Gerenciar pontos de extremidade privados do Azure
Os pontos de extremidade privados do Azure têm várias opções para gerenciar sua configuração e implantação.
Você pode determinar GroupId e MemberName valores consultando o recurso Link Privado do Azure. Você precisa dos valores e MemberName para configurar um endereço IP estático para um ponto de extremidade privado durante a GroupId criação.
Um ponto de extremidade privado tem duas propriedades personalizadas: endereço IP estático e nome da interface de rede. Essas propriedades devem ser definidas quando o ponto de extremidade privado é criado.
Com um provedor de serviços e a implantação do Private Link pelo consumidor, um processo de aprovação está em vigor para fazer a conexão.
Determinar GroupID e MemberName
Durante a criação de um ponto de extremidade privado com o Azure PowerShell e a CLI do Azure, os GroupId valores e MemberName valores do recurso de ponto de extremidade privado podem ser necessários.
GroupIdé o subrecurso do ponto de extremidade privado.MemberNameé o carimbo exclusivo para o endereço IP privado do ponto de extremidade.
Para obter mais informações sobre subrecursos de ponto de extremidade privado e seus valores, consulte Recurso de link privado.
Para determinar os valores de e MemberName para seu recurso de ponto de GroupId extremidade privado, use os comandos a seguir. MemberName está contido dentro da RequiredMembers propriedade.
Um aplicativo Web do Azure é usado como o exemplo de recurso de ponto de extremidade privado. Use Get-AzPrivateLinkResource para determinar os valores de GroupId e MemberName.
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
Você deve receber uma saída semelhante ao exemplo a seguir.
Propriedades personalizadas
Renomeação de interface de rede e atribuição de endereço IP estático são propriedades personalizadas que você pode definir em um ponto de extremidade privado durante a criação.
Renomeação do adaptador de rede
Por padrão, quando um ponto de extremidade privado é criado, o adaptador de rede associado ao ponto de extremidade privado recebe um nome aleatório. O adaptador de rede deve ser nomeado quando o ponto de extremidade privado é criado. Não é possível renomear o adaptador de rede de um ponto de extremidade privado já existente.
Use os comandos a seguir ao criar um ponto de extremidade privado para renomear a interface de rede.
Para renomear o adaptador de rede ao criar o ponto de extremidade privado, use o parâmetro -CustomNetworkInterfaceName. O exemplo a seguir usa um comando do Azure PowerShell para criar um ponto de extremidade privado para um aplicativo Web do Azure. Para obter mais informações, consulte New-AzPrivateEndpoint.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
Endereço IP estático
Por padrão, quando um ponto de extremidade privado é criado, o endereço IP do ponto de extremidade é atribuído automaticamente. O IP é atribuído do intervalo de IPs da rede virtual configurada para o ponto de extremidade privado. Uma situação pode surgir quando um endereço IP estático para o ponto de extremidade privado é necessário. O endereço IP estático deve ser atribuído quando o ponto de extremidade privado é criado. No momento, não é possível configurar um endereço IP estático para um ponto de extremidade privado já existente.
Para obter procedimentos para configurar um endereço IP estático ao criar um ponto de extremidade privado, consulte Criar um ponto de extremidade privado usando o Azure PowerShell e Criar um ponto de extremidade privado usando a CLI do Azure.
Conexões de ponto de extremidade privado
O Private Link funciona em um modelo de aprovação em que o consumidor do Private Link pode solicitar uma conexão com o provedor de serviços para consumir o serviço.
O provedor de serviços pode decidir se deseja permitir que o consumidor se conecte ou não. O Private Link permite que os provedores de serviços gerenciem a conexão de ponto de extremidade privada em seus recursos.
Há dois métodos de aprovação de conexão que um consumidor de Link Privado pode escolher:
Automático: se o consumidor de serviço tiver permissões RBAC (controle de acesso baseado em função) do Azure no recurso do provedor de serviços, o consumidor poderá escolher o método de aprovação automática. Quando a solicitação atinge o recurso do provedor de serviços, nenhuma ação é necessária por parte do provedor de serviços e a conexão é aprovada automaticamente.
Manual: se o consumidor de serviço não tiver permissões RBAC no recurso do provedor de serviços, ele poderá escolher o método de aprovação manual. A solicitação de conexão é exibida nos recursos de serviço como Pendente. O provedor de serviços deve aprovar manualmente a solicitação antes que as conexões possam ser estabelecidas.
Em casos manuais, o consumidor de serviço também pode especificar uma mensagem com a solicitação para fornecer mais contexto ao provedor de serviços. O provedor de serviços tem as seguintes opções para escolher para todas as conexões de ponto de extremidade privadas: Aprovar, Rejeitar e Remover.
Importante
Para aprovar conexões com um ponto de extremidade privado que esteja em uma assinatura ou locatário separado, verifique se a assinatura do provedor ou locatário se registrou Microsoft.Network. A assinatura do consumidor ou locatário também deve ter o provedor de recursos do recurso de destino registrado.
A tabela a seguir mostra as várias ações do provedor de serviços e os estados de conexão resultantes para pontos de extremidade privados. O provedor de serviços também pode alterar o estado da conexão mais tarde, sem intervenção do consumidor. A ação atualiza o estado do ponto de extremidade no lado do consumidor.
| Ação do provedor de serviços | Estado de ponto de extremidade privado do consumidor do serviço | Descrição |
|---|---|---|
| Nenhum | Pendente | A conexão foi criada manualmente e está pendente de aprovação do proprietário do recurso do link privado. |
| Aprovar | Aprovado | A conexão é aprovada automática ou manualmente e está pronta para ser usada. |
| Rejeitar | Rejeitado | O proprietário do recurso Link Privado rejeita a conexão. |
| Remover | Desconectado | O proprietário do recurso Link Privado remove a conexão, fazendo com que o ponto de extremidade privado seja desconectado e ele deve ser excluído para limpeza. |
Gerenciar conexões de ponto de extremidade privado em recursos de PaaS do Azure
Use as etapas a seguir para gerenciar uma conexão de ponto de extremidade privado no portal do Azure.
Entre no portal do Azure.
Na caixa de pesquisa na parte superior do portal, insira Link Privado. Nos resultados da pesquisa, selecione Link privado.
No Centro de Links Privados, selecione Pontos de extremidade privados ou Serviços de link privado.
Você pode ver o número de conexões de ponto de extremidade privado associadas a cada um dos pontos de extremidade. É possível filtrar os recursos conforme necessário.
Selecione o ponto de extremidade privado. Nas conexões listadas, selecione a conexão que você deseja gerenciar.
Você pode alterar o estado da conexão selecionando as opções na parte superior.
Gerenciar conexões de ponto de extremidade privadas em um serviço de Link Privado de propriedade do cliente ou parceiro
Use os seguintes comandos do PowerShell e da CLI do Azure para gerenciar conexões de ponto de extremidade privadas em serviços de parceiros da Microsoft ou serviços de propriedade do cliente.
Use os comandos do PowerShell a seguir para gerenciar conexões de ponto de extremidade privadas.
Obter estados de conexão de link privado
Use Get-AzPrivateEndpointConnection para obter as conexões de ponto de extremidade privado e seus estados.
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
Aprovação de uma conexão de ponto de extremidade privado
Use Approve-AzPrivateEndpointConnection para aprovar uma conexão de ponto de extremidade privada.
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
Negar uma conexão de ponto de extremidade privada
Use Deny-AzPrivateEndpointConnection para rejeitar uma conexão de ponto de extremidade privada.
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
Remoção de uma conexão de ponto de extremidade privado
Use Remove-AzPrivateEndpointConnection para remover uma conexão de ponto de extremidade privada.
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
Observação
Conexões negadas anteriormente não podem ser aprovadas. Você deve remover a conexão e criar uma nova.