Schnellstart: Erstellen eines Private Link-Diensts mithilfe der Azure CLI

  • Artikel

Führen Sie die ersten Schritte zum Erstellen eines Private Link-Diensts für Ihren Dienst aus. Gewähren Sie für Private Link den Zugriff auf Ihren Dienst oder Ihre Ressource hinter Azure Load Balancer Standard. Benutzer Ihres Diensts verfügen über privaten Zugriff aus ihrem virtuellen Netzwerk.

Diagramm: Ressourcen, die im Schnellstart „Privater Endpunkt“ erstellt wurden

Wenn Sie kein Azure-Abonnement haben, erstellen Sie ein kostenloses Azure-Konto, bevor Sie beginnen.

Voraussetzungen

  • Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  • Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

    • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

    • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

    • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

  • Für diesen Schnellstart ist mindestens Version 2.0.28 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.

Erstellen einer Ressourcengruppe

Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Erstellen Sie mit az group create eine Ressourcengruppe:

  • Name: test-rg.

  • Standort: eastus2

az group create \
    --name test-rg \
    --location eastus2

Erstellen eines internen Load Balancers

In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk und eine interne Azure Load Balancer-Instanz.

Virtuelles Netzwerk

In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk und das Subnetz zum Hosten des Lastenausgleichs, der auf Ihren Private Link-Dienst zugreift.

Erstellen Sie mit az network vnet create ein virtuelles Netzwerk:

  • Name: vnet-1.

  • Adresspräfix: 10.0.0.0/16

  • Subnetz mit dem Namen subnet-1.

  • Subnetzpräfix: 10.0.0.0/24

  • In der Ressourcengruppe test-rg.

  • Standort: eastus2

  • Deaktivieren Sie die Netzwerkrichtlinie für den Private Link-Dienst im Subnetz.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Erstellen eines Standard-Lastenausgleichs

In diesem Abschnitt erfahren Sie, wie Sie die folgenden Komponenten des Lastenausgleichs erstellen und konfigurieren:

  • Front-End-IP-Pool, der den eingehenden Netzwerkdatenverkehr für den Lastenausgleich empfängt

  • Back-End-IP-Pool, an den der Front-End-Pool den Netzwerkdatenverkehr sendet, für den ein Lastenausgleich durchgeführt wurde

  • Integritätstest zum Ermitteln der Integrität der Back-End-VM-Instanzen

  • Lastenausgleichsregel, mit der definiert wird, wie Datenverkehr auf die virtuellen Computer verteilt werden soll

Erstellen der Lastenausgleichsressource

Erstellen Sie mit az network lb create einen öffentlichen Lastenausgleich:

  • Name: load-balancer.

  • Front-End-Pool mit dem Namen frontend.

  • Back-End-Pool mit dem Namen backend-pool.

  • Dem virtuellen Netzwerk vnet-1 zugeordnet.

  • Dem Back-End-Subnetz subnet-1 zugeordnet.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Erstellen des Integritätstests

Von einem Integritätstest werden alle VM-Instanzen überprüft, um sicherzustellen, dass sie Netzwerkdatenverkehr senden können.

Ist der Test bei einem virtuellen Computer nicht erfolgreich, wird er aus dem Lastenausgleich entfernt. Nach Behebung des Fehlers wird der virtuelle Computer dem Lastenausgleich wieder hinzugefügt.

Erstellen Sie mit az network lb probe create einen Integritätstest:

  • Überwacht die Integrität der virtuellen Computer

  • Name: health-probe.

  • Protokoll: TCP

  • Überwachter Port: 80

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Erstellen der Lastenausgleichsregel

Durch eine Lastenausgleichsregel wird Folgendes definiert:

  • Front-End-IP-Konfiguration für den eingehenden Datenverkehr.

  • Back-End-IP-Pool zum Empfangen des Datenverkehrs.

  • Erforderliche Quell- und Zielports.

Erstellen Sie mit az network lb rule create eine Lastenausgleichsregel:

  • Name: http-rule

  • Lauscht am Port 80 im Front-End-Pool frontend.

  • Sendet Netzwerkdatenverkehr, für den ein Lastenausgleich durchgeführt wurde, an den Back-End-Adresspool backend-pool unter Verwendung von Port 80.

  • Verwendet den Integritätstest health-probe.

  • Protokoll: TCP

  • Leerlaufzeitüberschreitung von 15 Minuten.

  • Aktivieren Sie die TCP-Zurücksetzung.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Deaktivieren von Netzwerkrichtlinien

Bevor ein Private Link-Dienst im virtuellen Netzwerk erstellt werden kann, muss die Einstellung privateLinkServiceNetworkPolicies deaktiviert werden.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

In diesem Abschnitt erstellen Sie eine Instanz des Private Link-Diensts, für die der im vorherigen Schritt erstellte Azure Load Balancer verwendet wird.

Erstellen Sie mit az network private-link-service create einen Private Link-Dienst unter Verwendung der Front-End-IP-Konfiguration von Load Balancer Standard:

  • Name: private-link-service.

  • Im virtuellen Netzwerk vnet-1.

  • Dem Standard-Lastenausgleich load-balancer und der Front-End-Konfiguration frontend zugeordnet.

  • Standort: eastus2

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Ihr Private Link-Dienst wird erstellt und kann Datenverkehr empfangen. Konfigurieren Sie Ihre Anwendung hinter Ihrer Instanz von Load Balancer Standard, falls Sie den Datenverkehrsfluss anzeigen möchten.

Erstellen eines privaten Endpunkts

In diesem Abschnitt ordnen Sie den Private Link-Dienst einem privaten Endpunkt zu. Ein virtuelles Netzwerk enthält den privaten Endpunkt für den Private Link-Dienst. In diesem virtuellen Netzwerk sind die Ressourcen enthalten, die auf Ihren Private Link-Dienst zugreifen.

Erstellen eines virtuellen Netzwerks des privaten Endpunkts

Erstellen Sie mit az network vnet create ein virtuelles Netzwerk:

  • Name: vnet-pe.

  • Adresspräfix: 10.1.0.0/16

  • Subnetz mit dem Namen subnet-pe.

  • Subnetzpräfix: 10.1.0.0/24

  • In der Ressourcengruppe test-rg.

  • Standort: eastus2

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Erstellen eines Endpunkts und einer Verbindung

  • Rufen Sie mit az network private-link-service show die Ressourcen-ID des Private Link-Diensts ab. Der Befehl legt die Ressourcen-ID für die spätere Verwendung in einer Variable ab.

  • Erstellen Sie mit az network private-endpoint create den privaten Endpunkt im virtuellen Netzwerk, das Sie zuvor erstellt haben.

  • Name: private-endpoint.

  • In der Ressourcengruppe test-rg.

  • Verbindungsname: connection-1.

  • Standort: eastus2

  • Im virtuellen Netzwerk vnet-pe und Subnetz subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe

Bereinigen von Ressourcen

Verwenden Sie den Befehl az group delete, um die Ressourcengruppe, den Private Link-Dienst, den Load Balancer und alle zugehörigen Ressourcen zu entfernen, wenn Sie sie nicht mehr benötigen.

az group delete \
    --name test-rg

Nächste Schritte

In dieser Schnellstartanleitung haben Sie Folgendes durchgeführt:

  • Erstellen eines virtuellen Netzwerks und einer internen Azure Load Balancer-Instanz

  • Erstellen eines Private Link-Diensts

Weitere Informationen zu privaten Azure-Endpunkten finden Sie unter:

Schnellstart: Erstellen eines privaten Endpunkts mit Azure CLI