Compartilhar via

Guia de início rápido: criar um serviço de Link Privado usando a CLI do Azure

  • Artigo

Introdução à criação de um serviço de Link Privado referente ao seu serviço. Conceda acesso do Link Privado ao serviço ou recurso implantado por trás de um Standard Load Balancer do Azure. Os usuários do seu serviço têm acesso privado da rede virtual deles.

Diagrama dos recursos criados no início rápido do ponto de extremidade privado.

Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.

Pré-requisitos

  • Este guia de início rápido requer a versão 2.0.28 ou posterior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.

Criar um grupo de recursos

Um grupo de recursos do Azure é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados.

Crie um grupo de recursos com az group create:

  • Chamado test-rg.

  • Na localização eastus2.

az group create \
    --name test-rg \
    --location eastus2

Criar um balanceador de carga interno

Nesta seção, você cria uma rede virtual e um Azure Load Balancer interno.

Rede virtual

Nesta seção, você criará uma rede virtual e uma sub-rede para hospedar o balanceador de carga que acessa o serviço de Link Privado.

Crie uma rede virtual usando az network vnet create:

  • Chamado vnet-1.

  • Prefixo de endereço igual a 10.0.0.0/16.

  • Sub-rede chamada subnet-1.

  • Prefixo de sub-rede 10.0.0.0/24.

  • No grupo de recursos test-rg.

  • Localização eastus2.

  • Desabilite a política de rede para o serviço de link privado na sub-rede.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Criar Standard Load Balancer

Esta seção fornece detalhes sobre como criar e configurar os componentes do balanceador de carga abaixo:

  • Um pool de IPs de front-end que recebe o tráfego de rede de entrada no balanceador de carga.

  • Um pool de IPs de back-end ao qual o pool de front-end envia o tráfego de rede com a carga balanceada.

  • Uma investigação de integridade que determina a integridade das instâncias de VM de back-end.

  • Uma regra de balanceador de carga que define como o tráfego é distribuído para as VMs.

Criar o recurso do balanceador de carga

Crie um balanceador de carga público com az network lb create:

  • Adicionar balanceador de carga.

  • Um pool de front-end chamado frontend.

  • Um pool de back-end chamado backend-pool.

  • Associado à rede virtual vnet-1.

  • Associado à sub-rede de back-end subnet-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Criar a investigação de integridade

Uma investigação de integridade verifica todas as instâncias da máquina virtual para garantir que elas possam enviar tráfego de rede.

Uma máquina virtual com uma verificação de investigação com falha é removida do balanceador de carga. A máquina virtual será adicionada novamente ao balanceador de carga quando a falha for resolvida.

Crie uma investigação de integridade com az network lb probe create:

  • Monitora a integridade das máquinas virtuais.

  • Chamado health-probe.

  • Protocolo TCP.

  • Monitorando a Porta 80.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Criar a regra de balanceador de carga

Uma regra de balanceador de carga define:

  • A configuração do IP de front-end para o tráfego de entrada.

  • O pool de IPs de back-end para receber o tráfego.

  • As portas de origem e de destino necessárias.

Crie uma regra de balanceador de carga com az network lb rule create:

  • Chamado http-rule

  • Escutando na Porta 80 no pool de front-end frontend.

  • Enviando tráfego de rede com balanceamento de carga para o pool de endereços de back-end backend-pool usando a Porta 80.

  • Usando a investigação de integridade health-probe.

  • Protocolo TCP.

  • Tempo limite de ociosidade de 15 minutos.

  • Habilitar redefinição de TCP.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Desabilitar a política de rede

Para que um serviço de link privado seja criado na rede virtual, a configuração privateLinkServiceNetworkPolicies precisa ser desabilitada.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

Nesta seção, crie um serviço de link privado que usa o Azure Load Balancer criado na etapa anterior.

Crie um serviço de link privado usando uma configuração de IP de front-end do Standard Load Balancer com az network private-link-service create:

  • Chamado private-link-service.

  • Na rede virtual vnet-1.

  • Associado ao Standard Load Balancer load-balancer e à configuração de front-end frontend.

  • Na localização eastus2.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

O seu serviço de link privado é criado e pode receber tráfego. Se você quiser ver os fluxos de tráfego, configure o seu aplicativo por trás do Standard Load Balancer.

Criar um ponto de extremidade privado

Nesta seção, você mapeará o serviço de link privado para um ponto de extremidade privado. Uma rede virtual contém o ponto de extremidade privado do serviço de link privado. Essa rede virtual contém os recursos que acessam seu serviço de link privado.

Criar uma rede virtual do ponto de extremidade privado

Crie uma rede virtual usando az network vnet create:

  • Chamado vnet-pe.

  • Prefixo de endereço 10.1.0.0/16.

  • Sub-rede chamada subnet-pe.

  • Prefixo de sub-rede 10.1.0.0/24.

  • No grupo de recursos test-rg.

  • Localização eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Criar um ponto de extremidade e uma conexão

  • Use az network private-link-service show para obter a ID do recurso do serviço de link privado. O comando coloca a ID do recurso em uma variável para uso posterior.

  • Use az network private-endpoint create para criar o ponto de extremidade privado na rede virtual criada anteriormente.

  • Chamado private-endpoint.

  • No grupo de recursos test-rg.

  • Nome da conexão connection-1.

  • Localização eastus2.

  • Na rede virtual vnet-pe e sub-rede subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe

Limpar os recursos

Use o comando az group delete para remover o grupo de recursos, o serviço de link privado, o balanceador de carga e todos os recursos relacionados quando não forem mais necessários.

az group delete \
    --name test-rg

Próximas etapas

Neste início rápido, você:

  • criou uma rede virtual e um Azure Load Balancer interno.

  • criou um serviço de link privado

Para saber mais sobre o ponto de extremidade privado do Azure, acesse:

Início Rápido: criar um Ponto de Extremidade Privado usando a CLI do Azure