Gestire gli endpoint privati di Azure
Gli endpoint privati di Azure hanno diverse opzioni per la gestione della configurazione e della distribuzione.
È possibile determinare GroupId i valori e MemberName eseguendo una query sulla risorsa collegamento privato di Azure. Sono necessari i GroupId valori e MemberName per configurare un indirizzo IP statico per un endpoint privato durante la creazione.
Un endpoint privato ha due proprietà personalizzate: indirizzo IP statico e nome dell'interfaccia di rete. Queste proprietà devono essere impostate quando viene creato l'endpoint privato.
Con un provider di servizi e una distribuzione consumer di collegamento privato, è in atto un processo di approvazione per stabilire la connessione.
Determinare GroupID e MemberName
Durante la creazione di un endpoint privato con Azure PowerShell e l'interfaccia della riga di comando di Azure, potrebbero essere necessari i GroupId valori e MemberName della risorsa endpoint privato.
GroupIdè la sottorisorsa dell'endpoint privato.MemberNameè il timbro univoco per l'indirizzo IP privato dell'endpoint.
Per altre informazioni sulle sottorisorse dell'endpoint privato e sui relativi valori, vedere collegamento privato risorsa.
Per determinare i valori di GroupId e MemberName per la risorsa endpoint privato, usare i comandi seguenti. MemberName è contenuto all'interno della RequiredMembers proprietà .
Un'app Web di Azure viene usata come risorsa endpoint privato di esempio. Usare Get-AzPrivateLinkResource per determinare i valori per GroupId e MemberName.
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
Dovrebbe essere visualizzato un output simile all'esempio seguente.
Custom properties
La ridenominazione dell'interfaccia di rete e l'assegnazione di indirizzi IP statici sono proprietà personalizzate che è possibile impostare su un endpoint privato durante la creazione.
Ridenominazione dell'interfaccia di rete
Per impostazione predefinita, quando viene creato un endpoint privato, all'interfaccia di rete associata all'endpoint privato viene assegnato un nome casuale per l'interfaccia di rete. L'interfaccia di rete deve essere denominata quando viene creato l'endpoint privato. La ridenominazione dell'interfaccia di rete di un endpoint privato esistente non è supportata.
Usare i comandi seguenti quando si crea un endpoint privato per rinominare l'interfaccia di rete.
Per rinominare l'interfaccia di rete quando viene creato l'endpoint privato, usare il -CustomNetworkInterfaceName parametro . L'esempio seguente usa un comando di Azure PowerShell per creare un endpoint privato in un'app Web di Azure. Per altre informazioni, vedere New-AzPrivateEndpoint.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
Indirizzo IP statico
Per impostazione predefinita, quando viene creato un endpoint privato, l'indirizzo IP per l'endpoint viene assegnato automaticamente. L'indirizzo IP viene assegnato dall'intervallo IP della rete virtuale configurata per l'endpoint privato. Una situazione può verificarsi quando è necessario un indirizzo IP statico per l'endpoint privato. Quando viene creato l'endpoint privato, è necessario assegnare l'indirizzo IP statico. La configurazione di un indirizzo IP statico per un endpoint privato esistente non è attualmente supportata.
Per le procedure per configurare un indirizzo IP statico quando si crea un endpoint privato, vedere Creare un endpoint privato usando Azure PowerShell e Creare un endpoint privato usando l'interfaccia della riga di comando di Azure.
Connessioni a endpoint privato
collegamento privato funziona su un modello di approvazione in cui il consumer collegamento privato può richiedere una connessione al provider di servizi per l'utilizzo del servizio.
Il provider di servizi può quindi decidere se consentire o meno al consumer di connettersi. collegamento privato consente ai provider di servizi di gestire la connessione all'endpoint privato nelle risorse.
Esistono due metodi di approvazione della connessione tra cui un consumer collegamento privato può scegliere:
Automatico: se il consumer del servizio dispone di autorizzazioni di controllo degli accessi in base al ruolo di Azure per la risorsa del provider di servizi, il consumer può scegliere il metodo di approvazione automatica. Quando la richiesta raggiunge la risorsa del provider di servizi, non viene richiesta alcuna azione dal provider di servizi e la connessione viene approvata automaticamente.
Manuale: se il consumer del servizio non dispone delle autorizzazioni di controllo degli accessi in base al ruolo per la risorsa del provider di servizi, il consumer può scegliere il metodo di approvazione manuale. La richiesta di connessione viene visualizzata nelle risorse del servizio come In sospeso. Il provider di servizi deve approvare manualmente la richiesta prima che sia possibile stabilire le connessioni.
Nei casi manuali, il consumer del servizio può anche specificare un messaggio con la richiesta per fornire più contesto al provider di servizi. Il provider di servizi offre le opzioni seguenti tra cui scegliere per tutte le connessioni endpoint private: Approva, Rifiuta e Rimuovi.
Importante
Per approvare le connessioni con un endpoint privato che si trova in una sottoscrizione o un tenant separato, assicurarsi che la sottoscrizione del provider o il tenant abbia registrato Microsoft.Network. Anche la sottoscrizione consumer o il tenant deve avere il provider di risorse della risorsa di destinazione registrata.
La tabella seguente illustra le varie azioni del provider di servizi e gli stati di connessione risultanti per gli endpoint privati. Il provider di servizi può modificare lo stato della connessione in un secondo momento senza l'intervento dell'utente. L'azione aggiorna lo stato dell'endpoint sul lato consumer.
| Azione del provider di servizi | Stato dell'endpoint privato del consumer del servizio | Descrizione |
|---|---|---|
| Nessuna | In sospeso | Connessione ion viene creato manualmente ed è in sospeso per l'approvazione da parte del proprietario della risorsa collegamento privato. |
| Approvazione | Approvato | Connessione ion viene approvato automaticamente o manualmente ed è pronto per l'uso. |
| Rifiuto | Rifiutato | Il proprietario della risorsa collegamento privato rifiuta la connessione. |
| Rimuovi | Disconnesso | Il proprietario della risorsa collegamento privato rimuove la connessione, causando la disconnessione dell'endpoint privato e deve essere eliminato per la pulizia. |
Gestire le connessioni endpoint privato nelle risorse PaaS di Azure
Usare la procedura seguente per gestire una connessione endpoint privato nel portale di Azure.
Accedere al portale di Azure.
Nella casella di ricerca nella parte superiore del portale immettere collegamento privato. Nei risultati della ricerca selezionare Collegamento privato.
Nel centro collegamento privato selezionare Endpoint privati o Servizi di collegamento privato.
Per ognuno degli endpoint, è possibile visualizzare il numero di connessioni endpoint private associate. È possibile filtrare le risorse in base alle esigenze.
Selezionare l'endpoint privato. Nelle connessioni elencate selezionare la connessione che si vuole gestire.
È possibile modificare lo stato della connessione selezionando le opzioni nella parte superiore.
Gestire le connessioni all'endpoint privato in un servizio di collegamento privato di proprietà del cliente o del partner
Usare i comandi di PowerShell e dell'interfaccia della riga di comando di Azure seguenti per gestire le connessioni di endpoint privato nei servizi partner Microsoft o nei servizi di proprietà del cliente.
Usare i comandi di PowerShell seguenti per gestire le connessioni all'endpoint privato.
Ottenere collegamento privato stati di connessione
Usare Get-AzPrivateEndpoint Connessione ion per ottenere le connessioni all'endpoint privato e i relativi stati.
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
Approvare una connessione endpoint privato
Usare Approve-AzPrivateEndpoint Connessione ion per approvare una connessione endpoint privato.
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
Negare una connessione all'endpoint privato
Usare Deny-AzPrivateEndpoint Connessione ion per rifiutare una connessione endpoint privato.
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
Rimuovere una connessione endpoint privato
Usare Remove-AzPrivateEndpoint Connessione ion per rimuovere una connessione endpoint privato.
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
Nota
Connessione ions precedentemente negate non possono essere approvate. È necessario rimuovere la connessione e crearne una nuova.