Introduzione al collegamento privato

Panoramica

Questa guida descrive la funzionalità collegamento privato di Azure Operator Service Manager (AOSM) per gli archivi artefatti ospitati in Operatore Nexus di Azure. Nell'ambito dell'iniziativa del registro perimetrale di Azure Operator Service Manager (AOSM), collegamento usa gli endpoint privati di Azure e il servizio collegamento privato di Azure per eseguire in modo sicuro il backhaul del traffico dell'archivio artefatti locale dell'infrastruttura Nexus. Questo traffico non viene mai esposto a Internet, ma attraversa esclusivamente la rete privata di Microsoft.

Introduzione

Questo documento fornisce una guida introduttiva per abilitare la funzionalità collegamento privato per l'archivio artefatti di Azure Operator Service Manager (AOSM) usando le API del server di pubblicazione di Azure Operator Service Manager (AOSM).

Autorizzazioni necessarie

Le operazioni necessarie per collegare e gestire un endpoint privato con un controller di infrastruttura Nexus (NFC) richiedono i privilegi di ruolo non predefiniti seguenti.

Autorizzazioni per il collegamento e la gestione manuale dell'endpoint privato

Rimuovere l'endpoint privato

"Microsoft.HybridNetwork/publishers/artifactStores/removePrivateEndPoints/action"

Approvare un endpoint privato

"Microsoft.HybridNetwork/publishers/artifactStores/approvePrivateEndPoints/action"

Autorizzazioni per il collegamento e la gestione di un endpoint privato tramite un controller di infrastruttura Nexus (NFC)

Aggiungere endpoint privati NFC

"Microsoft.HybridNetwork/publishers/artifactStores/addNetworkFabricControllerEndPoints/action"
"Microsoft.ManagedNetworkFabric/networkFabricControllers/joinartifactstore/action"

Elencare endpoint privati NFC

"Microsoft.HybridNetwork/publishers/artifactStores/listNetworkFabricControllerPrivateEndPoints/action"

Eliminare endpoint privati NFC

"Microsoft.HybridNetwork/publishers/artifactStores/deleteNetworkFabricControllerEndPoints/action"
"Microsoft.ManagedNetworkFabric/networkFabricControllers/disjoinartifactstore/action"

Nota

Man mano che vengono introdotte nuove autorizzazioni NFC, i privilegi di ruolo consigliati verranno aggiornati.

Usare le API di Azure Operator Service Manager (AOSM) per configurare il collegamento privato

Prima che le risorse possano essere caricate in modo sicuro, la sequenza di operazioni seguente stabilisce una connessione collegamento privato all'archivio artefatti.

Creare un'entità di pubblicazione e un archivio artefatti

• Creare una nuova risorsa entità di pubblicazione con tipo di identità impostato su 'SystemAssigned'.
  • Se l'entità di pubblicazione è già stata creata senza questa proprietà, usare un'operazione di reput per aggiornarla.
• Usare la nuova proprietà 'backingResourcePublicNetworkAcccess' per disabilitare l'accesso pubblico all'archivio artefatti.
  • La proprietà è stata aggiunta per la prima volta nella versione 2024-04-15.
  • Se l'oggetto ArtifactResource è già stato creato senza questa proprietà, usare un'operazione di reput per aggiornarlo.

Script bicep di esempio per l'entità di pubblicazione

param location string = resourceGroup().location
param publisherName string
param acrArtifactStoreName string

/* AOSM publisher resource creation
*/
var publisherNameWithLocation = concat(publisherName, uniqueString(resourceGroup().id))
resource publisher 'Microsoft.HybridNetwork/publishers@2023-09-01' = {
 name: publisherNameWithLocation
 location: location
identity: {
 type: 'SystemAssigned' 
 }
 properties: {
 scope: 'Private'
 }
}

/* AOSM artifact store resource creation
*/
resource acrArtifactStore 'Microsoft.HybridNetwork/publishers/artifactStores@2024-04-15' = {
 parent: publisher
 name: acrArtifactStoreName
 location: location
 properties: {
 storeType: 'AzureContainerRegistry'
 backingResourcePublicNetworkAccess: 'Disabled'
 }
 
}

Operazioni manuali sugli endpoint

Le operazioni seguenti consentono la gestione manuale di un archivio artefatti dopo che è stato stabilito il collegamento privato.

Gestire l'accesso all'endpoint privato

Per impostazione predefinita, quando l'archivio artefatti è connesso alla rete virtuale, l'utente non dispone delle autorizzazioni per il Registro Azure Container, quindi l'endpoint privato passa a uno stato in sospeso. I comandi rest e il payload di Azure seguenti consentono a un utente di approvare, rifiutare e/o elencare tali endpoint.

Nota

In questo flusso di lavoro la rete virtuale è gestita dal cliente.

Payload JSON di esempio:

{
 "manualPrivateEndPointConnections": [
 {
 "id":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroup>/providers/Microsoft.Network/privateEndpoints/peName"
 }
 ]
 }

Comandi di esempio per gli endpoint privati

# approve private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<ArtifactStore>/approveprivateendpoints?api-version=2024-04-15 --body '{ \"manualPrivateEndPointConnections\" : [ { \"id\" : \"/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.Network/privateEndpoints/peName\" } ] }'

# remove private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<ArtifactStore>/removeprivateendpoints?api-version=2024-04-15 --body '{ \"manualPrivateEndPointConnections\" : [ { \"id\" : \"/subscriptions/<Subscription>/resourceGroups/<ReourceGroup>/providers/Microsoft.Network/privateEndpoints/peName\" } ] }'

# list private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<artifactStore>/listPrivateEndPoints?api-version=2024-04-15 --body '{}'

Aggiungere endpoint privati al controller di infrastruttura Nexus (NFC)

I comandi REST di Azure seguenti consentono a un utente di creare, rimuovere e/o elencare l'associazione tra endpoint privato, Registro Azure Container e reti virtuali gestite da Nexus.

Comandi di esempio per gli endpoint privati

# add nfc private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<artifactStore>/addnetworkfabriccontrollerendpoints?apiversion=2024-04-15 --body '{ \"networkFabricControllerIds\":[{\"id\": \"/subscriptions/<Subscription>/resourceGroups/op2lab-nfc-useop1/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/op2labnfc01\"}] }'

# list nfc private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<artifactStore>/listnetworkfabriccontrollerprivateendpoints?apiversion=2024-04-15 --body '{}'

# delete nfc private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<publisher>/artifactStores/<artifactStore>/deletenetworkfabriccontrollerendpoints?api-version=2024-04-15 --body '{ \"networkFabricControllerIds\":[{\"id\": \"/subscriptions/<Subscription>/resourceGroups/op2lab-nfc-useop1/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/op2labnfc01\"}] }'