設定具有私人端點的應用程式安全性群組

Azure Private Link 私人端點支援網路安全性的應用程式安全性群組 (ASG)。 您可以將私人端點與目前基礎結構中現有的 ASG 以及虛擬機器和其他網路資源相關聯。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 如果您尚未擁有 Azure 帳戶，請建立免費帳戶。

• 在 Azure 訂用帳戶中部署具有進階 V2 層 或更高層級 App Service 方案的 Azure Web 應用程式。

  • 如需詳細資訊和範例，請參閱快速入門：在 Azure 中建立 ASP.NET Core Web 應用程式。
  • 本文中的範例 Web 應用程式名為 myWebApp1979。 將範例取代為您的 Web 應用程式名稱。

• 您訂用帳戶中現有的 ASG。 如需 ASG 的詳細資訊，請參閱應用程式安全性群組。

  • 本文中使用的範例 ASG 名為 myASG。 將範例取代為您的應用程式安全性群組。

• 您訂用帳戶中現有的 Azure 虛擬網路和子網路。 如需建立虛擬網路相關的詳細資訊，請參閱快速入門：使用 Azure 入口網站建立虛擬網路。

  • 本文中使用的範例虛擬網路名為 myVNet。 將範例名稱取代為您自己的虛擬網路名稱。

• 安裝最新版 Azure CLI。

  • 執行 az --version，在終端機或命令視窗中檢查您的 Azure CLI 版本。 如需最新版本，請參閱最近的版本資訊。
  • 如果您沒有 Azure CLI 最新版，請遵循適用於您作業系統或平台的安裝指南，更新您的安裝。

如果您選擇在本機安裝和使用 PowerShell，此文章會要求使用 Azure PowerShell 模組 5.4.1 版或更新版本。 若要尋找已安裝的版本，請執行 Get-Module -ListAvailable Az。 如果您需要升級，請參閱安裝 Azure PowerShell 模組。 如果正在本機執行 PowerShell，也需要執行 Connect-AzAccount，以建立與 Azure 的連線。

使用 ASG 建立私人端點

您可以在建立 ASG 時讓其與私人端點相關聯。 下列程序示範如何在建立 ASG 時與私人端點建立關聯。

入口網站

1. 登入 Azure 入口網站。

2. 在入口網站頂端的搜尋方塊中，輸入私人端點。 在搜尋結果中，選取 [私人端點]。

3. 在[私人端點] 中選取 [+ 建立]。

4. 在 [建立私人端點] 的 [基本] 索引標籤上，輸入或選取下列資訊：

   值	設定
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取您的資源群組。 在此範例中為 myResourceGroup。
   [執行個體詳細資料]
   名稱	輸入 myPrivateEndpoint。
   區域	選取 [美國東部]。

5. 選取頁面底部的 [下一步：資源]。

6. 在 [資源] 索引標籤上，輸入或選取以下資訊：

   值	設定
   連線方式	選取 [連線至我目錄中的 Azure 資源]
   訂用帳戶	選取您的訂用帳戶。
   資源類型	選取 [Microsoft.Web/sites]。
   資源	選取 [mywebapp1979]。
   目標子資源	選取 [網站]。

7. 選取頁面底部的 [下一步：虛擬網路]。

8. 在 [虛擬網路] 索引標籤上，輸入或選取下列資訊：

   值	設定
   網路功能
   虛擬網路	選取 [myVNet]。
   子網路	選取子網路。 此範例中為 myVNet/myBackendSubnet(10.0.0.0/24)。
   啟用此子網路中所有私人端點的網路原則。	保留選取的預設值。
   應用程式安全性群組
   應用程式安全性群組	選取 [myASG]。

   

9. 選取頁面底部的 [下一步：DNS]。

10. 選取頁面底部的 [下一步：標記]。

11. 完成時，選取 [下一步:檢閱 + 建立]。

12. 選取 建立。

PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

CLI

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

建立 ASG 與現有私人端點的關聯

您可以讓 ASG 與現有私人端點相關聯。 下列程序示範如何將 ASG 與現有私人端點建立關聯。

重要

您必須具有先前已部署的私人端點，才能繼續進行本文中的步驟。 本節中使用的範例端點名為 myPrivateEndpoint。 將範例取代為您的私人端點。

入口網站

1. 登入 Azure 入口網站。

2. 在入口網站頂端的搜尋方塊中，輸入私人端點。 在搜尋結果中，選取 [私人端點]。

3. 在 [私人端點] 中，選取 [myPrivateEndpoint]。

4. 在 [設定] 的 [myPrivateEndpoint] 中，選取 [應用程式安全性群組]。

5. 在 [應用程式安全性群組] 中的下拉式方塊中，選取 [myASG]。

   

6. 選取 [儲存]。

PowerShell

目前不支援使用 Azure PowerShell 將 ASG 與現有的私人端點建立關聯。

CLI

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

下一步

如需 Azure Private Link 相關的詳細資訊，請參閱：

• 什麼是 Azure Private Link？