快速入門 - 使用 Azure CLI 建立私人端點

藉由建立並使用私人端點來安全地連線到 Azure Web 應用程式，以開始使用 Azure Private Link。

在本快速入門中，建立 Azure App Service Web 應用程式的私人端點，然後建立並部署虛擬機器 (VM) 來測試私人連線。

您可以為各種 Azure 服務建立私人端點，例如 Azure SQL 和 Azure 儲存體。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 如果您尚未擁有 Azure 帳戶，請建立免費帳戶。

• 在 Azure 訂用帳戶中部署具有 PremiumV2 層 或更高層級 App Service 方案的 Azure Web 應用程式。

  • 如需詳細資訊和範例，請參閱快速入門：在 Azure 中建立 ASP.NET Core Web 應用程式。

  • 本文中的範例 webapp 名為 webapp-1。 將範例取代為您的 webapp 的名稱。

• 在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊，請參閱 Azure Cloud Shell 中的 Bash 快速入門。

  

• 若要在本地執行 CLI 參考命令，請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行，請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊，請參閱〈如何在 Docker 容器中執行 Azure CLI〉。

  • 如果您使用的是本機安裝，請使用 az login 命令，透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟，完成驗證程序。 如需其他登入選項，請參閱使用 Azure CLI 登入。

  • 出現提示時，請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊，請參閱使用 Azure CLI 擴充功能。

  • 執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本，請執行 az upgrade。

建立資源群組

Azure 資源群組是一種邏輯容器，您會在其中部署與管理 Azure 資源。

首先，使用 az group create 建立資源群組：

az group create \
    --name test-rg \
    --location eastus2

建立虛擬網路和堡壘主機

需要虛擬網路和子網路，才能裝載私人端點的私人 IP 位址。 您會建立堡壘主機，以安全地連線到虛擬機器，來測試私人端點。 您會在稍後的小節中建立虛擬機器。

注意

無論輸出資料使用量為何，每小時價格都是從部署 Bastion 的那一刻開始計費。 如需詳細資訊，請參閱價格和 SKU。 如果您要在教學課程或測試期間部署 Bastion，建議您在使用完畢後刪除此資源。

使用 az network vnet create 建立虛擬網路。

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

使用 az network vnet subnet create 建立堡壘子網路。

az network vnet subnet create \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --vnet-name vnet-1 \
    --address-prefixes 10.0.1.0/26

使用 az network public-ip create 建立堡壘主機的公用 IP 位址。

az network public-ip create \
    --resource-group test-rg \
    --name public-ip \
    --sku Standard \
    --zone 1 2 3

使用 az network bastion create 建立堡壘主機。

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --public-ip-address public-ip \
    --vnet-name vnet-1 \
    --location eastus2

部署 Azure Bastion 主機需要幾分鐘的時間。

建立私人端點

需要支援私人端點的 Azure 服務，才能設定私人端點和虛擬網路的連線。 針對本文中的範例，請使用來自必要條件的 Azure WebApp。 如需支援私人端點的 Azure 服務的詳細資訊，請參閱 Azure Private Link 可用性。

私人端點可以有靜態或動態指派的 IP 位址。

重要

您必須擁有先前部署的 Azure App Service WebApp，才能繼續進行本文中的步驟。 如需詳細資訊，請參閱必要條件。

使用 az webapp list，將您稍早所建立的 Web 應用程式資源識別碼放入殼層變數。 使用 az network private-endpoint create 建立私人端點。

動態 IP

id=$(az webapp list \
    --resource-group test-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $id \
    --resource-group test-rg \
    --subnet subnet-1 \
    --group-id sites \
    --vnet-name vnet-1    

靜態 IP

id=$(az webapp list \
    --resource-group test-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $id \
    --resource-group test-rg \
    --subnet subnet-1 \
    --group-id sites \
    --ip-config name=ipconfig-1 group-id=sites member-name=sites private-ip-address=10.0.0.10 \
    --vnet-name vnet-1

設定私人 DNS 區域

私人 DNS 區域可用來解析虛擬網路中私人端點的 DNS 名稱。 在此範例中，我們會使用 Azure WebApp 的 DNS 資訊，如需私人端點的 DNS 組態的詳細資訊，請參閱 Azure 私人端點 DNS 組態。

使用 az network private-dns zone create 建立新的私人 Azure DNS 區域。

az network private-dns zone create \
    --resource-group test-rg \
    --name "privatelink.azurewebsites.net"

使用 az network private-dns link vnet create 將 DNS 區域連結至您先前建立的虛擬網路。

az network private-dns link vnet create \
    --resource-group test-rg \
    --zone-name "privatelink.azurewebsites.net" \
    --name dns-link \
    --virtual-network vnet-1 \
    --registration-enabled false

使用 az network private-endpoint dns-zone-group create 建立 DNS 區域群組。

az network private-endpoint dns-zone-group create \
    --resource-group test-rg \
    --endpoint-name private-endpoint \
    --name zone-group \
    --private-dns-zone "privatelink.azurewebsites.net" \
    --zone-name webapp

建立測試虛擬機器

若要驗證靜態 IP 位址和私人端點的功能，需要連線到您虛擬網路的測試虛擬機器。

使用 az vm create 建立虛擬機器。

az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --image Win2022Datacenter \
    --public-ip-address "" \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --admin-username azureuser

注意

虛擬網路中的虛擬機器 (具有 Bastion 主機) 不需要公用 IP 位址。 Bastion 會提供公用 IP，而 VM 會使用私人 IP 在網路內通訊。 您可以從裝載了 Bastion 的虛擬網路中，移除任何 VM 的公用 IP。 如需詳細資訊，請參閱中斷公用 IP 位址與 Azure VM 的關聯。

注意

無論是未獲指派公用 IP 位址的 VM，或位於內部基本 Azure 負載平衡器後端集區的 VM，Azure 都會為其提供預設輸出存取 IP。 預設輸出存取 IP 機制能提供無法自行設定的輸出 IP 位址。

發生下列其中一個事件時，會停用預設輸出存取 IP：

• 公用 IP 位址會指派給 VM。
• 無論有沒有輸出規則，都會將 VM 放在標準負載平衡器的後端集區中。
• Azure NAT 閘道資源會指派給 VM 的子網。

您在彈性協調流程模式中使用虛擬機器擴展集建立的 VM 沒有預設輸出存取。

如需 Azure 中輸出連線的詳細資訊，請參閱 Azure 中的預設輸出存取與針對輸出連線，使用來源網路位址轉譯 (SNAT)。

測試對私人端點的連線能力

使用您稍早建立的虛擬機器，跨私人端點連線到 Web 應用程式。

1. 在入口網站頂端的搜尋方塊中，輸入虛擬機器。 選取 [虛擬機器]。

2. 選取 [vm-1]。

3. 在 vm-1 的概觀頁面上，選取 [連線]，再選取 [Bastion] 索引標籤。

4. 選取 [使用 Bastion]。

5. 輸入您在建立 VM 時所使用的使用者名稱和密碼。

6. 選取 Connect。

7. 連線之後，請在伺服器上開啟 PowerShell。

8. 輸入 nslookup webapp-1.azurewebsites.net。 您會收到類似以下範例的訊息：

   Server:  UnKnown
   Address:  168.63.129.16
   
   Non-authoritative answer:
   Name:    webapp-1.privatelink.azurewebsites.net
   Address:  10.0.0.10
   Aliases:  webapp-1.azurewebsites.net
   

   針對 Web 應用程式名稱，會傳回 10.0.0.10 的私人 IP 位址 (如果您在先前的步驟中選擇靜態 IP 位址的話)。 此位址位於您先前所建立虛擬網路的子網路中。

9. 在與 vm-1 的堡壘連線中，開啟網頁瀏覽器。

10. 輸入 Web 應用程式的 URL：https://webapp-1.azurewebsites.net。

    如果尚未部署 Web 應用程式，您會收到下列預設 Web 應用程式頁面：

    

11. 關閉與 vm-1 的連線。

清除資源

若不再需要，使用 az group delete 命令來移除資源群組、私人連結服務、負載平衡器和所有相關資源。

  az group delete \
    --name test-rg

下一步

如需支援私人端點的服務詳細資訊，請參閱：

什麼是 Azure Private Link？