Использование Приватный канал (предварительная версия)
В этой статье описывается, как использовать Приватный канал для ограничения доступа к управлению ресурсами в подписках. Приватные каналы предоставляют доступ к службам Azure с помощью частной конечной точки в вашей виртуальной сети. Это предотвращает доступ к службе в общедоступном Интернете.
В этой статье описывается процесс установки Приватный канал с помощью портал Azure.
Важно!
Эту функцию можно включить на уровнях за дополнительную плату.
Примечание.
Возможность использования приватных ссылок с Центрами уведомлений Azure в настоящее время доступна в предварительной версии. Если вы хотите использовать эту функцию, обратитесь к менеджеру по успешному выполнению клиентов в Корпорации Майкрософт или создайте билет поддержка Azure.
Создание частной конечной точки вместе с новым центром уведомлений на портале
Следующая процедура создает частную конечную точку вместе с новым центром уведомлений с помощью портал Azure:
Создайте центр уведомлений и перейдите на вкладку "Сеть ".
Выберите закрытый доступ, а затем нажмите кнопку "Создать".
Заполните подписку, группу ресурсов, расположение и имя новой частной конечной точки. Выберите виртуальную сеть и подсеть. В разделе "Интеграция с зоной Частная зона DNS" выберите "Да" и введите privatelink.notificationhubs.windows.net в поле "Зона Частная зона DNS".
Нажмите кнопку "ОК ", чтобы увидеть подтверждение создания пространства имен и концентратора с помощью частной конечной точки.
Выберите "Создать", чтобы создать концентратор уведомлений с подключением к частной конечной точке.
Создание частной конечной точки для существующего концентратора уведомлений на портале
На портале в левой части раздела "Безопасность и сеть " выберите центры уведомлений, а затем выберите "Сеть".
Выберите вкладку "Закрытый доступ ".
Заполните подписку, группу ресурсов, расположение и имя новой частной конечной точки. Выберите виртуальную сеть и подсеть. Нажмите кнопку создания.
Создание частной конечной точки с помощью ИНТЕРФЕЙСА командной строки
Войдите в Azure CLI и задайте подписку:
az login az account set --subscription <azure_subscription_id>
Создайте новую группу ресурсов:
az group create -n <resource_group_name> -l <azure_region>
Зарегистрируйте Microsoft.NotificationHubs в качестве поставщика:
az provider register -n Microsoft.NotificationHubs
Создайте новое пространство имен Центров уведомлений и концентратор:
az notification-hub namespace create --name <namespace_name> --resource-group <resource_group_name> --location <azure_region> --sku "Standard" az notification-hub create --name <notification_hub_name> --namespace-name <namespace_name> --resource-group <resource_group_name> --location <azure_region>
Создайте виртуальную сеть с подсетью:
az network vnet create --resource-group <resource_group_name> --name <vNet name> --location <azure_region> az network vnet subnet create --resource-group <resource_group_name> --vnet-name <vNet_name> --name <subnet_name> --address-prefixes <address_prefix>
Отключите политики виртуальной сети:
az network vnet subnet update --name <subnet_name> --resource-group <resource_group_name> --vnet-name <vNet_name> --disable-private-endpoint-network-policies true
Добавьте частные зоны DNS и свяжите их с виртуальной сетью:
az network private-dns zone create --resource-group <resource_group_name> --name privatelink.servicebus.windows.net az network private-dns zone create --resource-group <resource_group_name> --name privatelink.notoficationhub.windows.net az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.servicebus.windows.net --name <dns_zone_link_name> --registration-enabled true az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.notificationhub.windows.net --name <dns_zone_link_name> --registration-enabled true
Создайте частную конечную точку (автоматически утверждено):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vNet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region>
Создайте частную конечную точку (с утверждением запроса вручную):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vnet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region> --manual-request
Отображение состояния подключения:
az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>
Управление частными конечными точками с помощью портала
При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в каталоге, можно утвердить запрос на подключение, если у вас есть достаточные разрешения. При подключении к ресурсу Azure в другом каталоге необходимо дождаться, пока владелец этого ресурса утвердит запрос на подключение.
Существует четыре состояния подготовки:
Действие в службе | Состояние частной конечной точки объекта-получателя службы | Description |
---|---|---|
Нет | Не завершено | Подключение создается вручную и ожидает утверждения от владельца ресурса приватного канала. |
Утвердить | Утвержденная | Подключение утверждено автоматически или вручную и готово к использованию. |
Отклонить | Аннулировано | Подключение отклонил владелец ресурса Приватного канала. |
Удалить | Отключено | Подключение удалил владелец ресурса Приватного канала. Частная конечная точка станет информативной и подлежит удалению для очистки. |
Утверждение, отклонение или удаление подключения к частной конечной точке
- Войдите на портал Azure.
- В строке поиска введите Центры уведомлений.
- Выберите пространство имен для управления.
- Перейдите на вкладку Сеть.
- Перейдите в соответствующий раздел на основе операции, которую вы хотите утвердить, отклонить или удалить.
Утверждение подключения частной конечной точки
Если есть какие-либо подключения, ожидающие, подключение отображается в состоянии подготовки.
Выберите частную конечную точку, которую вы хотите утвердить.
Выберите Утвердить.
На странице "Утверждение подключения" введите необязательный комментарий, а затем нажмите кнопку "Да". Если выбрать Нет, ничего не произойдет.
Состояние подключения в списке изменится на "Утверждено".
Отклонение подключения к частной конечной точке
Если есть какие-либо подключения к частной конечной точке, которые вы хотите отклонить, будь то ожидающий запрос или существующее подключение, утвержденное ранее, выберите значок подключения конечной точки и нажмите кнопку "Отклонить".
На странице "Отклонить подключение" введите необязательный комментарий, а затем нажмите кнопку "Да". Если выбрать Нет, ничего не произойдет.
Состояние подключения в списке изменится на "Отклонено".
Удаление подключения к частной конечной точке
Чтобы удалить подключение к частной конечной точке, выберите его в списке и нажмите кнопку "Удалить " на панели инструментов:
На странице Удалить подключение нажмите Да, чтобы подтвердить удаление частной конечной точки. Если выбрать Нет, ничего не произойдет.
Состояние подключения в списке изменится на "Отключено". Затем конечная точка исчезает из списка.
Проверка работоспособности подключения Приватного канала
Необходимо убедиться, что ресурсы в виртуальной сети частной конечной точки подключаются к пространству имен Центров уведомлений через частный IP-адрес и что они имеют правильную интеграцию частной зоны DNS.
Сначала создайте виртуальную машину, выполнив действия, описанные в статье "Создание виртуальной машины Windows" в портал Azure.
На вкладке Сеть выполните следующее.
- Укажите виртуальную сеть и подсеть. Необходимо выбрать виртуальную сеть, в которой развернута частная конечная точка.
- Укажите ресурс общедоступного IP-адреса.
- В списке Группа безопасности сети сетевого адаптера выберите Нет.
- В поле Балансировка нагрузки выберите Нет.
Подключение на виртуальную машину, откройте командную строку и выполните следующую команду:
Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net
При выполнении команды из виртуальной машины он возвращает IP-адрес подключения частной конечной точки. При выполнении из внешней сети он возвращает общедоступный IP-адрес одного из кластеров Центров уведомлений.
Проблемы и ограничения разработки
Ограничения: эта функция есть во всех общедоступных регионах Azure. Максимальное количество частных конечных точек на пространство имен Центров уведомлений: 200
Дополнительные сведения см. в разделе Приватный канал Azure службы: ограничения.