管理 Azure 私人端點
管理 Azure 私人端點的設定及部署有幾個選項。
您可以藉由查詢 Azure Private Link 資源來判斷 GroupId
和 MemberName
值。 您需要 GroupId
和 MemberName
值,才能在建立期間為私人端點設定靜態 IP 位址。
私人端點有兩個自訂屬性:靜態 IP 位址和網路介面名稱。 建立私人端點時,必須設定這些屬性。
透過 Private Link 的服務提供者和取用者部署,就有適當的核准程序可建立連線。
判斷 GroupID 和 MemberName
使用 Azure PowerShell 和 Azure CLI 建立私人端點時,可能需要私人端點資源的 GroupId
和 MemberName
值。
GroupId
是私人端點的子資源。MemberName
是端點私人 IP 位址的唯一戳記。
如需私人端點子資源及其值的詳細資訊,請參閱 Private Link 資源。
若要判斷私人端點資源的 GroupId
和 MemberName
值,請使用下列命令。 MemberName
包含在 RequiredMembers
屬性內。
使用某個 Azure Web 應用程式作為範例私人端點資源。 使用 Get-AzPrivateLinkResource 來判斷 GroupId
和 MemberName
。
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
您應該會收到類似下列範例的輸出。
自訂屬性
網路介面重新命名和靜態 IP 位址指派是可在建立私人端點時於端點上設定的自訂屬性。
網路介面重新命名
根據預設,建立私人端點時,會為與私人端點相關聯的網路介面指定其網路介面的隨機名稱。 建立私人端點時,必須命名網路介面。 不支援重新命名現有私人端點的網路介面。
建立私人端點以重新命名網路介面時,請使用下列命令。
若要在建立私人端點時重新命名網路介面,請使用 -CustomNetworkInterfaceName
參數。 下列範例使用 Azure PowerShell 命令建立 Azure Web 應用程式的私人端點。 如需詳細資訊,請參閱 New-AzPrivateEndpoint。
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
靜態 IP 位址
根據預設,建立私人端點時,會自動指派端點的 IP 位址。 IP 會從為私人端點設定的虛擬網路 IP 範圍指派。 需要私人端點的靜態 IP 位址時,可能會發生此情況。 建立私人端點時,必須指派靜態 IP 位址。 目前不支援現有私人端點的靜態 IP 位址設定。
如需在建立私人端點時設定靜態 IP 位址的程序,請參閱使用 Azure PowerShell 建立私人端點和使用 Azure CLI 建立私人端點。
私人端點連線
Private Link 可在核准模型上運作,Private Link 取用者可在其中要求連線到服務提供者以取用服務。
然後服務提供者可以決定是否允許取用者連線。 Private Link 可讓服務提供者管理其資源上的私人端點連線。
Private Link 取用者可以選擇下列兩種連線核准方法:
自動:如果服務取用者擁有服務提供者資源的 Azure 角色型存取控制 (RBAC) 權限,則取用者可以選擇自動核准方法。 當要求送達服務提供者資源時,服務提供者不需要採取任何動作,而且會自動核准連線。
手動:如果服務取用者沒有服務提供者資源的 RBAC 權限,取用者可以選擇手動核准方法。 連線要求會在服務資源上顯示為擱置。 服務提供者必須先手動核准要求,才會建立連線。
在手動情況下,服務取用者也可以指定具有要求的訊息,以提供更多內容給服務提供者。 服務提供者針對所有私人端點連線有下列選項可從中選擇:[核准]、[拒絕] 和 [移除]。
重要
若要核准與位於個別訂用帳戶或租用戶中的私人端點連線,請確定提供者訂用帳戶或租用戶已註冊 Microsoft.Network
。 取用者訂用帳戶或租用戶也應該註冊目的地資源的資源提供者。
下表顯示各種服務提供者動作,以及私人端點的結果連線狀態。 服務提供者可以在稍後變更連線狀態,而不需要取用者介入。 該動作會在取用者端更新端點的狀態。
服務提供者的動作 | 服務取用者私人端點狀態 | 描述 |
---|---|---|
None | 待定 | 已手動建立連線,且正在等待 Private Link 資源擁有者核准。 |
核准 | 核准 | 已自動或手動核准連線並可供使用。 |
拒絕 | 已拒絕 | Private Link 資源擁有者拒絕連線。 |
移除 | 已中斷連接 | Private Link 資源擁有者會移除連線,導致私人端點中斷連線,因此應該刪除以進行清除。 |
管理 Azure PaaS 資源上的私人端點連線
使用下列步驟來管理 Azure 入口網站中的私人端點連線。
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入 Private Link。 在搜尋結果中,選取 [Private Link]。
在 [Private Link 中心] 中,選取 [私人端點] 或 [Private Link 服務]。
針對每個端點,您可以檢視與其相關聯的私人端點連線數目。 您可以視需要篩選資源。
選取私人端點。 在列出的連線下,選取您要管理的連線。
您可以從頂端選項中選取來變更連線狀態。
管理客戶或合作夥伴擁有 Private Link 服務上的私人端點連線
使用下列 PowerShell 和 Azure CLI 命令來管理 Microsoft 合作夥伴服務或客戶擁有服務上的私人端點連線。
使用下列 PowerShell 命令來管理私人端點連線。
取得 Private Link 連線狀態
使用 Get-AzPrivateEndpointConnection 來取得私人端點連線及其狀態。
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
核准私人端點連線
使用 Approve-AzPrivateEndpointConnection 來核准私人端點連線。
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
拒絕私人端點連線
使用 Deny-AzPrivateEndpointConnection 來拒絕私人端點連線。
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
移除私人端點連線
使用 Remove-AzPrivateEndpointConnection 來移除私人端點連線。
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
注意
先前拒絕的連線無法核准。 您必須移除連線,並建立新的連線。