır.

İlk olarak az group create komutunu kullanarak bir kaynak grubu oluşturun:

az group create \
    --name test-rg \
    --location eastus2

Sanal ağ ve savunma konağı oluşturma

Özel uç noktanın özel IP adresini barındırmak için bir sanal ağ ve alt ağ gereklidir. Özel uç noktayı test etmek üzere sanal makineye güvenli bir şekilde bağlanmak için bir savunma konağı oluşturursunuz. Sanal makineyi sonraki bir bölümde oluşturacaksınız.

Not

Saatlik fiyatlandırma, giden veri kullanımına bakılmaksızın Bastion dağıtıldığından itibaren başlar. Daha fazla bilgi için bkz . Fiyatlandırma ve SKU'lar. Bastion'ı bir öğretici veya test kapsamında dağıtıyorsanız, kullanmayı bitirdikten sonra bu kaynağı silmenizi öneririz.

az network vnet create komutu ile bir sanal ağ oluşturun.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

az network vnet subnet create ile bir savunma alt ağı oluşturun.

az network vnet subnet create \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --vnet-name vnet-1 \
    --address-prefixes 10.0.1.0/26

az network public-ip create ile savunma konağı için bir genel IP adresi oluşturun.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip \
    --sku Standard \
    --zone 1 2 3

az network bastion create ile savunma konağını oluşturun.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --public-ip-address public-ip \
    --vnet-name vnet-1 \
    --location eastus2

Azure Bastion ana bilgisayarının dağıtılması birkaç dakika sürebilir.

Özel uç nokta oluşturma

Özel uç noktayı ve sanal ağa bağlantıyı ayarlamak için özel uç noktaları destekleyen bir Azure hizmeti gereklidir. Bu makaledeki örnekler için önkoşullardan Azure WebApp'i kullanın. Özel uç noktayı destekleyen Azure hizmetleri hakkında daha fazla bilgi için bkz. Azure Özel Bağlantı kullanılabilirlik.

Özel uç noktanın statik veya dinamik olarak atanmış bir IP adresi olabilir.

Önemli

Bu makaledeki adımlarla devam etmek için daha önce dağıtılmış bir Azure Uygulaması Services WebApp'iniz olmalıdır. Daha fazla bilgi için bkz. Önkoşullar.

Daha önce oluşturduğunuz web uygulamasının kaynak kimliğini az webapp list ile bir kabuk değişkenine yerleştirin. az network private-endpoint create ile özel uç nokta oluşturun.

Dinamik IP

id=$(az webapp list \
    --resource-group test-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $id \
    --resource-group test-rg \
    --subnet subnet-1 \
    --group-id sites \
    --vnet-name vnet-1    

Statik IP

id=$(az webapp list \
    --resource-group test-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $id \
    --resource-group test-rg \
    --subnet subnet-1 \
    --group-id sites \
    --ip-config name=ipconfig-1 group-id=sites member-name=sites private-ip-address=10.0.0.10 \
    --vnet-name vnet-1

Özel DNS bölgesini yapılandırma

Özel DNS bölgesi, sanal ağdaki özel uç noktanın DNS adını çözümlemek için kullanılır. Bu örnekte, Azure WebApp için DNS bilgilerini kullanıyoruz. Özel uç noktaların DNS yapılandırması hakkında daha fazla bilgi için bkz . Azure Özel Uç Nokta DNS yapılandırması].

az network private-dns zone create komutuyla yeni bir özel Azure DNS bölgesi oluşturun.

az network private-dns zone create \
    --resource-group test-rg \
    --name "privatelink.azurewebsites.net"

AZ network private-dns link vnet create komutuyla DNS bölgesini daha önce oluşturduğunuz sanal ağa bağlayın.

az network private-dns link vnet create \
    --resource-group test-rg \
    --zone-name "privatelink.azurewebsites.net" \
    --name dns-link \
    --virtual-network vnet-1 \
    --registration-enabled false

az network private-endpoint dns-zone-group create ile bir DNS bölge grubu oluşturun.

az network private-endpoint dns-zone-group create \
    --resource-group test-rg \
    --endpoint-name private-endpoint \
    --name zone-group \
    --private-dns-zone "privatelink.azurewebsites.net" \
    --zone-name webapp

Test sanal makinesi oluşturma

Statik IP adresini ve özel uç noktanın işlevselliğini doğrulamak için, sanal ağınıza bağlı bir test sanal makinesi gerekir.

az vm create ile sanal makineyi oluşturun.

az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --image Win2022Datacenter \
    --public-ip-address "" \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --admin-username azureuser

Not

Savunma konağı olan bir sanal ağdaki sanal makinelerin genel IP adreslerine ihtiyacı yoktur. Bastion genel IP'yi sağlar ve VM'ler ağ içinde iletişim kurmak için özel IP'ler kullanır. Savunma tarafından barındırılan sanal ağlardaki tüm VM'lerden genel IP'leri kaldırabilirsiniz. Daha fazla bilgi için bkz . Azure VM'den genel IP adresini ilişkilendirme.

Not

Azure, genel IP adresi atanmamış veya bir iç temel Azure yük dengeleyicinin arka uç havuzunda yer alan VM'ler için varsayılan bir giden erişim IP'si sağlar. Varsayılan giden erişim IP mekanizması, yapılandırılamayan bir giden IP adresi sağlar.

Aşağıdaki olaylardan biri gerçekleştiğinde varsayılan giden erişim IP'si devre dışı bırakılır:

• VM'ye bir genel IP adresi atanır.
• VM, giden kuralları olan veya olmayan standart bir yük dengeleyicinin arka uç havuzuna yerleştirilir.
• VM'nin alt a bilgisayarına bir Azure NAT Gateway kaynağı atanır.

Sanal makine ölçek kümelerini esnek düzenleme modunda kullanarak oluşturduğunuz VM'lerin varsayılan giden erişimi yoktur.

Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz . Azure'da varsayılan giden erişim ve giden bağlantılar için Kaynak Ağ Adresi Çevirisi'ni (SNAT) kullanma.

Özel uç noktaya bağlantıyı test etme

Özel uç nokta üzerinden web uygulamasına bağlanmak için daha önce oluşturduğunuz sanal makineyi kullanın.

1. Portalın üst kısmındaki arama kutusuna Sanal makine yazın. Sanal makineler'i seçin.

2. vm-1'i seçin.

3. vm-1'in genel bakış sayfasında Bağlan ve ardından Bastion sekmesini seçin.

4. Bastion Kullan'ı seçin.

5. VM'yi oluştururken kullandığınız kullanıcı adını ve parolayı girin.

6. Bağlan'ı seçin.

7. Bağlandıktan sonra sunucuda PowerShell'i açın.

8. nslookup webapp-1.azurewebsites.net girin. Aşağıdaki örneğe benzer bir ileti alırsınız:

   Server:  UnKnown
   Address:  168.63.129.16
   
   Non-authoritative answer:
   Name:    webapp-1.privatelink.azurewebsites.net
   Address:  10.0.0.10
   Aliases:  webapp-1.azurewebsites.net
   

   Önceki adımlarda statik IP adresi seçtiyseniz web uygulaması adı için 10.0.0.10 özel IP adresi döndürülür. Bu adres, daha önce oluşturduğunuz sanal ağın alt ağında yer alır.

9. vm-1 ile bastion bağlantısında web tarayıcısını açın.

10. Web uygulamanızın URL'sini girin. https://webapp-1.azurewebsites.net

    Web uygulamanız dağıtılmamışsa aşağıdaki varsayılan web uygulaması sayfasını alırsınız:

    

11. vm-1 bağlantısını kapatın.

Kaynakları temizleme

Artık gerekli olmadığında az group delete komutunu kullanarak kaynak grubunu, özel bağlantı hizmetini, yük dengeleyiciyi ve tüm ilgili kaynakları kaldırın.

  az group delete \
    --name test-rg

Sonraki adımlar

Özel uç noktaları destekleyen hizmetler hakkında daha fazla bilgi için bkz:

Azure Özel Bağlantı nedir?