Utiliser Private Link (préversion)

Cet article explique comment utiliser Private Link pour restreindre l’accès à la gestion des ressources dans vos abonnements. Les liaisons privées vous permettent d’accéder aux services Azure sur un point de terminaison privé de votre réseau virtuel. Cela empêche l’exposition du service à l’Internet public.

Cet article décrit le processus d’installation de Private Link à l’aide du portail Azure.

Important

Vous pouvez activer cette fonctionnalité sur différents niveaux, moyennant un coût supplémentaire.

Remarque

La fonctionnalité permettant d’utiliser des liens privés avec Azure Notification Hubs est actuellement en préversion. Si vous souhaitez utiliser cette fonctionnalité, contactez votre responsable de la satisfaction client chez Microsoft ou créez un ticket de support Azure.

Créer un point de terminaison privé avec un nouveau hub de notification dans le portail

La procédure suivante crée un point de terminaison privé avec un nouveau hub de notification à l’aide du portail Azure :

  1. Créez un hub de notification, puis sélectionnez l’onglet Mise en réseau .

  2. Sélectionnez Accès privé, puis sélectionnez Créer.

    Screenshot of notification hub creation page on portal showing private link option.

  3. Renseignez les champs Abonnement, Groupe de ressources, Emplacement, ainsi qu’un nom du nouveau point de terminaison privé. Choisissez un réseau virtuel et un sous-réseau. Dans Intégrer à la zone DNS privé, sélectionnez Oui et tapez privatelink.notificationhubs.windows.net dans Zone DNS privé.

    Screenshot of notification hub private endpoint creation page.

  4. Sélectionnez OK pour afficher la confirmation de la création de l’espace de noms et du hub avec un point de terminaison privé.

  5. Sélectionnez Créer pour créer le hub de notification avec une connexion de point de terminaison privé.

    Screenshot of notification hub private endpoint confirmation page.

Créer un point de terminaison privé pour un hub de notification existant dans le portail

  1. Dans le portail, sur le côté gauche, sous la section Sécurité + mise en réseau, sélectionnez Notification Hubs, puis Mise en réseau.

  2. Sélectionnez l’onglet Accès privé.

    Screenshot of private access tab.

  3. Renseignez les champs Abonnement, Groupe de ressources, Emplacement, ainsi qu’un nom du nouveau point de terminaison privé. Choisissez un réseau virtuel et un sous-réseau. Sélectionnez Créer.

    Screenshot of private link creation properties.

Créer un point de terminaison privé en utilisant CLI

  1. Connectez-vous à Azure CLI et définissez un abonnement :

    az login
    az account set --subscription <azure_subscription_id>
    
  2. Créez un autre groupe de ressources :

    az group create -n <resource_group_name> -l <azure_region>
    
  3. Inscrivez Microsoft.NotificationHubs en tant que fournisseur :

    az provider register -n Microsoft.NotificationHubs
    
  4. Créez un nouveau hub et un nouvel espace de noms Notification Hubs :

    az notification-hub namespace create 
         --name <namespace_name>
         --resource-group <resource_group_name>
         --location <azure_region>
         --sku "Standard"
    
     az notification-hub create 
         --name <notification_hub_name>
         --namespace-name <namespace_name>
         --resource-group <resource_group_name>
         --location <azure_region>
    
  5. Créez un réseau virtuel avec un sous-réseau :

    az network vnet create
         --resource-group <resource_group_name>
         --name <vNet name>
         --location <azure_region>
    
    az network vnet subnet create
         --resource-group <resource_group_name>
         --vnet-name <vNet_name>
         --name <subnet_name>
         --address-prefixes <address_prefix>
    
  6. Désactivez les stratégies de réseau virtuel :

    az network vnet subnet update
         --name <subnet_name>
         --resource-group <resource_group_name>
         --vnet-name <vNet_name>
         --disable-private-endpoint-network-policies true
    
  7. Ajoutez des zones DNS privées et liez-les à un réseau virtuel :

    az network private-dns zone create
         --resource-group <resource_group_name>
         --name privatelink.servicebus.windows.net
    
    az network private-dns zone create
         --resource-group <resource_group_name>
         --name privatelink.notoficationhub.windows.net
    
    az network private-dns link vnet create
         --resource-group <resource_group_name>
         --virtual-network <vNet_name>
         --zone-name privatelink.servicebus.windows.net 
         --name <dns_zone_link_name>
         --registration-enabled true
    
    az network private-dns link vnet create
         --resource-group <resource_group_name>
         --virtual-network <vNet_name>
         --zone-name privatelink.notificationhub.windows.net 
         --name <dns_zone_link_name>
         --registration-enabled true
    
  8. Créez un point de terminaison privé (approuvé automatiquement) :

    az network private-endpoint create
         --resource-group <resource_group_name>
         --vnet-name <vNet_name>
         --subnet <subnet_name>
         --name <private_endpoint_name>  
         --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
         --group-ids namespace 
         --connection-name <private_link_connection_name>
         --location <azure-region>
    
  9. Créez un point de terminaison privé (avec approbation de demande manuelle) :

    az network private-endpoint create
         --resource-group <resource_group_name>
         --vnet-name <vnet_name>
         --subnet <subnet_name>
         --name <private_endpoint_name>
         --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
         --group-ids namespace
         --connection-name <private_link_connection_name>
         --location <azure-region>
         --manual-request
    
  10. Affichez l’état de la connexion :

    az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>
    

Gérer des points de terminaison privés depuis le portail

Quand vous créez un point de terminaison privé, la connexion doit être approuvée. Si la ressource pour laquelle vous créez un point de terminaison privé se trouve dans votre répertoire, vous pouvez approuver la requête de connexion à condition d’avoir les autorisations nécessaires. Si vous vous connectez à une ressource Azure dans un autre répertoire, vous devez attendre que le propriétaire de cette ressource approuve votre requête de connexion.

Il existe quatre états de provisionnement :

Action de service État du point de terminaison privé de l’utilisateur du service Description
None Pending La connexion est créée manuellement et est en attente d’approbation du propriétaire de la ressource de liaison privée.
Approbation Approved La connexion a été approuvée automatiquement ou manuellement et est prête à être utilisée.
Rejeter Rejeté La connexion a été rejetée par le propriétaire de la ressource Private Link.
Supprimer Déconnecté La connexion a été supprimée par le propriétaire de la ressource Private Link. Private Endpoint devient informatif et doit être supprimé pour le nettoyage.

Approuver, rejeter ou supprimer une connexion de point de terminaison privé

  1. Connectez-vous au portail Azure.
  2. Dans la barre de recherche, tapez Notification Hubs.
  3. Sélectionnez l’espace de noms que vous voulez gérer.
  4. Sélectionnez l’onglet Réseau.
  5. Accédez à la section appropriée en fonction de l’opération souhaitée : approuver, rejeter ou supprimer.

Approuver une connexion de point de terminaison privé

  1. Si une connexion est en attente, celle-ci présente l’état de provisionnement En attente.

  2. Sélectionnez le point de terminaison privé que vous souhaitez approuver.

  3. Cliquez sur Approuver.

    Screenshot showing Networking tab ready for approval.

  4. Dans la page Approuver la connexion, entrez un commentaire facultatif et sélectionnez Oui. Si vous sélectionnez Non, il ne se passe rien.

    Screenshot showing approve connection page.

  5. Vous devez voir que l’état de la connexion dans la liste est remplacé par Approuvé.

Rejeter une connexion de point de terminaison privé

  1. Si vous souhaitez rejeter une connexion de point de terminaison privé, qu’il s’agisse d’une demande en attente ou d’une connexion existante approuvée précédemment, sélectionnez la connexion de point de terminaison, puis Rejeter.

    Screenshot showing reject connection option.

  2. Dans la page Rejeter la connexion, entrez un commentaire facultatif et sélectionnez Oui. Si vous sélectionnez Non, il ne se passe rien.

  3. Vous devez voir que l’état de la connexion dans la liste est remplacé par Rejeté.

Supprimer une connexion de point de terminaison privé

  1. Pour supprimer une connexion de point de terminaison privé, sélectionnez-la dans la liste et sélectionnez Supprimer dans la barre d’outils :

    Screenshot showing remove connection page.

  2. Dans la page Supprimer la connexion, sélectionnez Oui pour confirmer la suppression du point de terminaison privé. Si vous sélectionnez Non, il ne se passe rien.

  3. Vous devez voir que l’état de la connexion dans la liste est remplacé par Déconnecté. Le point de terminaison disparaît alors de la liste.

Vous devez vérifier que les ressources contenues dans le réseau virtuel du point de terminaison privé se connectent à votre espace de noms Notification Hubs via une adresse IP privée, et qu’elles sont intégrées à la zone DNS privée appropriée.

Commencez par créer une machine virtuelle en suivant les étapes décrites dans Créer une machine virtuelle Windows sur le portail Azure.

Sous l’onglet Réseau :

  1. Spécifiez le réseau virtuel et le sous-réseau. Vous devez sélectionner le réseau virtuel sur lequel vous avez déployé le point de terminaison privé.
  2. Spécifiez une ressource d’adresse IP publique.
  3. Pour Groupe de sécurité réseau de la carte réseau, sélectionnez Aucun.
  4. Pour Équilibrage de charge, sélectionnez Non.

Connectez-vous à la machine virtuelle, ouvrez une ligne de commande et exécutez la commande suivante :

Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net

Lorsque la commande est exécutée à partir de la machine virtuelle, elle retourne l’adresse IP de la connexion du point de terminaison privé. Lorsqu’il est exécuté à partir d’un réseau externe, il retourne l’adresse IP publique de l’un des clusters Notification Hubs.

Limitations et remarques sur la conception

Limites : Cette fonctionnalité est disponible dans toutes les régions publiques Azure. Nombre maximal de points de terminaison privés par espace de noms Notification Hubs : 200

Pour plus d’informations, consultez Azure Private Link : limitations.

Étapes suivantes