Sdílet prostřednictvím

Začínáme s privátním propojením

  • Článek

Přehled

Tato příručka popisuje funkci privátního propojení Azure Operator Service Manager (AOSM) pro úložiště artefaktů hostovaných v azure Operator Nexus. V rámci iniciativy registru AOSM edge používá PL privátní koncové body Azure a službu Azure Private Link k bezpečnému zálohování provozu místního úložiště artefaktů nexus. Tento provoz není nikdy vystavený internetu, místo toho výhradně prochází privátní síť Microsoftu.

Úvod

Tento dokument obsahuje úvodní příručku k povolení funkce privátního propojení pro úložiště artefaktů AOSM pomocí rozhraní API AOSM Publisheru.

Požadována oprávnění

Operace potřebné k propojení a správě privátního koncového bodu s řadičem prostředků infrastruktury Nexus (NFC) vyžadují následující nedefaultní oprávnění role.

Oprávnění pro propojení a správu ručního privátního koncového bodu

Odebrání privátního koncového bodu

"Microsoft.HybridNetwork/publishers/artifactStores/removePrivateEndPoints/action"

Schválení privátního koncového bodu

"Microsoft.HybridNetwork/publishers/artifactStores/approvePrivateEndPoints/action"

Oprávnění pro propojení a správu privátního koncového bodu pomocí NFC

Přidání privátních koncových bodů NFC

"Microsoft.HybridNetwork/publishers/artifactStores/addNetworkFabricControllerEndPoints/action"
"Microsoft.ManagedNetworkFabric/networkFabricControllers/joinartifactstore/action"

Výpis privátních koncových bodů NFC

"Microsoft.HybridNetwork/publishers/artifactStores/listNetworkFabricControllerPrivateEndPoints/action"

Odstranění privátních koncových bodů NFC

"Microsoft.HybridNetwork/publishers/artifactStores/deleteNetworkFabricControllerEndPoints/action"
"Microsoft.ManagedNetworkFabric/networkFabricControllers/disjoinartifactstore/action"

Poznámka:

Při zavedení nových oprávnění NFC se budou aktualizovat doporučená oprávnění role.

Před bezpečným nahráním prostředků vytvoří následující posloupnost operací připojení PL k úložišti artefaktů.

Vytvoření vydavatele a úložiště artefaktů

  • Vytvořte nový prostředek vydavatele s typem identity nastaveným na SystemAssigned.
    • Pokud již byl vydavatel vytvořen bez této vlastnosti, použijte k aktualizaci operaci reputace.
  • Pomocí nové vlastnosti backingResourcePublicNetworkAcccesss zakažte veřejný přístup k úložišti artefaktů.
    • Vlastnost je poprvé přidána ve verzi 2024-04-15.
    • Pokud byl ArtefaktResource již vytvořen bez této vlastnosti, použijte k aktualizaci operaci reputace.

Ukázkový skript bicep vydavatele

param location string = resourceGroup().location
param publisherName string
param acrArtifactStoreName string

/* AOSM publisher resource creation
*/
var publisherNameWithLocation = concat(publisherName, uniqueString(resourceGroup().id))
resource publisher 'Microsoft.HybridNetwork/publishers@2023-09-01' = {
 name: publisherNameWithLocation
 location: location
identity: {
 type: 'SystemAssigned' 
 }
 properties: {
 scope: 'Private'
 }
}

/* AOSM artifact store resource creation
*/
resource acrArtifactStore 'Microsoft.HybridNetwork/publishers/artifactStores@2024-04-15' = {
 parent: publisher
 name: acrArtifactStoreName
 location: location
 properties: {
 storeType: 'AzureContainerRegistry'
 backingResourcePublicNetworkAccess: 'Disabled'
 }
 
}

Ruční operace koncových bodů

Následující operace umožňují ruční správu úložiště artefaktů po vytvoření pl.

Správa přístupu k privátnímu koncovému bodu

Ve výchozím nastavení, když je úložiště artefaktů připojené k virtuální síti, uživatel nemá oprávnění ke službě ACR, takže privátní koncový bod skončí ve stavu čekání na vyřízení. Následující příkazy a datová část Azure umožňují uživateli schvalovat, odmítat a vypisovat tyto koncové body.

Poznámka:

V tomto pracovním postupu spravuje virtuální síť zákazník.

Ukázková datová část JSON:

{
 "manualPrivateEndPointConnections": [
 {
 "id":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroup>/providers/Microsoft.Network/privateEndpoints/peName"
 }
 ]
 }

Ukázkové příkazy privátního koncového bodu

# approve private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<ArtifactStore>/approveprivateendpoints?api-version=2024-04-15 --body '{ \"manualPrivateEndPointConnections\" : [ { \"id\" : \"/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.Network/privateEndpoints/peName\" } ] }'

# remove private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<ArtifactStore>/removeprivateendpoints?api-version=2024-04-15 --body '{ \"manualPrivateEndPointConnections\" : [ { \"id\" : \"/subscriptions/<Subscription>/resourceGroups/<ReourceGroup>/providers/Microsoft.Network/privateEndpoints/peName\" } ] }'

# list private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<artifactStore>/listPrivateEndPoints?api-version=2024-04-15 --body '{}'

Přidání privátních koncových bodů do NFC

Následující příkazy azure rest umožňují uživateli vytvořit, odebrat nebo vypsat přidružení mezi privátním koncovým bodem, službou ACR a virtuálními sítěmi spravovanými zařízením Nexus.

Ukázkové příkazy privátního koncového bodu

# add nfc private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<artifactStore>/addnetworkfabriccontrollerendpoints?apiversion=2024-04-15 --body '{ \"networkFabricControllerIds\":[{\"id\": \"/subscriptions/<Subscription>/resourceGroups/op2lab-nfc-useop1/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/op2labnfc01\"}] }'

# list nfc private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<artifactStore>/listnetworkfabriccontrollerprivateendpoints?apiversion=2024-04-15 --body '{}'

# delete nfc private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<publisher>/artifactStores/<artifactStore>/deletenetworkfabriccontrollerendpoints?api-version=2024-04-15 --body '{ \"networkFabricControllerIds\":[{\"id\": \"/subscriptions/<Subscription>/resourceGroups/op2lab-nfc-useop1/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/op2labnfc01\"}] }'