Delen via

Private Link gebruiken (preview)

  • Artikel

In dit artikel wordt beschreven hoe u Private Link gebruikt om de toegang tot het beheren van resources in uw abonnementen te beperken. Met privékoppelingen hebt u toegang tot Azure-services via een privé-eindpunt in uw virtuele netwerk. Dit voorkomt blootstelling van de service aan het openbare internet.

In dit artikel wordt het installatieproces van Private Link beschreven met behulp van Azure Portal.

Belangrijk

U kunt deze functie inschakelen voor lagen, tegen een toeslag.

Notitie

De mogelijkheid om privékoppelingen te gebruiken met Azure Notification Hubs is momenteel beschikbaar als preview-versie. Als u deze functie wilt gebruiken, neemt u contact op met uw customer success manager bij Microsoft of maakt u een ondersteuning voor Azure ticket.

Een privé-eindpunt maken samen met een nieuwe Notification Hub in de portal

Met de volgende procedure maakt u een privé-eindpunt samen met een nieuwe Notification Hub met behulp van Azure Portal:

  1. Maak een nieuwe Notification Hub en selecteer het tabblad Netwerken .

  2. Selecteer Privétoegang en selecteer Vervolgens Maken.

    Screenshot of notification hub creation page on portal showing private link option.

  3. Vul het abonnement, de resourcegroep, de locatie en een naam in voor het nieuwe privé-eindpunt. Kies een virtueel netwerk en een subnet. In Integreren met Privé-DNS Zone selecteert u Ja en typt u privatelink.notificationhubs.windows.net in het vak Privé-DNS Zone.

    Screenshot of notification hub private endpoint creation page.

  4. Selecteer OK om de bevestiging te zien van het maken van een naamruimte en hub met een privé-eindpunt.

  5. Selecteer Maken om de Notification Hub te maken met een privé-eindpuntverbinding.

    Screenshot of notification hub private endpoint confirmation page.

Een privé-eindpunt maken voor een bestaande Notification Hub in de portal

  1. Selecteer Notification Hubs in de portal aan de linkerkant onder de sectie Beveiliging en netwerken en selecteer Vervolgens Netwerken.

  2. Selecteer het tabblad Persoonlijke toegang .

    Screenshot of private access tab.

  3. Vul het abonnement, de resourcegroep, de locatie en een naam in voor het nieuwe privé-eindpunt. Kies een virtueel netwerk en subnet. Selecteer Maken.

    Screenshot of private link creation properties.

Een privé-eindpunt maken met CLI

  1. Meld u aan bij Azure CLI en stel een abonnement in:

    az login
az account set --subscription <azure_subscription_id>

  2. Maak een nieuwe resourcegroep:

    az group create -n <resource_group_name> -l <azure_region>

  3. Registreer Microsoft.NotificationHubs als provider:

    az provider register -n Microsoft.NotificationHubs

  4. Maak een nieuwe Notification Hubs-naamruimte en -hub:

    az notification-hub namespace create 
     --name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>
     --sku "Standard"

 az notification-hub create 
     --name <notification_hub_name>
     --namespace-name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>

  5. Maak een virtueel netwerk met een subnet:

    az network vnet create
     --resource-group <resource_group_name>
     --name <vNet name>
     --location <azure_region>

az network vnet subnet create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --name <subnet_name>
     --address-prefixes <address_prefix>

  6. Beleid voor virtuele netwerken uitschakelen:

    az network vnet subnet update
     --name <subnet_name>
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --disable-private-endpoint-network-policies true

  7. Voeg privé-DNS-zones toe en koppel ze aan een virtueel netwerk:

    az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.servicebus.windows.net

az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.notoficationhub.windows.net

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.servicebus.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.notificationhub.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

  8. Een privé-eindpunt maken (automatisch goedgekeurd):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>  
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace 
     --connection-name <private_link_connection_name>
     --location <azure-region>

  9. Een privé-eindpunt maken (met handmatige goedkeuring van de aanvraag):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vnet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace
     --connection-name <private_link_connection_name>
     --location <azure-region>
     --manual-request

  10. De verbindingsstatus weergeven:

    az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>

Privé-eindpunten beheren met behulp van de portal

Wanneer u een privé-eindpunt maakt, moet de verbinding worden goedgekeurd. Als de resource waarvoor u een privé-eindpunt maakt zich in uw directory bevindt, kunt u de verbindingsaanvraag goedkeuren, mits u over voldoende machtigingen beschikt. Als u verbinding maakt met een Azure-resource in een andere map, moet u wachten tot de eigenaar van die resource uw verbindingsaanvraag goedkeurt.

Er zijn vier inrichtingsstatussen:

Serviceactie Status privé-eindpunt serviceconsument Beschrijving
Geen In behandeling Verbinding maken wordt handmatig gemaakt en wacht op goedkeuring van de eigenaar van de private link-resource.
Goedkeuren Goedgekeurd De verbinding werd automatisch of handmatig goedgekeurd en is klaar om te worden gebruikt.
Verwerpen Afgewezen De verbinding werd afgewezen door de resource-eigenaar van de private link.
Verwijderen Ontkoppeld Verbinding maken is verwijderd door de eigenaar van de private link-resource. Het privé-eindpunt wordt informatief en moet worden verwijderd voor het opschonen.

Een privé-eindpuntverbinding goedkeuren, afwijzen of verwijderen

  1. Meld u aan bij de Azure-portal.
  2. Typ Notification Hubs in de zoekbalk.
  3. Selecteer de naamruimte die u wilt beheren.
  4. Selecteer het tabblad Netwerken.
  5. Ga naar de juiste sectie op basis van de bewerking die u wilt goedkeuren, afwijzen of verwijderen.

Een privé-eindpuntverbinding goedkeuren

  1. Als er verbindingen zijn die in behandeling zijn, wordt er een verbinding weergegeven met In behandeling in de inrichtingsstatus.

  2. Selecteer het privé-eindpunt dat u wilt goedkeuren.

  3. Selecteer Goedkeuren.

    Screenshot showing Networking tab ready for approval.

  4. Voer op de pagina Verbinding goedkeuren een optionele opmerking in en selecteer Vervolgens Ja. Als u Nee selecteert, gebeurt er niets.

    Screenshot showing approve connection page.

  5. U ziet nu de status van de verbinding in de lijstwijziging in Goedgekeurd.

Een privé-eindpuntverbinding weigeren

  1. Als er privé-eindpuntverbindingen zijn die u wilt weigeren, of het nu een aanvraag in behandeling is of een bestaande verbinding die eerder is goedgekeurd, selecteert u het pictogram voor eindpuntverbinding en selecteert u Weigeren.

    Screenshot showing reject connection option.

  2. Voer op de pagina Verbinding weigeren een optionele opmerking in en selecteer Vervolgens Ja. Als u Nee selecteert, gebeurt er niets.

  3. U ziet nu de status van de verbinding in de lijstwijziging in Geweigerd.

Een privé-eindpuntverbinding verwijderen

  1. Als u een privé-eindpuntverbinding wilt verwijderen, selecteert u deze in de lijst en selecteert u Verwijderen op de werkbalk:

    Screenshot showing remove connection page.

  2. Selecteer ja op de pagina Verbinding verwijderen om het verwijderen van het privé-eindpunt te bevestigen. Als u Nee selecteert, gebeurt er niets.

  3. De status van de verbinding in de lijst wordt gewijzigd in Verbinding verbroken. Het eindpunt verdwijnt vervolgens uit de lijst.

Controleer of resources in het virtuele netwerk van het privé-eindpunt verbinding maken met uw Notification Hubs-naamruimte via een privé-IP-adres en dat ze de juiste privé-DNS-zoneintegratie hebben.

Maak eerst een virtuele machine door de stappen te volgen in Een virtuele Windows-machine maken in Azure Portal.

Op het tabblad Netwerken :

  1. Geef het virtuele netwerk en subnet op. U moet het virtuele netwerk selecteren waarop u het privé-eindpunt hebt geïmplementeerd.
  2. Geef een openbare IP-resource op.
  3. Selecteer Geen voor NIC-netwerkbeveiligingsgroep.
  4. Selecteer Nee voor taakverdeling.

Verbinding maken naar de virtuele machine, open een opdrachtregel en voer de volgende opdracht uit:

Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net

Wanneer de opdracht wordt uitgevoerd vanaf de virtuele machine, retourneert deze het IP-adres van de privé-eindpuntverbinding. Wanneer deze wordt uitgevoerd vanuit een extern netwerk, wordt het openbare IP-adres van een van de Notification Hubs-clusters geretourneerd.

Beperkingen en ontwerpoverwegingen

Beperkingen: deze functie is beschikbaar in alle openbare Azure-regio's. Maximum aantal privé-eindpunten per Notification Hubs-naamruimte: 200

Zie de Azure Private Link-service: Beperkingen voor meer informatie.

Volgende stappen