Korzystanie z usługi Private Link (wersja zapoznawcza)
W tym artykule opisano sposób używania usługi Private Link w celu ograniczenia dostępu do zarządzania zasobami w ramach subskrypcji. Linki prywatne umożliwiają dostęp do usług platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Zapobiega to narażeniu usługi na publiczny Internet.
W tym artykule opisano proces konfigurowania usługi Private Link przy użyciu witryny Azure Portal.
Ważne
Tę funkcję można włączyć w warstwach za dodatkową opłatę.
Uwaga
Możliwość korzystania z linków prywatnych w usłudze Azure Notification Hubs jest obecnie dostępna w wersji zapoznawczej. Jeśli interesuje Cię użycie tej funkcji, skontaktuj się z menedżerem sukcesu klienta w firmie Microsoft lub utwórz bilet pomoc techniczna platformy Azure.
Tworzenie prywatnego punktu końcowego wraz z nowym centrum powiadomień w portalu
Poniższa procedura tworzy prywatny punkt końcowy wraz z nowym centrum powiadomień przy użyciu witryny Azure Portal:
Utwórz nowe centrum powiadomień i wybierz kartę Sieć .
Wybierz pozycję Dostęp prywatny, a następnie wybierz pozycję Utwórz.
Wypełnij subskrypcję, grupę zasobów, lokalizację i nazwę nowego prywatnego punktu końcowego. Wybierz sieć wirtualną i podsieć. W obszarze Integracja z strefą Prywatna strefa DNS wybierz pozycję Tak i wpisz privatelink.notificationhubs.windows.net w polu Strefa Prywatna strefa DNS.
Wybierz przycisk OK , aby wyświetlić potwierdzenie utworzenia przestrzeni nazw i centrum z prywatnym punktem końcowym.
Wybierz pozycję Utwórz , aby utworzyć centrum powiadomień z prywatnym połączeniem punktu końcowego.
Tworzenie prywatnego punktu końcowego dla istniejącego centrum powiadomień w portalu
W portalu po lewej stronie w sekcji Zabezpieczenia i sieć wybierz pozycję Notification Hubs, a następnie wybierz pozycję Sieć.
Wybierz kartę Dostęp prywatny.
Wypełnij subskrypcję, grupę zasobów, lokalizację i nazwę nowego prywatnego punktu końcowego. Wybierz sieć wirtualną i podsieć. Wybierz pozycję Utwórz.
Tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia
Zaloguj się do interfejsu wiersza polecenia platformy Azure i ustaw subskrypcję:
az login az account set --subscription <azure_subscription_id>Utwórz nową grupę zasobów:
az group create -n <resource_group_name> -l <azure_region>Zarejestruj microsoft.NotificationHubs jako dostawcę:
az provider register -n Microsoft.NotificationHubsUtwórz nową przestrzeń nazw i centrum usługi Notification Hubs:
az notification-hub namespace create --name <namespace_name> --resource-group <resource_group_name> --location <azure_region> --sku "Standard" az notification-hub create --name <notification_hub_name> --namespace-name <namespace_name> --resource-group <resource_group_name> --location <azure_region>Utwórz sieć wirtualną z podsiecią:
az network vnet create --resource-group <resource_group_name> --name <vNet name> --location <azure_region> az network vnet subnet create --resource-group <resource_group_name> --vnet-name <vNet_name> --name <subnet_name> --address-prefixes <address_prefix>Wyłącz zasady sieci wirtualnej:
az network vnet subnet update --name <subnet_name> --resource-group <resource_group_name> --vnet-name <vNet_name> --disable-private-endpoint-network-policies trueDodaj prywatne strefy DNS i połącz je z siecią wirtualną:
az network private-dns zone create --resource-group <resource_group_name> --name privatelink.servicebus.windows.net az network private-dns zone create --resource-group <resource_group_name> --name privatelink.notoficationhub.windows.net az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.servicebus.windows.net --name <dns_zone_link_name> --registration-enabled true az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.notificationhub.windows.net --name <dns_zone_link_name> --registration-enabled trueUtwórz prywatny punkt końcowy (automatycznie zatwierdzony):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vNet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region>Utwórz prywatny punkt końcowy (z ręcznym zatwierdzeniem żądania):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vnet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region> --manual-requestPokaż stan połączenia:
az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>
Zarządzanie prywatnymi punktami końcowymi przy użyciu portalu
Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu, możesz zatwierdzić żądanie połączenia, pod warunkiem, że masz wystarczające uprawnienia. Jeśli łączysz się z zasobem platformy Azure w innym katalogu, musisz poczekać, aż właściciel tego zasobu zatwierdzi żądanie połączenia.
Istnieją cztery stany aprowizacji:
| Akcja w usłudze | Stan prywatnego punktu końcowego odbiorcy usługi | Opis |
|---|---|---|
| None | Oczekiwanie | Połączenie ion jest tworzony ręcznie i oczekuje na zatwierdzenie od właściciela zasobu łącza prywatnego. |
| Zatwierdzanie | Zatwierdzona | Połączenie ion został automatycznie lub ręcznie zatwierdzony i jest gotowy do użycia. |
| Odrzuć | Odrzucona | Połączenie ion został odrzucony przez właściciela zasobu łącza prywatnego. |
| Usuń | Odłączony | Połączenie ion został usunięty przez właściciela zasobu łącza prywatnego. Prywatny punkt końcowy staje się informacyjny i powinien zostać usunięty w celu oczyszczenia. |
Zatwierdzanie, odrzucanie lub usuwanie prywatnego połączenia punktu końcowego
- Zaloguj się w witrynie Azure Portal.
- Na pasku wyszukiwania wpisz Notification Hubs.
- Wybierz przestrzeń nazw, którą chcesz zarządzać.
- Wybierz kartę Sieć.
- Przejdź do odpowiedniej sekcji na podstawie operacji, którą chcesz zatwierdzić, odrzucić lub usunąć.
Zatwierdzanie połączenia prywatnego punktu końcowego
Jeśli istnieją oczekujące połączenia, zostanie wyświetlone połączenie z oczekującym stanem aprowizacji.
Wybierz prywatny punkt końcowy, który chcesz zatwierdzić.
Wybierz Zatwierdź.
Na stronie Zatwierdź połączenie wprowadź opcjonalny komentarz, a następnie wybierz pozycję Tak. Jeśli wybierzesz pozycję Nie, nic się nie stanie.
Stan połączenia powinien zostać wyświetlony na liście zmieniony na Zatwierdzone.
Odrzucanie połączenia prywatnego punktu końcowego
Jeśli istnieją jakiekolwiek połączenia prywatnego punktu końcowego, które chcesz odrzucić, niezależnie od tego, czy jest to oczekujące żądanie, czy istniejące połączenie zatwierdzone wcześniej, wybierz ikonę połączenia punktu końcowego i wybierz pozycję Odrzuć.
Na stronie Odrzucanie połączenia wprowadź opcjonalny komentarz, a następnie wybierz pozycję Tak. Jeśli wybierzesz pozycję Nie, nic się nie stanie.
Stan połączenia powinien zostać wyświetlony na liście zmieniony na Odrzucone.
Usuwanie połączenia prywatnego punktu końcowego
Aby usunąć połączenie prywatnego punktu końcowego, wybierz je na liście, a następnie wybierz pozycję Usuń na pasku narzędzi:
Na stronie Usuwanie połączenia wybierz pozycję Tak, aby potwierdzić usunięcie prywatnego punktu końcowego. Jeśli wybierzesz pozycję Nie, nic się nie stanie.
Stan połączenia powinien zostać wyświetlony na liście zmieniony na Rozłączone. Punkt końcowy zniknie z listy.
Sprawdzanie, czy połączenie łącza prywatnego działa
Należy sprawdzić, czy zasoby w sieci wirtualnej prywatnego punktu końcowego łączą się z przestrzenią nazw usługi Notification Hubs za pośrednictwem prywatnego adresu IP i że mają prawidłową integrację prywatnej strefy DNS.
Najpierw utwórz maszynę wirtualną, wykonując kroki opisane w temacie Tworzenie maszyny wirtualnej z systemem Windows w witrynie Azure Portal.
Na karcie Sieć :
- Określ sieć wirtualną i podsieć. Musisz wybrać sieć wirtualną, w której wdrożono prywatny punkt końcowy.
- Określ zasób publicznego adresu IP.
- W polu Sieciowa grupa zabezpieczeń karty sieciowej wybierz pozycję Brak.
- W obszarze Równoważenie obciążenia wybierz pozycję Nie.
Połączenie do maszyny wirtualnej, otwórz wiersz polecenia i uruchom następujące polecenie:
Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net
Po wykonaniu polecenia z maszyny wirtualnej zwraca on adres IP połączenia prywatnego punktu końcowego. Po wykonaniu z sieci zewnętrznej zwraca publiczny adres IP jednego z klastrów usługi Notification Hubs.
Ograniczenia i zagadnienia dotyczące projektowania
Ograniczenia: ta funkcja jest dostępna we wszystkich regionach publicznych platformy Azure. Maksymalna liczba prywatnych punktów końcowych na przestrzeń nazw usługi Notification Hubs: 200
Aby uzyskać więcej informacji, zobacz Azure Private Link Service: Limitations (Usługa Azure Private Link: ograniczenia).