Sdílet prostřednictvím

Použití služby Private Link (Preview)

  • Článek

Tento článek popisuje, jak pomocí služby Private Link omezit přístup ke správě prostředků ve vašich předplatných. Privátní propojení umožňují přístup ke službám Azure přes privátní koncový bod ve vaší virtuální síti. Tím se zabrání vystavení služby veřejnému internetu.

Tento článek popisuje proces nastavení služby Private Link pomocí webu Azure Portal.

Důležité

Tuto funkci můžete povolit na úrovních za příplatek.

Poznámka:

Možnost používat privátní propojení se službou Azure Notification Hubs je aktuálně ve verzi Preview. Pokud vás zajímá použití této funkce, obraťte se na manažera úspěchu zákazníka v Microsoftu nebo vytvořte lístek podpora Azure.

Vytvoření privátního koncového bodu spolu s novým centrem oznámení na portálu

Následující postup vytvoří privátní koncový bod spolu s novým centrem oznámení pomocí webu Azure Portal:

  1. Vytvořte nové centrum oznámení a vyberte kartu Sítě .

  2. Vyberte Privátní přístup a pak vyberte Vytvořit.

    Screenshot of notification hub creation page on portal showing private link option.

  3. Vyplňte předplatné, skupinu prostředků, umístění a název nového privátního koncového bodu. Zvolte virtuální síť a podsíť. V části Integrace s Privátní DNS Zónou vyberte Ano a do pole Privátní DNS Zóna zadejte privatelink.notificationhubs.windows.net.

    Screenshot of notification hub private endpoint creation page.

  4. Výběrem možnosti OK zobrazíte potvrzení vytvoření oboru názvů a centra pomocí privátního koncového bodu.

  5. Výběrem možnosti Vytvořit vytvořte centrum oznámení s připojením privátního koncového bodu.

    Screenshot of notification hub private endpoint confirmation page.

Vytvoření privátního koncového bodu pro existující centrum oznámení na portálu

  1. Na portálu v části Zabezpečení a sítě na levé straně vyberte Notification Hubs a pak vyberte Sítě.

  2. Vyberte kartu Soukromý přístup.

    Screenshot of private access tab.

  3. Vyplňte předplatné, skupinu prostředků, umístění a název nového privátního koncového bodu. Zvolte virtuální síť a podsíť. Vyberte Vytvořit.

    Screenshot of private link creation properties.

Vytvoření privátního koncového bodu pomocí rozhraní příkazového řádku

  1. Přihlaste se k Azure CLI a nastavte předplatné:

    az login
az account set --subscription <azure_subscription_id>

  2. Vytvořte novou skupinu prostředků:

    az group create -n <resource_group_name> -l <azure_region>

  3. Zaregistrujte Microsoft.NotificationHubs jako poskytovatele:

    az provider register -n Microsoft.NotificationHubs

  4. Vytvořte nový obor názvů a centrum Notification Hubs:

    az notification-hub namespace create 
     --name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>
     --sku "Standard"

 az notification-hub create 
     --name <notification_hub_name>
     --namespace-name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>

  5. Vytvořte virtuální síť s podsítí:

    az network vnet create
     --resource-group <resource_group_name>
     --name <vNet name>
     --location <azure_region>

az network vnet subnet create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --name <subnet_name>
     --address-prefixes <address_prefix>

  6. Zakázání zásad virtuální sítě:

    az network vnet subnet update
     --name <subnet_name>
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --disable-private-endpoint-network-policies true

  7. Přidejte privátní zóny DNS a propojte je s virtuální sítí:

    az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.servicebus.windows.net

az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.notoficationhub.windows.net

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.servicebus.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.notificationhub.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

  8. Vytvoření privátního koncového bodu (automaticky schválené):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>  
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace 
     --connection-name <private_link_connection_name>
     --location <azure-region>

  9. Vytvoření privátního koncového bodu (s ručním schválením žádosti):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vnet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace
     --connection-name <private_link_connection_name>
     --location <azure-region>
     --manual-request

  10. Zobrazení stavu připojení:

    az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>

Správa privátních koncových bodů pomocí portálu

Když vytvoříte privátní koncový bod, musí být připojení schváleno. Pokud prostředek, pro který vytváříte privátní koncový bod, je ve vašem adresáři, můžete schválit žádost o připojení za předpokladu, že máte dostatečná oprávnění. Pokud se připojujete k prostředku Azure v jiném adresáři, musíte počkat, až vlastník tohoto prostředku schválí vaši žádost o připojení.

Existují čtyři stavy zřizování:

Akce služby Stav privátního koncového bodu příjemce služby Popis
Nic Nevyřízeno Připojení ion se vytvoří ručně a čeká na schválení od vlastníka prostředku privátního propojení.
Schválit Schválený Připojení ion byl automaticky nebo ručně schválen a je připravený k použití.
Odmítnout Zamítnuto Připojení byl vlastníkem prostředku privátního propojení odmítnut.
Odebrat Odpojeno Připojení odebrání vlastníkem prostředku privátního propojení. Privátní koncový bod se stane informativním a měl by být odstraněn pro vyčištění.

Schválení, odmítnutí nebo odebrání připojení privátního koncového bodu

  1. Přihlaste se k portálu Azure.
  2. Na panelu hledání zadejte Notification Hubs.
  3. Vyberte obor názvů, který chcete spravovat.
  4. Vyberte kartu Sítě.
  5. V závislosti na operaci, kterou chcete schválit, odmítnout nebo odebrat, přejděte do příslušné části.

Schválení připojení privátního koncového bodu

  1. Pokud existují nějaká čekající připojení, zobrazí se ve stavu zřizování připojení čekající na vyřízení .

  2. Vyberte privátní koncový bod, který chcete schválit.

  3. Vyberte možnost Schválit.

    Screenshot showing Networking tab ready for approval.

  4. Na stránce Schválit připojení zadejte volitelný komentář a pak vyberte Ano. Pokud vyberete Ne, nic se nestane.

    Screenshot showing approve connection page.

  5. V seznamu by se měl zobrazit stav připojení na Schváleno.

Odmítnutí připojení privátního koncového bodu

  1. Pokud existují nějaká připojení privátního koncového bodu, která chcete odmítnout, ať už se jedná o nevyřízenou žádost nebo existující připojení schválené dříve, vyberte ikonu připojení ke koncovému bodu a vyberte Odmítnout.

    Screenshot showing reject connection option.

  2. Na stránce Odmítnout připojení zadejte volitelný komentář a pak vyberte Ano. Pokud vyberete Ne, nic se nestane.

  3. V seznamu by se měl zobrazit stav připojení na Odmítnuto.

Odebrání připojení privátního koncového bodu

  1. Pokud chcete odebrat připojení privátního koncového bodu, vyberte ho v seznamu a na panelu nástrojů vyberte Odebrat :

    Screenshot showing remove connection page.

  2. Na stránce Odstranit připojení vyberte Ano a potvrďte odstranění privátního koncového bodu. Pokud vyberete Ne, nic se nestane.

  3. V seznamu by se měl zobrazit stav připojení na Odpojeno. Koncový bod pak zmizí ze seznamu.

Měli byste ověřit, že se prostředky ve virtuální síti privátního koncového bodu připojují k oboru názvů Notification Hubs přes privátní IP adresu a že mají správnou integraci privátní zóny DNS.

Nejprve vytvořte virtuální počítač podle kroků v části Vytvoření virtuálního počítače s Windows na webu Azure Portal.

Na kartě Sítě:

  1. Zadejte virtuální síť a podsíť. Musíte vybrat virtuální síť, na které jste nasadili privátní koncový bod.
  2. Zadejte prostředek veřejné IP adresy.
  3. V případě skupiny zabezpečení sítě síťových adaptérů vyberte Žádné.
  4. Pro vyrovnávání zatížení vyberte Ne.

Připojení k virtuálnímu počítači, otevřete příkazový řádek a spusťte následující příkaz:

Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net

Když se příkaz spustí z virtuálního počítače, vrátí IP adresu připojení privátního koncového bodu. Když se spustí z externí sítě, vrátí veřejnou IP adresu jednoho z clusterů Notification Hubs.

Aspekty omezení a návrhu

Omezení: Tato funkce je dostupná ve všech veřejných oblastech Azure. Maximální počet privátních koncových bodů na obor názvů Notification Hubs: 200

Další informace najdete ve službě Azure Private Link: Omezení.

Další kroky