Démarrage rapide : Créer un service Private Link en utilisant Azure CLI

Commencez à créer un service Private Link qui fait référence à votre service. Accordez à Private Link un accès à votre service ou ressource déployé(e) derrière Azure Standard Load Balancer. Les utilisateurs de votre service ont un accès privé à partir de leur réseau virtuel.

Diagramme des ressources créées dans le guide de démarrage rapide d'un point de terminaison privé.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.

Prérequis

  • Ce guide de démarrage rapide nécessite la version 2.0.28 ou ultérieure de l’interface Azure CLI. Si vous utilisez Azure Cloud Shell, la version la plus récente est déjà installée.

Créer un groupe de ressources

Un groupe de ressources Azure est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.

Créez un groupe de ressources avec la commande az group create :

  • Nommé test-rg.

  • À l’emplacement eastus2.

az group create \
    --name test-rg \
    --location eastus2

Créer un équilibrage de charge interne

Dans cette section, vous allez créer un réseau virtuel et un Azure Load Balancer interne.

Réseau virtuel

Dans cette section, vous allez créer un réseau virtuel et un sous-réseau pour héberger l’équilibreur de charge qui accède à votre service Private Link.

Créez un réseau virtuel avec la commande az network vnet create :

  • Nommé vnet-1.

  • Préfixe d’adresse 10.0.0.0/16.

  • Sous-réseau nommé subnet-1.

  • Préfixe du sous-réseau 10.0.0.0/24.

  • Dans le groupe de ressources test-rg .

  • Emplacement eastus2.

  • Désactivez la stratégie réseau pour le service de liaison privée sur le sous-réseau.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Créer un équilibreur de charge standard

Cette section explique en détail comment vous pouvez créer et configurer les composants suivants de l’équilibreur de charge :

  • Un pool d’adresses IP frontal qui reçoit le trafic réseau entrant sur l’équilibreur de charge.

  • Un pool d’adresses IP principal auquel le pool frontal envoie le trafic réseau dont la charge est équilibrée.

  • Une sonde d’intégrité qui détermine l’intégrité des instances de machine virtuelle backend.

  • Une règle d’équilibreur de charge qui définit la distribution du trafic aux machines virtuelles.

Créer la ressource d’équilibreur de charge

Créez un équilibreur de charge public avec la commande az network lb create :

  • Ajout d'un programme d'équilibrage de charge.

  • Un pool frontal nommé frontend.

  • Un pool back-end nommé backend-pool.

  • Associé au réseau virtuel vnet-1.

  • Associé au sous-réseau back-end subnet-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Créer la sonde d’intégrité

Une sonde d’intégrité vérifie toutes les instances de machine virtuelle pour s’assurer qu’elles peuvent transmettre du trafic réseau.

Une machine virtuelle dont le contrôle de sonde a échoué est supprimée de l’équilibreur de charge. La machine virtuelle est rajoutée à l’équilibreur de charge une fois l’échec résolu.

Créez une sonde d’intégrité avec la commande az network lb probe create :

  • Analyse l’intégrité des machines virtuelles.

  • Nommé health-probe.

  • Protocole TCP.

  • Surveillant le Port 80.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Créer la règle d’équilibreur de charge

Une règle d’équilibreur de charge définit les éléments suivants :

  • La configuration IP frontale pour le trafic entrant.

  • Le pool d’adresses IP principal qui reçoit le trafic.

  • Les ports source et de destination requis.

Créez une règle d’équilibreur de charge avec la commande az network lb rule create :

  • Nommé http-rule

  • Écoutant le Port 80 dans le pool frontal frontend.

  • Envoi du trafic réseau à charge équilibrée vers le pool d'adresses back-end backend-pool en utilisant Port 80.

  • Utilisation de la sonde d’intégrité health-probe.

  • Protocole TCP.

  • Délai d’inactivité de 15 minutes.

  • Activez la réinitialisation TCP.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Désactiver la stratégie réseau

Avant de pouvoir créer un service de liaison privée dans le réseau virtuel, le paramètre privateLinkServiceNetworkPolicies doit être désactivé.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

Dans cette section, créez un service de liaison privée qui utilise l’équilibreur de charge Azure créé à l’étape précédente.

Créez un service de liaison privée à l’aide de la configuration IP front-end de l’équilibreur de charge standard avec la commande az network private-link-service create :

  • Nommé private-link-service.

  • Dans un réseau virtuel vnet-1.

  • Associé à l’équilibreur de charge standard load-balancer et à la configuration du frontale frontend.

  • À l’emplacement eastus2.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Votre service de liaison privée est créé et peut recevoir du trafic. Si vous voulez voir les flux de trafic, configurez votre application derrière votre équilibreur de charge standard.

Créer un point de terminaison privé

Dans cette section, vous allez mapper le service de liaison privée à un point de terminaison privé. Un réseau virtuel contient le point de terminaison privé pour le service de liaison privée. Ce réseau virtuel contient les ressources qui auront accès à votre service de liaison privée.

Créer un réseau virtuel de point de terminaison privé

Créez un réseau virtuel avec la commande az network vnet create :

  • Nommé vnet-pe.

  • Préfixe d’adresse 10.1.0.0/16.

  • Sous-réseau nommé subnet-pe.

  • Préfixe du sous-réseau 10.1.0.0/24.

  • Dans le groupe de ressources test-rg .

  • Emplacement eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Créer un point de terminaison et une connexion

  • Utilisez az network private-link-service show pour obtenir l’ID de la ressource du service de liaison privée. La commande place l’ID de la ressource dans une variable à des fins d’utilisation ultérieure.

  • Utilisez az network private-endpoint create pour créer le point de terminaison privé dans le réseau virtuel que vous avez créé précédemment.

  • Nommé private-endpoint.

  • Dans le groupe de ressources test-rg .

  • Nom de la connexion : connection-1.

  • Emplacement eastus2.

  • Dans le réseau virtuel vnet-pe et le sous-réseau subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe 

Nettoyer les ressources

Lorsque vous n’en avez plus besoin, utilisez la commande az group delete pour supprimer le groupe de ressources, le service de liaison privée, l’équilibreur de charge et toutes les ressources associées.

az group delete \
    --name test-rg 

Étapes suivantes

Dans ce guide de démarrage rapide, vous :

  • Avez créé un réseau virtuel et un Azure Load Balancer interne.

  • Avez créé un service de liaison privée.

Pour en savoir plus sur le point de terminaison privé Azure, passez à :