Kom igång med privat länk

Artikel
11/06/2024

Översikt

Den här guiden beskriver funktionen privat länk (PL) för Azure Operator Service Manager (AOSM) för artefaktlager som finns på Azure Operator Nexus. Som en del av AOSM edge-registerinitiativet använder PL privata Azure-slutpunkter och azure private link-tjänsten för att på ett säkert sätt backhaul Nexus on-premises artifact store traffic. Den här trafiken exponeras aldrig för Internet, utan passerar i stället enbart Microsofts privata nätverk.

Introduktion

Det här dokumentet innehåller en snabbstartsguide för att aktivera funktionen privat länk för AOSM-artefaktarkiv med AOSM Publisher-API:er.

Behörigheter som krävs

De åtgärder som krävs för att länka och hantera en privat slutpunkt med en Nexus-infrastrukturkontrollant (NFC) kräver följande behörigheter för nondefault-rollen.

Behörigheter för att länka och hantera manuell privat slutpunkt

Ta bort privat slutpunkt

"Microsoft.HybridNetwork/publishers/artifactStores/removePrivateEndPoints/action"

Godkänn privat slutpunkt

"Microsoft.HybridNetwork/publishers/artifactStores/approvePrivateEndPoints/action"

Behörigheter för att länka och hantera en privat slutpunkt med NFC

Lägga till privata NFC-slutpunkter

"Microsoft.HybridNetwork/publishers/artifactStores/addNetworkFabricControllerEndPoints/action"
"Microsoft.ManagedNetworkFabric/networkFabricControllers/joinartifactstore/action"

Lista privata NFC-slutpunkter

"Microsoft.HybridNetwork/publishers/artifactStores/listNetworkFabricControllerPrivateEndPoints/action"

Ta bort privata NFC-slutpunkter

"Microsoft.HybridNetwork/publishers/artifactStores/deleteNetworkFabricControllerEndPoints/action"
"Microsoft.ManagedNetworkFabric/networkFabricControllers/disjoinartifactstore/action"

Kommentar

När nya NFC-behörigheter introduceras uppdateras de rekommenderade rollbehörigheterna.

Använda AOSM-API:er för att konfigurera en privat länk

Innan resurser kan laddas upp på ett säkert sätt upprättar följande åtgärdssekvens en PL-anslutning till artefaktarkivet.

Skapa utgivare och artefaktarkiv

Skapa en ny utgivarresurs med identitetstypen inställd på "SystemAssigned".
- Om utgivaren redan har skapats utan den här egenskapen använder du en reput-åtgärd för att uppdatera.
Använd den nya egenskapen "backingResourcePublicNetworkAccess" för att inaktivera offentlig åtkomst för artefaktarkiv.
- Egenskapen läggs först till i 2024-04-15-versionen.
- Om ArtifactResource redan har skapats utan den här egenskapen använder du en reput-åtgärd för att uppdatera.

Exempel på bicep-skript för utgivare

param location string = resourceGroup().location
param publisherName string
param acrArtifactStoreName string

/* AOSM publisher resource creation
*/
var publisherNameWithLocation = concat(publisherName, uniqueString(resourceGroup().id))
resource publisher 'Microsoft.HybridNetwork/publishers@2023-09-01' = {
 name: publisherNameWithLocation
 location: location
identity: {
 type: 'SystemAssigned' 
 }
 properties: {
 scope: 'Private'
 }
}

/* AOSM artifact store resource creation
*/
resource acrArtifactStore 'Microsoft.HybridNetwork/publishers/artifactStores@2024-04-15' = {
 parent: publisher
 name: acrArtifactStoreName
 location: location
 properties: {
 storeType: 'AzureContainerRegistry'
 backingResourcePublicNetworkAccess: 'Disabled'
 }
 
}

Manuella slutpunktsåtgärder

Följande åtgärder möjliggör manuell hantering av ett artefaktarkiv när PL har upprättats.

Hantera åtkomst till privat slutpunkt

När artefaktarkivet är anslutet till det virtuella nätverket har användaren som standard inte behörighet till ACR, så den privata slutpunkten hamnar i ett väntande tillstånd. Följande Azure rest-kommandon och nyttolast gör det möjligt för en användare att godkänna, avvisa och/eller lista dessa slutpunkter.

Kommentar

I det här arbetsflödet hanteras det virtuella nätverket av kunden.

Exempel på JSON-nyttolast:

{
 "manualPrivateEndPointConnections": [
 {
 "id":"/subscriptions/<subscriptionId>/resourceGroups/<ResourceGroup>/providers/Microsoft.Network/privateEndpoints/peName"
 }
 ]
 }

Exempel på privata slutpunktskommandon

# approve private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<ArtifactStore>/approveprivateendpoints?api-version=2024-04-15 --body '{ \"manualPrivateEndPointConnections\" : [ { \"id\" : \"/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.Network/privateEndpoints/peName\" } ] }'

# remove private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<ArtifactStore>/removeprivateendpoints?api-version=2024-04-15 --body '{ \"manualPrivateEndPointConnections\" : [ { \"id\" : \"/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.Network/privateEndpoints/peName\" } ] }'

# list private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<artifactStore>/listPrivateEndPoints?api-version=2024-04-15 --body '{}'

Lägga till privata slutpunkter i NFC

Med följande Azure-restkommandon kan en användare skapa, ta bort och/eller lista associationen mellan den privata slutpunkten, ACR och de nexushanterade virtuella nätverken.

Exempel på privata slutpunktskommandon

# add nfc private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<artifactStore>/addnetworkfabriccontrollerendpoints?apiversion=2024-04-15 --body '{ \"networkFabricControllerIds\":[{\"id\": \"/subscriptions/<Subscription>/resourceGroups/op2lab-nfc-useop1/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/op2labnfc01\"}] }'

# list nfc private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<Publisher>/artifactStores/<artifactStore>/listnetworkfabriccontrollerprivateendpoints?apiversion=2024-04-15 --body '{}'

# delete nfc private endpoints
az rest --method post --url https://management.azure.com/subscriptions/<Subscription>/resourceGroups/<ResourceGroup>/providers/Microsoft.HybridNetwork/publishers/<publisher>/artifactStores/<artifactStore>/deletenetworkfabriccontrollerendpoints?api-version=2024-04-15 --body '{ \"networkFabricControllerIds\":[{\"id\": \"/subscriptions/<Subscription>/resourceGroups/op2lab-nfc-useop1/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/op2labnfc01\"}] }'

Dela via

Kom igång med privat länk

Översikt

Introduktion

Behörigheter som krävs

Behörigheter för att länka och hantera manuell privat slutpunkt

Behörigheter för att länka och hantera en privat slutpunkt med NFC

Använda AOSM-API:er för att konfigurera en privat länk

Skapa utgivare och artefaktarkiv

Exempel på bicep-skript för utgivare

Manuella slutpunktsåtgärder

Hantera åtkomst till privat slutpunkt

Exempel på JSON-nyttolast:

Exempel på privata slutpunktskommandon

Lägga till privata slutpunkter i NFC

Exempel på privata slutpunktskommandon

Feedback

Ytterligare resurser