你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
管理 Azure 专用终结点
Azure 专用终结点有多个选项用于管理其配置和部署。
可以通过查询Azure 专用链接资源来确定GroupId
和MemberName
值。 在创建期间,需要 GroupId
和 MemberName
值来为专用终结点配置静态 IP 地址。
专用终结点有两个自定义属性:静态 IP 地址和网络接口名称。 在创建专用终结点时必须设置这些属性。
通过服务提供商和使用者部署专用链接,可以执行审批过程来建立连接。
确定 GroupID 和 MemberName
使用 Azure PowerShell 和 Azure CLI 创建专用终结点期间, GroupId
可能需要专用终结点资源的和 MemberName
值。
GroupId
是专用终结点的子资源。MemberName
是终结点的专用 IP 地址的唯一标记。
有关专用终结点子资源及其值的详细信息,请参阅专用链接资源。
若要确定专用终结点资源的值 GroupId
, MemberName
请使用以下命令。 MemberName
包含在属性中 RequiredMembers
。
Azure Web 应用用作示例专用终结点资源。 使用 Get-AzPrivateLinkResource 确定其值 GroupId
和 MemberName
。
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
应会收到类似于以下示例的输出。
自定义属性
网络接口重命名和静态 IP 地址分配是可在创建期间在专用终结点上设置的自定义属性。
网络接口重命名
默认情况下,在创建某个专用终结点时,将为该专用终结点关联的网络接口指定一个随机名称。 必须在创建专用终结点时为该网络接口命名。 不支持重命名现有专用终结点的网络接口。
创建专用终结点以重命名网络接口时,请使用以下命令。
若要在创建专用终结点时重命名网络接口,请使用 -CustomNetworkInterfaceName
参数。 以下示例使用 Azure PowerShell 命令创建 Azure Web 应用的专用终结点。 有关详细信息,请参阅 New-AzPrivateEndpoint。
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
静态 IP 地址
默认情况下,创建专用终结点时,会自动分配终结点的 IP 地址。 该 IP 是从为专用终结点配置的虚拟网络的 IP 范围内分配的。 当专用终结点需要静态 IP 地址时,可能会出现问题。 必须在创建专用终结点时分配静态 IP 地址。 目前不支持为现有专用终结点配置静态 IP 地址。
有关在创建专用终结点时配置静态 IP 地址的过程,请参阅 使用 Azure PowerShell 创建专用终结点,并使用 Azure CLI 创建专用终结点。
专用终结点连接
专用链接适用于审批模型,专用链接使用者可以请求与服务提供商的连接以使用服务。
然后,服务提供商可以决定是否允许使用者进行连接。 专用链接使服务提供商能够管理其资源上的专用终结点连接。
专用链接使用者可以从以下两种连接审批方法中进行选择:
自动:如果服务使用者对服务提供商资源具有 Azure 基于角色的访问控制(RBAC)权限,则使用者可以选择自动审批方法。 当请求到达服务提供商资源时,服务提供程序不需要执行任何操作,并且将自动批准连接。
手动:如果服务使用者对服务提供商资源没有 RBAC 权限,则使用者可以选择手动审批方法。 连接请求会以“挂起”状态出现在服务资源上。 服务提供商必须手动批准请求,然后才能建立连接。
在手动情况下,服务使用者还可以通过请求指定消息,以便向服务提供商提供更多上下文。 服务提供商具有以下选项可用于选择所有专用终结点连接: 批准、 拒绝和 删除。
重要
若要批准与位于单独订阅或租户中的专用终结点的连接,请确保提供程序订阅或租户已注册 Microsoft.Network
。 使用者订阅或租户还应该注册目标资源的资源提供程序。
下表显示了专用终结点的各种服务提供商操作和生成的连接状态。 服务提供商可在稍后更改连接状态,且无需使用者干预。 此操作更新使用者端的终结点状态。
服务提供商操作 | 服务使用者专用终结点状态 | 说明 |
---|---|---|
无 | 挂起 | 连接是手动创建的,正等待专用链接资源所有者审批。 |
审批 | 已审核 | 连接自动或手动批准,随时可供使用。 |
拒绝 | 已拒绝 | 专用链接资源所有者拒绝连接。 |
删除 | 已断开连接 | 专用链接资源所有者删除连接,导致专用终结点断开连接,应将其删除进行清理。 |
管理 Azure PaaS 资源上的专用终结点连接
在 Azure 门户中使用以下步骤管理专用终结点连接。
登录 Azure 门户。
在门户顶部的搜索框中,输入“专用链接”。 在搜索结果中,选择“专用链接”。
在专用链接中心,选择专用终结点或专用链接服务。
对于每个终结点,可以查看与其关联的专用终结点连接数。 你可以根据需要筛选资源。
选择专用终结点。 在列出的连接下,选择要管理的连接。
可以通过从顶部的选项中进行选择来更改连接的状态。
管理客户或合作伙伴拥有专用链接服务上的专用终结点连接
使用以下 PowerShell 和 Azure CLI 命令管理 Microsoft 合作伙伴服务或客户拥有的服务上的专用终结点连接。
可以使用以下 PowerShell 命令来管理专用终结点连接。
获取专用链接连接状态
使用 Get-AzPrivateEndpoint连接ion 获取专用终结点连接及其状态。
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
批准专用终结点连接
使用 Approve-AzPrivateEndpoint连接ion 批准专用终结点连接。
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
拒绝专用终结点连接
使用 Deny-AzPrivateEndpoint连接ion 拒绝专用终结点连接。
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
删除专用终结点连接
使用 Remove-AzPrivateEndpoint连接ion 删除专用终结点连接。
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
注意
以前被拒绝的连接无法获得批准。 必须删除该连接,然后创建一个新的连接。