Szybki start: tworzenie usługi Private Link przy użyciu interfejsu wiersza polecenia platformy Azure

Rozpocznij tworzenie usługi Private Link, która odwołuje się do twojej usługi. Przyznaj usłudze Private Link dostęp do usługi lub zasobu wdrożonego za usługą Azure usługa Load Balancer w warstwie Standardowa. Użytkownicy usługi mają dostęp prywatny z sieci wirtualnej.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.

Wymagania wstępne

• Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.

  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

• Ten przewodnik Szybki start wymaga wersji 2.0.28 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.

Tworzenie grupy zasobów

Grupa zasobów platformy Azure to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.

Utwórz grupę zasobów za pomocą polecenia az group create:

• Nazwane test-rg.

• W lokalizacji eastus2.

az group create \
    --name test-rg \
    --location eastus2

Utwórz wewnętrzny moduł równoważenia obciążenia.

W tej sekcji utworzysz sieć wirtualną i wewnętrzną usługę Azure Load Balancer.

Sieć wirtualna

W tej sekcji utworzysz sieć wirtualną i podsieć do hostowania modułu równoważenia obciążenia, który uzyskuje dostęp do usługi Private Link.

Utwórz sieć wirtualną przy użyciu polecenia az network vnet create:

• Nazwane vnet-1.

• Prefiks adresu 10.0.0.0/16.

• Podsieć o nazwie subnet-1.

• Prefiks podsieci 10.0.0.0/24.

• W grupie zasobów test-rg.

• Lokalizacja eastus2.

• Wyłącz zasady sieciowe dla usługi łącza prywatnego w podsieci.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Tworzenie modułu równoważenia obciążenia w warstwie Standardowa

W tej sekcji opisano szczegółowo procedurę tworzenia i konfigurowania następujących składników modułu równoważenia obciążenia:

• Pula adresów IP frontonu, która odbiera przychodzący ruch sieciowy w module równoważenia obciążenia.

• Pula adresów IP zaplecza, w której pula frontonu wysyła ruch sieciowy ze zrównoważonym obciążeniem.

• Sonda kondycji, która określa kondycję wystąpień maszyn wirtualnych zaplecza.

• Reguła modułu równoważenia obciążenia, która definiuje sposób dystrybucji ruchu do maszyn wirtualnych.

Tworzenie zasobu modułu równoważenia obciążenia

Utwórz publiczny moduł równoważenia obciążenia za pomocą polecenia az network lb create:

• Nazwany moduł równoważenia obciążenia.

• Pula frontonu o nazwie fronton.

• Pula zaplecza o nazwie backend-pool.

• Skojarzone z siecią wirtualną vnet-1.

• Skojarzone z podsiecią podsieci zaplecza-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Tworzenie sondy kondycji

Sonda kondycji sprawdza wszystkie wystąpienia maszyn wirtualnych, aby upewnić się, że mogą wysyłać ruch sieciowy.

Maszyna wirtualna z nieudanym sprawdzaniem sondy jest usuwana z modułu równoważenia obciążenia. Maszyna wirtualna jest dodawana z powrotem do modułu równoważenia obciążenia po rozwiązaniu błędu.

Utwórz sondę kondycji za pomocą polecenia az network lb probe create:

• Monitoruje kondycję maszyn wirtualnych.

• Nazwana sonda kondycji.

• Protokół TCP.

• Monitorowanie portu 80.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Tworzenie reguły modułu równoważenia obciążenia

Reguła modułu równoważenia obciążenia definiuje:

• Konfiguracja adresu IP frontonu dla ruchu przychodzącego.

• Pula adresów IP zaplecza do odbierania ruchu.

• Wymagany port źródłowy i docelowy.

Utwórz regułę modułu równoważenia obciążenia za pomocą polecenia az network lb rule create:

• Nazwana reguła http

• Nasłuchiwanie na porcie 80 w frontonie puli frontonu.

• Wysyłanie ruchu sieciowego ze zrównoważonym obciążeniem do puli zaplecza puli adresów zaplecza przy użyciu portu 80.

• Korzystanie z sondy kondycji sondy kondycji.

• Protokół TCP.

• Limit czasu bezczynności 15 minut.

• Włącz resetowanie protokołu TCP.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Wyłączanie zasad sieciowych

Aby można było utworzyć usługę łącza prywatnego w sieci wirtualnej, ustawienie privateLinkServiceNetworkPolicies musi być wyłączone.

• Wyłącz zasady sieciowe za pomocą polecenia az network vnet subnet update.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

Tworzenie usługi łącza prywatnego

W tej sekcji utwórz usługę łącza prywatnego, która używa usługi Azure Load Balancer utworzonej w poprzednim kroku.

Utwórz usługę łącza prywatnego przy użyciu standardowej konfiguracji adresu IP frontonu modułu równoważenia obciążenia za pomocą polecenia az network private-link-service create:

• Nazwana usługa private-link-service.

• W sieci wirtualnej vnet-1.

• Skojarzone ze standardowym modułem równoważenia obciążenia i frontonem konfiguracji frontonu.

• W lokalizacji eastus2.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Usługa łącza prywatnego jest tworzona i może odbierać ruch. Jeśli chcesz zobaczyć przepływy ruchu, skonfiguruj aplikację za standardowym modułem równoważenia obciążenia.

Tworzenie prywatnego punktu końcowego

W tej sekcji zamapujesz usługę łącza prywatnego na prywatny punkt końcowy. Sieć wirtualna zawiera prywatny punkt końcowy dla usługi łącza prywatnego. Ta sieć wirtualna zawiera zasoby, które uzyskują dostęp do usługi łącza prywatnego.

Tworzenie sieci wirtualnej prywatnego punktu końcowego

Utwórz sieć wirtualną przy użyciu polecenia az network vnet create:

• Nazwane vnet-pe.

• Prefiks adresu 10.1.0.0/16.

• Podsieć o nazwie subnet-pe.

• Prefiks podsieci 10.1.0.0/24.

• W grupie zasobów test-rg.

• Lokalizacja eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Tworzenie punktu końcowego i połączenia

• Użyj polecenia az network private-link-service show , aby uzyskać identyfikator zasobu usługi łącza prywatnego. Polecenie umieszcza identyfikator zasobu w zmiennej do późniejszego użycia.

• Użyj polecenia az network private-endpoint create , aby utworzyć prywatny punkt końcowy w utworzonej wcześniej sieci wirtualnej.

• Nazwany prywatny punkt końcowy.

• W grupie zasobów test-rg.

• nazwa Połączenie ion connection-1.

• Lokalizacja eastus2.

• W sieci wirtualnej vnet-pe i podsieci subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe 

Czyszczenie zasobów

Gdy grupa zasobów, usługa private link, moduł równoważenia obciążenia i wszystkie powiązane zasoby nie będą już potrzebne, użyj polecenia az group delete .

az group delete \
    --name test-rg 

Następne kroki

W ramach tego przewodnika Szybki start wykonasz następujące czynności:

• Utworzono sieć wirtualną i wewnętrzną usługę Azure Load Balancer.

• Utworzono usługę łącza prywatnego

Aby dowiedzieć się więcej na temat prywatnego punktu końcowego platformy Azure, przejdź do:

Szybki start: tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure