快速入門:使用 Azure 入口網站建立私人端點
藉由建立並使用私人端點來安全地連線到 Azure Web 應用程式,以開始使用 Azure Private Link。
在本快速入門中,建立 Azure App Service Web 應用程式的私人端點,然後建立並部署虛擬機器 (VM) 來測試私人連線。
您可以為各種 Azure 服務建立私人端點,例如 Azure SQL 和 Azure 儲存體。
必要條件
具有有效訂用帳戶的 Azure 帳戶。 如果您尚未擁有 Azure 帳戶,請建立免費帳戶。
使用基本、標準、PremiumV2、PremiumV3、IsolatedV2、Functions (有時稱為彈性進階方案) App Service 方案的 Azure App Service Web 應用程式,部署在 Azure 訂用帳戶中。
如需詳細資訊和範例,請參閱快速入門:在 Azure 中建立 ASP.NET Core Web 應用程式。
本文中的範例 webapp 名為 webapp-1。 將範例取代為您的 webapp 的名稱。
登入 Azure
登入 Azure 入口網站。
建立虛擬網路和 Azure Bastion 主機
下列程序會建立具有資源子網路、Azure Bastion 子網路和 Bastion 主機的虛擬網路:
在入口網站中,搜尋並選取 [虛擬網路]。
在 [虛擬網路] 頁面上,選取 [+ 建立]。
在 [建立虛擬網路] 的 [基本] 索引標籤上,輸入或選取下列資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [新建]
輸入 test-rg 作為名稱。
選取 [確定]。[執行個體詳細資料] 名稱 輸入 vnet-1。 區域 選取 [美國東部 2]。 選取 [下一步],繼續前往 [安全性] 索引標籤。
在 [Azure Bastion] 區段中,選取 [啟用 Azure Bastion]。
Bastion 會使用您的瀏覽器,透過安全殼層 (SSH) 或遠端桌面通訊協定 (RDP) 連線至虛擬網路中的 VM (使用其私人 IP 位址)。 VM 不需要公用 IP 位址、用戶端軟體或特殊設定。 如需詳細資訊,請參閱什麼是 Azure Bastion?。
在 Azure Bastion 中,輸入或選取下列資訊:
設定 值 Azure Bastion 主機名稱 輸入 bastion。 Azure Bastion 公用 IP 位址 選取 [建立公用 IP 位址]。
在 [名稱] 中輸入 public-ip-bastion。
選取 [確定]。選取 [下一步],繼續前往 [IP 位址] 索引標籤。
在 [子網路] 的 [位址空間] 方塊中,選取 [預設] 子網路。
在 [編輯子網路] 中,輸入或選取下列資訊:
設定 值 子網路用途 保留 Default 的預設值。 名稱 輸入 subnet-1。 IPv4 IPv4 位址範圍 保留 10.0.0.0/16 的預設值。 起始位址 保留預設值 [10.0.0.0]。 大小 保留 /24 (256 個位址) 的預設值。 選取 [儲存]。
選取視窗底部的 [檢閱 + 建立]。 通過驗證後,選取 [建立]。
建立私人端點
接下來,您會針對在必要條件一節中所建立的 Web 應用程式建立私人端點。
重要
您必須擁有先前部署的 Azure App Service,才能繼續進行本文中的步驟。 如需詳細資訊,請參閱必要條件。
在入口網站頂端的搜尋方塊中,輸入私人端點。 選取 [私人端點]。
在[私人端點] 中選取[+ 建立]。
在 [建立私人端點] 的 [基本] 索引標籤中,輸入或選取下列資訊。
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg] [執行個體詳細資料] 名稱 輸入 private-endpoint。 網路介面名稱 保留預設值 [private-endpoint-nic]。 區域 選取 [美國東部 2]。 選取 [下一步:資源]。
在 [資源] 窗格中,輸入或選取下列資訊。
設定 值 連線方式 保留 [連線至我目錄中的 Azure 資源] 的預設。 訂用帳戶 選取您的訂用帳戶。 資源類型 選取 [Microsoft.Web/sites]。 資源 選取 [webapp-1]。 目標子資源 選取 [網站]。 選取 [下一步:虛擬網路]。
在 [建立虛擬網路] 中,輸入或選取下列資訊。
設定 值 網路功能 虛擬網路 選取 [vnet-1 (test-rg)]。 子網路 選取 [subnet-1]。 私人端點的網路原則 選取 [編輯] 以套用私人端點的網路原則。
在 [編輯子網路網路原則] 中,選取 [該子網路中所有私人端點的網路原則設定] 下拉式清單中 [網路安全性群組] 和 [路由表] 旁的核取方塊。
選取 [儲存]。
如需詳細資訊,請參閱管理私人端點的網路原則選取 [下一步:DNS]。
保留 [DNS] 中的預設。 選取 [下一步:標記],然後選取 [下一步:檢閱 + 建立]。
選取 建立。
建立測試虛擬機器
下列程序會在虛擬網路中建立名為 vm-1 的測試虛擬機器 (VM)。
在入口網站中,搜尋並選取 [虛擬機器]。
在 [虛擬機器] 中,選取 [+ 建立],然後選取 [Azure 虛擬機器]。
在 [建立虛擬機器] 的 [基本] 索引標籤上,輸入或選取下列資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg]。 [執行個體詳細資料] 虛擬機器名稱 輸入 vm-1。 區域 選取 [美國東部 2]。 可用性選項 選取 [不需要基礎結構備援]。 安全性類型 保留預設值 [標準]。 映像 選取 [Windows Server 2022 Datacenter - x64 Gen2]。 VM 架構 保留預設值 [x64]。 大小 選取大小。 系統管理員帳戶 驗證類型 選取 [密碼]。 使用者名稱 輸入 azureuser。 密碼 輸入密碼。 確認密碼 請重新輸入密碼。 輸入連接埠規則 公用輸入連接埠 選取 [無]。 選取頁面頂端的 [網路] 索引標籤。
在 [網路] 索引標籤中,輸入或選取以下資訊:
設定 值 網路介面 虛擬網路 選取 [vnet-1]。 子網路 選取 [subnet-1 (10.0.0.0/24)]。 公用 IP 選取 [無]。 NIC 網路安全性群組 選取進階。 設定網路安全性群組 選取 [新建]
輸入 nsg-1 作為名稱。
將其餘項目保留為預設值,然後選取 [確定]。將其餘設定保留為預設值,然後選取 [檢閱 + 建立]。
檢閱設定並選取 [建立]。
注意
虛擬網路中的虛擬機器 (具有 Bastion 主機) 不需要公用 IP 位址。 Bastion 會提供公用 IP,而 VM 會使用私人 IP 在網路內通訊。 您可以從裝載了 Bastion 的虛擬網路中,移除任何 VM 的公用 IP。 如需詳細資訊,請參閱中斷公用 IP 位址與 Azure VM 的關聯。
注意
無論是未獲指派公用 IP 位址的 VM,或位於內部基本 Azure 負載平衡器後端集區的 VM,Azure 都會為其提供預設輸出存取 IP。 預設輸出存取 IP 機制能提供無法自行設定的輸出 IP 位址。
發生下列其中一個事件時,會停用預設輸出存取 IP:
- 公用 IP 位址會指派給 VM。
- 無論有沒有輸出規則,都會將 VM 放在標準負載平衡器的後端集區中。
- Azure NAT 閘道資源會指派給 VM 的子網路。
您在彈性協調流程模式中使用虛擬機器擴展集建立的 VM 沒有預設輸出存取。
如需 Azure 中輸出連線的詳細資訊,請參閱 Azure 中的預設輸出存取與針對輸出連線,使用來源網路位址轉譯 (SNAT)。
測試對私人端點的連線能力
使用您稍早建立的虛擬機器,跨私人端點連線到 Web 應用程式。
在入口網站頂端的搜尋方塊中,輸入虛擬機器。 選取 [虛擬機器]。
選取 [vm-1]。
在 vm-1 的概觀頁面上,選取 [連線],再選取 [Bastion] 索引標籤。
選取 [使用 Bastion]。
輸入您在建立 VM 時所使用的使用者名稱和密碼。
選取 Connect。
連線之後,請在伺服器上開啟 PowerShell。
輸入
nslookup webapp-1.azurewebsites.net
。 您會收到類似以下範例的訊息:Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: webapp-1.privatelink.azurewebsites.net Address: 10.0.0.10 Aliases: webapp-1.azurewebsites.net
針對 Web 應用程式名稱,會傳回 10.0.0.10 的私人 IP 位址 (如果您在先前的步驟中選擇靜態 IP 位址的話)。 此位址位於您先前所建立虛擬網路的子網路中。
在與 vm-1 的堡壘連線中,開啟網頁瀏覽器。
輸入 Web 應用程式的 URL:
https://webapp-1.azurewebsites.net
。如果尚未部署 Web 應用程式,您會收到下列預設 Web 應用程式頁面:
關閉與 vm-1 的連線。
使用完所建立的資源時,您可以刪除資源群組及其所有資源。
在 Azure 入口網站中,搜尋並選取 [資源群組]。
在 [資源群組] 頁面上,選取 [test-rg] 資源群組。
在 [test-rg] 頁面上,選取 [刪除資源群組]。
在 [輸入資源群組名稱以確認刪除] 中輸入 test-rg,然後選取 [刪除]。
下一步
在本快速入門中,您已建立:
虛擬網路和堡壘主機
虛擬機器
Azure Web 應用程式的私人端點
您已使用 VM 跨私人端點測試對 Web 應用程式的連線能力。
如需支援私人端點的服務詳細資訊,請參閱: