Verwenden von Private Link (Vorschau)
In diesem Artikel wird erläutert, wie Sie mit Private Link den Zugriff für die Verwaltung von Ressourcen in Ihren Abonnements einschränken. Mithilfe privater Verbindungen können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-Dienste zugreifen. Dadurch wird verhindert, dass der Dienst im öffentlichen Internet verfügbar gemacht wird.
In diesem Artikel wird der Setupprozess für Private Link über das Azure-Portal beschrieben.
Wichtig
Sie können dieses Feature auf Ebenen für eine zusätzliche Gebühr aktivieren.
Hinweis
Die Möglichkeit, private Verbindungen mit Azure Notification Hubs zu verwenden, ist derzeit als Vorschauversion verfügbar. Wenn Sie an dieser Funktion interessiert sind, wenden Sie sich an Ihren Kundenerfolgsmanager bei Microsoft, oder erstellen Sie ein Azure-Supportticket.
Erstellen eines privaten Endpunkts zusammen mit einem neuen Notification Hub im Portal
Mit dem folgenden Verfahren werden ein privater Endpunkt sowie ein neuer Notification Hub über das Azure-Portal erstellt:
Erstellen Sie einen neuen Notification Hub, und wählen Sie die Registerkarte Netzwerk aus.
Wählen Sie Privater Zugriff und dann Erstellen aus.
Geben Sie das Abonnement, die Ressourcengruppe, den Speicherort und einen Namen für den neuen privaten Endpunkt ein. Wählen Sie ein virtuelles Netzwerk und ein Subnetz aus. Wählen Sie unter In private DNS-Zone integrieren die Option Ja aus, und geben Sie privatelink.notificationhubs.windows.net in das Feld Private DNS-Zone ein.
Wählen Sie OK aus, um die Bestätigung der Namespace- und Huberstellung mit einem privaten Endpunkt anzuzeigen.
Wählen Sie Erstellen aus, um den Notification Hub mit einer privaten Endpunktverbindung zu erstellen.
Erstellen eines privaten Endpunkts für einen vorhandenen Notification Hub im Portal
Wählen Sie im Portal auf der linken Seite im Abschnitt Sicherheit und Netzwerk die Option Notification Hubs aus, und wählen Sie dann Netzwerk aus.
Wählen Sie die Registerkarte Privater Zugriff aus.
Geben Sie das Abonnement, die Ressourcengruppe, den Speicherort und einen Namen für den neuen privaten Endpunkt ein. Wählen Sie ein virtuelles Netzwerk und ein Subnetz aus. Klicken Sie auf Erstellen.
Erstellen eines privaten Endpunkts mit der CLI
Melden Sie sich bei der Azure CLI an, und legen Sie ein Abonnement fest:
az login az account set --subscription <azure_subscription_id>
Erstellen Sie eine neue Ressourcengruppe:
az group create -n <resource_group_name> -l <azure_region>
Registrieren Sie Microsoft.NotificationHubs als Anbieter:
az provider register -n Microsoft.NotificationHubs
Erstellen Sie einen neuen Notification Hubs-Namespace und einen Hub:
az notification-hub namespace create --name <namespace_name> --resource-group <resource_group_name> --location <azure_region> --sku "Standard" az notification-hub create --name <notification_hub_name> --namespace-name <namespace_name> --resource-group <resource_group_name> --location <azure_region>
Erstellen Sie ein virtuelles Netzwerk mit einem Subnetz:
az network vnet create --resource-group <resource_group_name> --name <vNet name> --location <azure_region> az network vnet subnet create --resource-group <resource_group_name> --vnet-name <vNet_name> --name <subnet_name> --address-prefixes <address_prefix>
Deaktivieren Sie die Richtlinien für virtuelle Netzwerke:
az network vnet subnet update --name <subnet_name> --resource-group <resource_group_name> --vnet-name <vNet_name> --disable-private-endpoint-network-policies true
Fügen Sie private DNS-Zonen hinzu, und verknüpfen Sie sie mit einem virtuellen Netzwerk:
az network private-dns zone create --resource-group <resource_group_name> --name privatelink.servicebus.windows.net az network private-dns zone create --resource-group <resource_group_name> --name privatelink.notoficationhub.windows.net az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.servicebus.windows.net --name <dns_zone_link_name> --registration-enabled true az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.notificationhub.windows.net --name <dns_zone_link_name> --registration-enabled true
Erstellen Sie einen privaten Endpunkt (automatisch genehmigt):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vNet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region>
Erstellen Sie einen privaten Endpunkt (mit manueller Anforderungsgenehmigung):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vnet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region> --manual-request
Zeigen Sie den Verbindungsstatus an:
az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>
Verwalten privater Endpunkte mit dem Portal
Wenn Sie einen privaten Endpunkt erstellen, muss die Verbindung genehmigt werden. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet, können Sie die Verbindungsanforderung genehmigen, sofern Sie über ausreichende Berechtigungen verfügen. Wenn Sie eine Verbindung mit einer Azure-Ressource in einem anderen Verzeichnis herstellen, müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt hat.
Es gibt vier Möglichkeiten für den Bereitstellungsstatus:
Dienstaktion | Zustand des privaten Endpunkts des Dienstconsumers | BESCHREIBUNG |
---|---|---|
Keine | Ausstehend | Die Verbindung wurde manuell erstellt, und die Genehmigung des Besitzers oder der Besitzerin der Private Link-Ressource steht aus. |
Genehmigen | Genehmigt | Die Verbindung wurde automatisch oder manuell genehmigt und ist zur Verwendung bereit. |
Reject | Rejected (Abgelehnt) | Die Verbindung wurde vom Besitzer der Private Link-Ressource abgelehnt. |
Remove (Entfernen) | Getrennt | Die Verbindung wurde vom Besitzer der Private Link-Ressource entfernt. Der private Endpunkt dient nur noch Informationszwecken und sollte zur Bereinigung gelöscht werden. |
Genehmigt die Verbindung eines privaten Endpunkts, lehnt sie ab oder entfernt sie.
- Melden Sie sich beim Azure-Portal an.
- Geben Sie in die Suchleiste Notification Hubs ein.
- Wählen Sie den Namespace aus, den Sie verwalten möchten.
- Wählen Sie die Registerkarte Netzwerk aus.
- Wechseln Sie zu dem entsprechenden Abschnitt, der Ihrem gewünschten Vorgang entspricht: Genehmigen, Ablehnen oder Entfernen.
Genehmigen einer Verbindung mit einem privaten Endpunkt
Sollten ausstehende Verbindungen vorhanden sein, wird eine Verbindung mit dem Bereitstellungsstatus Ausstehend angezeigt.
Wählen Sie den privaten Endpunkt aus, den Sie genehmigen möchten.
Wählen Sie Genehmigen aus.
Geben Sie auf der Seite Verbindung genehmigen einen optionalen Kommentar ein, und wählen Sie dann Ja aus. Wenn Sie Nein auswählen, geschieht nichts.
Der Status der Verbindung sollte in der Liste in Genehmigt geändert werden.
Ablehnen einer Verbindung mit einem privaten Endpunkt
Falls Sie Verbindungen mit einem privaten Endpunkt ablehnen möchten, wählen Sie das Symbol für die Endpunktverbindung und anschließend Ablehnen aus. Das funktioniert sowohl für ausstehende Anforderungen als auch für bereits vorhandene Verbindungen, die vorher genehmigt wurden.
Geben Sie auf der Seite Verbindung ablehnen einen optionalen Kommentar ein, und wählen Sie dann Ja aus. Wenn Sie Nein auswählen, geschieht nichts.
Der Status der Verbindung sollte in der Liste in Abgelehnt geändert werden.
Entfernen einer Verbindung mit einem privaten Endpunkt
Um eine Verbindung mit einem privaten Endpunkt zu entfernen, wählen Sie sie in der Liste aus, und wählen Sie Entfernen auf der Symbolleiste aus:
Wählen Sie auf der Seite Verbindung löschenJa aus, um das Löschen des privaten Endpunkts zu bestätigen. Wenn Sie Nein auswählen, geschieht nichts.
Der Status der Verbindung sollte in der Liste in Getrennt geändert werden. Anschließend wird der Endpunkt nicht mehr in der Liste angezeigt.
Überprüfen, ob die Private Link-Verbindung funktioniert
Vergewissern Sie sich, dass Ressourcen innerhalb des virtuellen Netzwerks, in dem sich auch der private Endpunkt befindet, mit Ihrem Notification Hubs-Namespace eine Verbindung über eine private IP-Adresse herstellen und dass die Integration in die private DNS-Zone korrekt ist.
Erstellen Sie zunächst eine VM. Eine entsprechende Anleitung finden Sie unter Schnellstart: Erstellen eines virtuellen Windows-Computers im Azure-Portal.
Gehen Sie auf der Registerkarte Netzwerk wie folgt vor:
- Geben Sie unter Virtuelles Netzwerk und Subnetz die entsprechenden Werte ein. Sie müssen das virtuelle Netzwerk auswählen, in dem Sie den privaten Endpunkt bereitgestellt haben.
- Geben Sie eine öffentliche IP-Ressource an.
- Wählen Sie für NIC-Netzwerksicherheitsgruppe die Option Keine aus.
- Wählen Sie für den LastenausgleichNein aus.
Stellen Sie eine Verbindung mit der VM her, öffnen Sie eine Befehlszeile, und führen Sie den folgenden Befehl aus:
Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net
Wenn der Befehl über die VM ausgeführt wird, gibt er die IP-Adresse der privaten Endpunktverbindung zurück. Wenn er über ein externes Netzwerk ausgeführt wird, wird die öffentliche IP-Adresse eines Notification Hubs-Clusters zurückgegeben.
Einschränkungen und Entwurfsaspekte
Einschränkungen: Dieses Feature steht in allen öffentlichen Azure-Regionen zur Verfügung. Maximal zulässige Anzahl privater Endpunkte pro Notification Hubs-Namespace: 200
Weitere Informationen hierzu finden Sie unter Azure Private Link-Dienst: Einschränkungen.