Správa privátních koncových bodů Azure

Privátní koncové body Azure mají několik možností správy konfigurace a nasazení.

Zadáním dotazu na prostředek Azure Private Link můžete určit GroupId hodnoty MemberName . K konfiguraci statické IP adresy privátního koncového bodu během vytváření potřebujete GroupId hodnoty a MemberName hodnoty.

Privátní koncový bod má dvě vlastní vlastnosti: statickou IP adresu a název síťového rozhraní. Tyto vlastnosti musí být nastaveny při vytvoření privátního koncového bodu.

S nasazením poskytovatele služeb a příjemce služby Private Link se vytvoří proces schválení.

Určení ID skupiny a názvu člena

Při vytváření privátního koncového bodu pomocí Azure PowerShellu a Azure CLI GroupId může být potřeba prostředek privátního koncového bodu a MemberName hodnoty.

• GroupId je podsourcem privátního koncového bodu.
• MemberName je jedinečné razítko privátní IP adresy koncového bodu.

Další informace o dílčích zdrojích privátních koncových bodů a jejich hodnotách najdete v tématu Prostředek Private Link.

K určení hodnot prostředku privátního koncového GroupId bodu a MemberName jeho použití použijte následující příkazy. MemberName je obsažen v RequiredMembers rámci vlastnosti.

## Place the previously created webapp into a variable. ##
$webapp = 
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

$resource = 
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID

az network private-link-resource list \
    --resource-group MyResourceGroup \
    --name myWebApp1979 \
    --type Microsoft.Web/sites

Uživatelské vlastnosti

Přejmenování síťového rozhraní a přiřazení statických IP adres jsou vlastní vlastnosti, které můžete nastavit na privátním koncovém bodu během vytváření.

Přejmenování síťového rozhraní

Ve výchozím nastavení se při vytvoření privátního koncového bodu síťového rozhraní přidruženého k privátnímu koncovému bodu přidělí náhodnému názvu jeho síťového rozhraní. Síťové rozhraní musí být pojmenováno při vytvoření privátního koncového bodu. Přejmenování síťového rozhraní existujícího privátního koncového bodu není podporováno.

Při vytváření privátního koncového bodu pro přejmenování síťového rozhraní použijte následující příkazy.

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --group-id sites \
    --nic-name myPrivateEndpointNIC \
    --vnet-name myVNet

Statická IP adresa

Ve výchozím nastavení se při vytvoření privátního koncového bodu automaticky přiřadí IP adresa koncového bodu. IP adresa se přiřadí z rozsahu IP adres virtuální sítě nakonfigurované pro privátní koncový bod. Situace může nastat, když se vyžaduje statická IP adresa privátního koncového bodu. Statická IP adresa musí být přiřazena při vytvoření privátního koncového bodu. Konfigurace statické IP adresy pro existující privátní koncový bod se v současné době nepodporuje.

Postupy konfigurace statické IP adresy při vytváření privátního koncového bodu najdete v tématu Vytvoření privátního koncového bodu pomocí Azure PowerShellu a vytvoření privátního koncového bodu pomocí Azure CLI.

Připojení k privátním koncovým bodům

Private Link funguje na schvalovacím modelu, ve kterém si příjemce služby Private Link může vyžádat připojení k poskytovateli služeb za účelem využívání služby.

Poskytovatel služeb se pak může rozhodnout, jestli se má uživatel připojit, nebo ne. Private Link umožňuje poskytovatelům služeb spravovat připojení privátního koncového bodu ke svým prostředkům.

Existují dvě metody schválení připojení, ze které si uživatel služby Private Link může vybrat:

• Automaticky: Pokud má uživatel služby oprávnění řízení přístupu na základě role (RBAC) Azure pro prostředek poskytovatele služeb, může uživatel zvolit metodu automatického schvalování. Když požadavek dosáhne prostředku poskytovatele služeb, není od poskytovatele služeb vyžadována žádná akce a připojení se automaticky schválí.

• Ruční: Pokud uživatel služby nemá oprávnění RBAC k prostředku poskytovatele služeb, může uživatel zvolit metodu ručního schválení. Požadavek na připojení se zobrazí u prostředků služby jako Čekající. Poskytovatel služeb musí žádost před vytvořením připojení schválit ručně.

  V ručních případech může příjemce služby také zadat zprávu s požadavkem, aby poskytovateli služeb poskytl další kontext. Poskytovatel služeb má následující možnosti, ze které si můžete vybrat pro všechna připojení privátních koncových bodů: Schválit, Odmítnout a Odebrat.

Následující tabulka uvádí různé akce poskytovatele služeb a výsledné stavy připojení pro privátní koncové body. Poskytovatel služeb může později změnit stav připojení bez zásahu příjemce. Akce aktualizuje stav koncového bodu na straně příjemce.

Správa připojení privátních koncových bodů k prostředkům Azure PaaS

Pomocí následujících kroků můžete spravovat připojení privátního koncového bodu na webu Azure Portal.

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole v horní části portálu zadejte Private Link. Ve výsledcích hledání vyberte Private Link.

3. V Centru služby Private Link vyberte privátní koncové body nebo služby Private Link.

4. U každého koncového bodu můžete zobrazit počet připojení privátních koncových bodů přidružených k němu. Prostředky můžete filtrovat podle potřeby.

5. Vyberte privátní koncový bod. V seznamu připojení vyberte připojení, které chcete spravovat.

6. Stav připojení můžete změnit tak, že vyberete z možností v horní části.

Správa připojení privátních koncových bodů ve službě Private Link vlastněné zákazníkem nebo partnerem

Pomocí následujících příkazů PowerShellu a Azure CLI můžete spravovat připojení privátních koncových bodů v partnerských službách Microsoftu nebo službách vlastněných zákazníkem.

$get = @{
    Name = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get

$approve = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve

$deny = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection  @deny

$remove = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove

  az network private-endpoint-connection show \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

  az network private-endpoint-connection approve \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

  az network private-endpoint-connection reject \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

  az network private-endpoint-connection delete \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Další kroky

• Informace o privátních koncových bodech