快速入门：使用 Azure PowerShell 创建专用终结点

开始使用 Azure 专用链接，通过专用终结点安全地连接到 Azure 凭证。

在本快速入门中，你将为 Azure Attestation 创建专用终结点，并部署 Azure 虚拟机来测试专用连接。

注释

当前实现仅包括自动审批选项。 必须将订阅添加到允许列表才能继续创建专用终结点。 请在 Azure 支持页上联系服务团队或提交 Azure 支持 请求，然后继续执行以下步骤。

先决条件

• 了解 Azure 专用链接
• 使用 Azure PowerShell 设置 Azure 证明

创建资源组

Azure 资源组是在其中部署和管理 Azure 资源的逻辑容器。

使用 New-AzResourceGroup 创建资源组：

## Create to your Azure account subscription and create a resource group in a desired location. ##
Connect-AzAccount
Set-AzSubscription "<subscription-name>"
$rg = "CreateAttestationPrivateLinkTutorial-rg"
$loc= "eastus"
New-AzResourceGroup -Name $rg -Location $loc

创建虚拟网络和堡垒主机

在本部分中，你将创建虚拟网络、子网和堡垒主机。

堡垒主机将用于安全地连接到虚拟机，以测试专用终结点。

使用以下命令创建虚拟网络和堡垒主机：

• New-AzVirtualNetwork
• New-AzPublicIpAddress
• New-AzBastion

## Create backend subnet config. ##
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name myBackendSubnet -AddressPrefix 10.0.0.0/24

## Create Azure Bastion subnet. ##
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig -Name AzureBastionSubnet -AddressPrefix 10.0.1.0/24

## Create the virtual network. ##
$vnet = New-AzVirtualNetwork -Name "myAttestationTutorialVNet" -ResourceGroupName $rg -Location $loc -AddressPrefix "10.0.0.0/16" -Subnet $subnetConfig, $bastsubnetConfig

## Create public IP address for bastion host. ##
$publicip = New-AzPublicIpAddress -Name "myBastionIP" -ResourceGroupName $rg -Location $loc -Sku "Standard" -AllocationMethod "Static"

## Create bastion host ##
New-AzBastion -ResourceGroupName $rg -Name "myBastion" -PublicIpAddress $publicip -VirtualNetwork $vnet

部署Azure Bastion主机可能需要几分钟时间。

创建测试虚拟机

在本部分中，你将创建一个虚拟机，用于测试专用终结点。

使用以下内容创建虚拟机：

• Get-Credential
• New-AzNetworkInterface
• New-AzVM
• New-AzVMConfig
• Set-AzVMOperatingSystem
• Set-AzVMSourceImage
• Add-AzVMNetworkInterface

## Set credentials for server admin and password. ##
$cred = Get-Credential

## Command to create network interface for VM ##
$nicVM = New-AzNetworkInterface -Name "myNicVM" -ResourceGroupName $rg -Location $loc -Subnet $vnet.Subnets[0] 

## Create a virtual machine configuration.##
$vmConfig = New-AzVMConfig -VMName "myVM" -VMSize "Standard_DS1_v2" | Set-AzVMOperatingSystem -Windows -ComputerName "myVM" -Credential $cred | Set-AzVMSourceImage -PublisherName "MicrosoftWindowsServer" -Offer "WindowsServer" -Skus "2019-Datacenter" -Version "latest" | Add-AzVMNetworkInterface -Id $nicVM.Id 

## Create the virtual machine ##
New-AzVM -ResourceGroupName $rg -Location $loc -VM $vmConfig

创建认证提供程序

## Create an attestation provider ##
$attestationProviderName = "myattestationprovider"
$attestationProvider = New-AzAttestation -Name $attestationProviderName -ResourceGroupName $rg -Location $loc
$attestationProviderId = $attestationProvider.Id

从本地计算机访问认证提供程序

输入 nslookup <provider-name>.attest.azure.net。 将 <provider-name> 替换为你在前面的步骤中创建的证明提供程序实例的名称。

## Access the attestation provider from local machine ##
nslookup myattestationprovider.eus.attest.azure.net

<# You'll receive a message similar to what is displayed below:

Server:  cdns01.comcast.net
Address:  2001:558:feed::1

Non-authoritative answer:
Name:    eus.service.attest.azure.net
Address:  20.62.219.160
Aliases:  myattestationprovider.eus.attest.azure.net
	attesteusatm.trafficmanager.net

#>

创建专用终结点

在本部分中，你将使用以下命令创建专用终结点和连接：

• New-AzPrivateLinkServiceConnection
• New-AzPrivateEndpoint

## Create private endpoint connection. ##
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnection" -PrivateLinkServiceId $attestationProviderId -GroupID "Standard"

## Disable private endpoint network policy ##
$vnet.Subnets[0].PrivateEndpointNetworkPolicies = "Disabled" 
$vnet | Set-AzVirtualNetwork

## Create private endpoint
New-AzPrivateEndpoint  -ResourceGroupName $rg -Name "myPrivateEndpoint" -Location $loc -Subnet $vnet.Subnets[0] -PrivateLinkServiceConnection $privateEndpointConnection

配置专用 DNS 区域

在本部分中，你将使用以下命令创建和配置专用 DNS 区域：

• New-AzPrivateDnsZone
• New-AzPrivateDnsVirtualNetworkLink
• New-AzPrivateDnsZoneConfig
• New-AzPrivateDnsZoneGroup

## Create private dns zone. ##
$zone = New-AzPrivateDnsZone -ResourceGroupName $rg -Name "privatelink.attest.azure.net"

## Create dns network link. ##
$link = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rg -ZoneName "privatelink.attest.azure.net" -Name "myLink" -VirtualNetworkId $vnet.Id

## Create DNS configuration ##
$config = New-AzPrivateDnsZoneConfig -Name "privatelink.attest.azure.net" -PrivateDnsZoneId $zone.ResourceId

## Create DNS zone group. ##
New-AzPrivateDnsZoneGroup -ResourceGroupName $rg -PrivateEndpointName "myPrivateEndpoint" -Name "myZoneGroup" -PrivateDnsZoneConfig $config

测试与专用终端的连接

在本节中，您将使用在上一步中创建的虚拟机，通过专用终结点连接到 SQL 服务器。

1. 登录到 Azure 门户。

2. 在左侧导航窗格中选择“资源组”。

3. 选择 CreateAttestationPrivateLinkTutorial-rg。

4. 按 myVM 。

5. 在myVM的概述页面上，先选择连接，然后选择堡垒。

6. 选择蓝色的“使用堡垒”按钮。

7. 输入在创建虚拟机期间输入的用户名和密码。

8. 连接后，在服务器上打开 Windows PowerShell。

9. 输入 nslookup <provider-name>.attest.azure.net。 用您在前面的步骤中创建的证明提供程序实例的名称替换<provider-name>:

   ## Access the attestation provider from local machine ##
   nslookup myattestationprovider.eus.attest.azure.net
   
   <# You'll receive a message similar to what is displayed below:
   
   Server:  cdns01.comcast.net
   Address:  2001:558:feed::1
       cdns01.comcast.net can't find myattestationprovider.eus.attest.azure.net: Non-existent domain
   
   #>
   
   ## Access the attestation provider from the VM created in the same virtual network as the private endpoint.   ##
   nslookup myattestationprovider.eus.attest.azure.net
   
   <# You'll receive a message similar to what is displayed below:
   
   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    myattestationprovider.eastus.test.attest.azure.net
   
   #>