快速入門:使用 Azure CLI 建立 Private Link 服務
開始建立參考您服務的 Private Link 服務。 針對在 Azure Standard Load Balancer 後方部署的服務或資源,授與 Private Link 存取權限。 您服務的使用者可以從其虛擬網路進行私人存取。
如果您沒有 Azure 訂閱,請在開始之前,先建立 Azure 免費帳戶。
必要條件
在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊,請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱使用 Azure CLI 登入。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊,請參閱使用 Azure CLI 擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
- 本快速入門需要 2.0.28 版或更新版本的 Azure CLI。 如果您是使用 Azure Cloud Shell,就已安裝最新版本。
建立資源群組
Azure 資源群組是在其中部署與管理 Azure 資源的邏輯容器。
使用 az group create 來建立資源群組:
名為 test-rg。
在 eastus2 位置。
az group create \
--name test-rg \
--location eastus2
建立內部負載平衡器
在本節中,您會建立虛擬網路和內部 Azure Load Balancer。
虛擬網路
在本節中,您會建立虛擬網路和子網路,以裝載可存取 Private Link 服務的負載平衡器。
使用 az network vnet create 建立虛擬網路:
名為 vnet-1。
位址前置詞 10.0.0.0/16。
名為 subnet-1 的子網路。
子網路前置詞 10.0.0.0/24。
在 test-rg 資源群組。
eastus2 的位置。
停用子網路上私人連結服務的網路原則。
az network vnet create \
--resource-group test-rg \
--location eastus2 \
--name vnet-1 \
--address-prefixes 10.0.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.0.0.0/24
建立標準負載平衡器
本節將詳細說明如何建立及設定下列負載平衡器元件:
前端 IP 集區,可接收負載平衡器上的連入網路流量。
後端 IP 集區,前端集區在其中傳送負載平衡網路流量。
健康狀態探查,可判斷後端 VM 執行個體的健康狀態。
負載平衡器規則,可定義如何將流量分散至 VM。
建立負載平衡器資源
使用 az network lb create 建立公用負載平衡器:
名為 load-balancer。
名為 frontend 的前端集區。
名為 backend-pool 的後端集區。
與虛擬網路 vnet-1 相關聯。
與後端子網路 subnet-1 相關聯。
az network lb create \
--resource-group test-rg \
--name load-balancer \
--sku Standard \
--vnet-name vnet-1 \
--subnet subnet-1 \
--frontend-ip-name frontend \
--backend-pool-name backend-pool
建立健康狀態探查
健全狀況探查會檢查所有虛擬機器執行個體,確認可以傳送網路流量。
已從負載平衡器移除具有失敗探查檢查的虛擬機器。 解決失敗情況之後,系統會將虛擬機器新增回負載平衡器。
使用 az network lb probe create 建立健康狀態探查:
監視虛擬機器的健康情況。
名為 health-probe。
通訊協定 TCP。
監視連接埠 80。
az network lb probe create \
--resource-group test-rg \
--lb-name load-balancer \
--name health-probe \
--protocol tcp \
--port 80
建立負載平衡器規則
負載平衡器規則定義:
傳入流量的前端 IP 設定。
接收流量的後端 IP 集區。
所需的來源和目的地連接埠。
使用 az network lb rule create 建立負載平衡器規則:
名為 http-rule
接聽前端集區 frontend 中的連接埠 80。
使用連接埠 80 將負載平衡的網路流量傳送到後端位址集區 backend-pool。
使用健全狀態探查 health-probe。
通訊協定 TCP。
閒置逾時時間為 15 分鐘。
啟用 TCP 重設。
az network lb rule create \
--resource-group test-rg \
--lb-name load-balancer \
--name http-rule \
--protocol tcp \
--frontend-port 80 \
--backend-port 80 \
--frontend-ip-name frontend \
--backend-pool-name backend-pool \
--probe-name health-probe \
--idle-timeout 15 \
--enable-tcp-reset true
停用網路原則
在虛擬網路中建立私人連結服務之前,必須先停用設定 privateLinkServiceNetworkPolicies。
- 使用 az network vnet subnet update 來停用網路原則。
az network vnet subnet update \
--name subnet-1 \
--vnet-name vnet-1 \
--resource-group test-rg \
--disable-private-link-service-network-policies yes
建立私人連結服務
在本節中,建立使用上一個步驟中所建立 Azure Load Balancer 的私人連結服務。
使用標準負載平衡器前端 IP 設定搭配 az network private-link-service create 建立私人連結服務:
名為 private-link-service。
在虛擬網路 vnet-1。
與標準負載平衡器 load-balancer 和前端設定 frontend 相關聯。
在 eastus2 位置。
az network private-link-service create \
--resource-group test-rg \
--name private-link-service \
--vnet-name vnet-1 \
--subnet subnet-1 \
--lb-name load-balancer \
--lb-frontend-ip-configs frontend \
--location eastus2
您的私人連結服務已建立,且可以接收流量。 如果您想要查看流量,請在標準負載平衡器後方設定您的應用程式。
建立私人端點
在本節中,您會將私人連結服務對應至私人端點。 虛擬網路包含私人連結服務的私人端點。 此虛擬網路包含將存取私人連結服務的資源。
建立私人端點虛擬網路
使用 az network vnet create 建立虛擬網路:
名為 vnet-pe。
位址前置詞 10.1.0.0/16。
名為 subnet-pe 的子網路。
10.1.0.0/24 的子網路前置詞。
在 test-rg 資源群組。
eastus2 的位置。
az network vnet create \
--resource-group test-rg \
--location eastus2 \
--name vnet-pe \
--address-prefixes 10.1.0.0/16 \
--subnet-name subnet-pe \
--subnet-prefixes 10.1.0.0/24
建立端點和連線
使用 az network private-link-service show 來取得私人連結服務的資源識別碼。 命令會將資源識別碼放入變數中,以供稍後使用。
使用 az network private-endpoint create,在先前建立的虛擬網路中建立私人端點。
名為 private-endpoint。
在 test-rg 資源群組。
連線名為 connection-1。
eastus2 的位置。
在虛擬網路中 vnet-pe 和子網路 subnet-pe。
export resourceid=$(az network private-link-service show \
--name private-link-service \
--resource-group test-rg \
--query id \
--output tsv)
az network private-endpoint create \
--connection-name connection-1 \
--name private-endpoint \
--private-connection-resource-id $resourceid \
--resource-group test-rg \
--subnet subnet-pe \
--manual-request false \
--vnet-name vnet-pe
清除資源
若不再需要,使用 az group delete 命令來移除資源群組、私人連結服務、負載平衡器和所有相關資源。
az group delete \
--name test-rg
下一步
在本快速入門中,您將:
建立虛擬網路和內部 Azure Load Balancer。
建立私人連結服務
若要深入了解 Azure 私人端點,請繼續: