Поделиться через

Использование Приватный канал (предварительная версия)

  • Статья

В этой статье описывается, как использовать Приватный канал для ограничения доступа к управлению ресурсами в подписках. Приватные каналы предоставляют доступ к службам Azure с помощью частной конечной точки в вашей виртуальной сети. Это предотвращает доступ к службе в общедоступном Интернете.

В этой статье описывается процесс установки Приватный канал с помощью портал Azure.

Важно!

Эту функцию можно включить на уровнях за дополнительную плату.

Примечание.

Возможность использования приватных ссылок с Центрами уведомлений Azure в настоящее время доступна в предварительной версии. Если вы хотите использовать эту функцию, обратитесь к менеджеру по успешному выполнению клиентов в Корпорации Майкрософт или создайте билет поддержка Azure.

Создание частной конечной точки вместе с новым центром уведомлений на портале

Следующая процедура создает частную конечную точку вместе с новым центром уведомлений с помощью портал Azure:

  1. Создайте центр уведомлений и перейдите на вкладку "Сеть ".

  2. Выберите закрытый доступ, а затем нажмите кнопку "Создать".

    Screenshot of notification hub creation page on portal showing private link option.

  3. Заполните подписку, группу ресурсов, расположение и имя новой частной конечной точки. Выберите виртуальную сеть и подсеть. В разделе "Интеграция с зоной Частная зона DNS" выберите "Да" и введите privatelink.notificationhubs.windows.net в поле "Зона Частная зона DNS".

    Screenshot of notification hub private endpoint creation page.

  4. Нажмите кнопку "ОК ", чтобы увидеть подтверждение создания пространства имен и концентратора с помощью частной конечной точки.

  5. Выберите "Создать", чтобы создать концентратор уведомлений с подключением к частной конечной точке.

    Screenshot of notification hub private endpoint confirmation page.

Создание частной конечной точки для существующего концентратора уведомлений на портале

  1. На портале в левой части раздела "Безопасность и сеть " выберите центры уведомлений, а затем выберите "Сеть".

  2. Выберите вкладку "Закрытый доступ ".

    Screenshot of private access tab.

  3. Заполните подписку, группу ресурсов, расположение и имя новой частной конечной точки. Выберите виртуальную сеть и подсеть. Нажмите кнопку создания.

    Screenshot of private link creation properties.

Создание частной конечной точки с помощью ИНТЕРФЕЙСА командной строки

  1. Войдите в Azure CLI и задайте подписку:

    az login
az account set --subscription <azure_subscription_id>

  2. Создайте новую группу ресурсов:

    az group create -n <resource_group_name> -l <azure_region>

  3. Зарегистрируйте Microsoft.NotificationHubs в качестве поставщика:

    az provider register -n Microsoft.NotificationHubs

  4. Создайте новое пространство имен Центров уведомлений и концентратор:

    az notification-hub namespace create 
     --name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>
     --sku "Standard"

 az notification-hub create 
     --name <notification_hub_name>
     --namespace-name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>

  5. Создайте виртуальную сеть с подсетью:

    az network vnet create
     --resource-group <resource_group_name>
     --name <vNet name>
     --location <azure_region>

az network vnet subnet create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --name <subnet_name>
     --address-prefixes <address_prefix>

  6. Отключите политики виртуальной сети:

    az network vnet subnet update
     --name <subnet_name>
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --disable-private-endpoint-network-policies true

  7. Добавьте частные зоны DNS и свяжите их с виртуальной сетью:

    az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.servicebus.windows.net

az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.notoficationhub.windows.net

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.servicebus.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.notificationhub.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

  8. Создайте частную конечную точку (автоматически утверждено):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>  
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace 
     --connection-name <private_link_connection_name>
     --location <azure-region>

  9. Создайте частную конечную точку (с утверждением запроса вручную):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vnet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace
     --connection-name <private_link_connection_name>
     --location <azure-region>
     --manual-request

  10. Отображение состояния подключения:

    az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>

Управление частными конечными точками с помощью портала

При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в каталоге, можно утвердить запрос на подключение, если у вас есть достаточные разрешения. При подключении к ресурсу Azure в другом каталоге необходимо дождаться, пока владелец этого ресурса утвердит запрос на подключение.

Существует четыре состояния подготовки:

Действие в службе Состояние частной конечной точки объекта-получателя службы Description
Нет Не завершено Подключение создается вручную и ожидает утверждения от владельца ресурса приватного канала.
Утвердить Утвержденная Подключение утверждено автоматически или вручную и готово к использованию.
Отклонить Аннулировано Подключение отклонил владелец ресурса Приватного канала.
Удалить Отключено Подключение удалил владелец ресурса Приватного канала. Частная конечная точка станет информативной и подлежит удалению для очистки.

Утверждение, отклонение или удаление подключения к частной конечной точке

  1. Войдите на портал Azure.
  2. В строке поиска введите Центры уведомлений.
  3. Выберите пространство имен для управления.
  4. Перейдите на вкладку Сеть.
  5. Перейдите в соответствующий раздел на основе операции, которую вы хотите утвердить, отклонить или удалить.

Утверждение подключения частной конечной точки

  1. Если есть какие-либо подключения, ожидающие, подключение отображается в состоянии подготовки.

  2. Выберите частную конечную точку, которую вы хотите утвердить.

  3. Выберите Утвердить.

    Screenshot showing Networking tab ready for approval.

  4. На странице "Утверждение подключения" введите необязательный комментарий, а затем нажмите кнопку "Да". Если выбрать Нет, ничего не произойдет.

    Screenshot showing approve connection page.

  5. Состояние подключения в списке изменится на "Утверждено".

Отклонение подключения к частной конечной точке

  1. Если есть какие-либо подключения к частной конечной точке, которые вы хотите отклонить, будь то ожидающий запрос или существующее подключение, утвержденное ранее, выберите значок подключения конечной точки и нажмите кнопку "Отклонить".

    Screenshot showing reject connection option.

  2. На странице "Отклонить подключение" введите необязательный комментарий, а затем нажмите кнопку "Да". Если выбрать Нет, ничего не произойдет.

  3. Состояние подключения в списке изменится на "Отклонено".

Удаление подключения к частной конечной точке

  1. Чтобы удалить подключение к частной конечной точке, выберите его в списке и нажмите кнопку "Удалить " на панели инструментов:

    Screenshot showing remove connection page.

  2. На странице Удалить подключение нажмите Да, чтобы подтвердить удаление частной конечной точки. Если выбрать Нет, ничего не произойдет.

  3. Состояние подключения в списке изменится на "Отключено". Затем конечная точка исчезает из списка.

Необходимо убедиться, что ресурсы в виртуальной сети частной конечной точки подключаются к пространству имен Центров уведомлений через частный IP-адрес и что они имеют правильную интеграцию частной зоны DNS.

Сначала создайте виртуальную машину, выполнив действия, описанные в статье "Создание виртуальной машины Windows" в портал Azure.

На вкладке Сеть выполните следующее.

  1. Укажите виртуальную сеть и подсеть. Необходимо выбрать виртуальную сеть, в которой развернута частная конечная точка.
  2. Укажите ресурс общедоступного IP-адреса.
  3. В списке Группа безопасности сети сетевого адаптера выберите Нет.
  4. В поле Балансировка нагрузки выберите Нет.

Подключение на виртуальную машину, откройте командную строку и выполните следующую команду:

Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net

При выполнении команды из виртуальной машины он возвращает IP-адрес подключения частной конечной точки. При выполнении из внешней сети он возвращает общедоступный IP-адрес одного из кластеров Центров уведомлений.

Проблемы и ограничения разработки

Ограничения: эта функция есть во всех общедоступных регионах Azure. Максимальное количество частных конечных точек на пространство имен Центров уведомлений: 200

Дополнительные сведения см. в разделе Приватный канал Azure службы: ограничения.

Следующие шаги