Hantera privata Azure-slutpunkter
Privata Azure-slutpunkter har flera alternativ för att hantera deras konfiguration och distribution.
Du kan fastställa GroupId och MemberName värden genom att fråga Azure Private Link-resursen. Du behöver GroupId värdena och MemberName för att konfigurera en statisk IP-adress för en privat slutpunkt när du skapar den.
En privat slutpunkt har två anpassade egenskaper: statisk IP-adress och nätverksgränssnittsnamn. Dessa egenskaper måste anges när den privata slutpunkten skapas.
Med en tjänstleverantör och konsumentdistribution av Private Link finns en godkännandeprocess för att upprätta anslutningen.
Fastställa GroupID och MemberName
När du skapar en privat slutpunkt med Azure PowerShell och Azure CLI kan värdena och MemberName för den privata slutpunktsresursen GroupId behövas.
GroupIdär underkällan för den privata slutpunkten.MemberNameär den unika stämpeln för slutpunktens privata IP-adress.
Mer information om privata slutpunktsunderresurser och deras värden finns i Private Link-resurs.
Använd följande kommandon för att fastställa värdena GroupId för och MemberName för din privata slutpunktsresurs. MemberName finns i egenskapen RequiredMembers .
En Azure-webbapp används som exempel på en privat slutpunktsresurs. Använd Get-AzPrivateLinkResource för att fastställa värdena för GroupId och MemberName.
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
Du bör få utdata som liknar följande exempel.
Anpassade egenskaper
Namnbyte för nätverksgränssnitt och statisk IP-adresstilldelning är anpassade egenskaper som du kan ange på en privat slutpunkt när du skapar.
Namnbyte för nätverksgränssnitt
När en privat slutpunkt skapas får nätverksgränssnittet som är associerat med den privata slutpunkten som standard ett slumpmässigt namn för nätverksgränssnittet. Nätverksgränssnittet måste namnges när den privata slutpunkten skapas. Det går inte att byta namn på nätverksgränssnittet för en befintlig privat slutpunkt.
Använd följande kommandon när du skapar en privat slutpunkt för att byta namn på nätverksgränssnittet.
Om du vill byta namn på nätverksgränssnittet när den privata slutpunkten skapas använder du parametern -CustomNetworkInterfaceName . I följande exempel används ett Azure PowerShell-kommando för att skapa en privat slutpunkt till en Azure-webbapp. Mer information finns i New-AzPrivateEndpoint.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
Statisk IP-adress
När en privat slutpunkt skapas tilldelas som standard IP-adressen för slutpunkten automatiskt. IP-adressen tilldelas från IP-intervallet för det virtuella nätverket som konfigurerats för den privata slutpunkten. En situation kan uppstå när en statisk IP-adress för den privata slutpunkten krävs. Den statiska IP-adressen måste tilldelas när den privata slutpunkten skapas. Konfigurationen av en statisk IP-adress för en befintlig privat slutpunkt stöds för närvarande inte.
Procedurer för att konfigurera en statisk IP-adress när du skapar en privat slutpunkt finns i Skapa en privat slutpunkt med Azure PowerShell och Skapa en privat slutpunkt med hjälp av Azure CLI.
Anslutningar med privat slutpunkt
Private Link fungerar på en godkännandemodell där Private Link-konsumenten kan begära en anslutning till tjänstleverantören för användning av tjänsten.
Tjänsteleverantören kan sedan bestämma om konsumenten ska kunna ansluta eller inte. Med Private Link kan tjänsteleverantörer hantera den privata slutpunktsanslutningen på sina resurser.
Det finns två metoder för anslutningsgodkännande som en Private Link-konsument kan välja mellan:
Automatisk: Om tjänstkonsumenten har behörighet för rollbaserad åtkomstkontroll i Azure (RBAC) för tjänstproviderresursen kan konsumenten välja metoden för automatiskt godkännande. När begäran når tjänstproviderresursen krävs ingen åtgärd från tjänstleverantören och anslutningen godkänns automatiskt.
Manuellt: Om tjänstkonsumenten inte har RBAC-behörigheter för tjänstproviderresursen kan konsumenten välja metoden för manuellt godkännande. Anslutningsbegäran visas på tjänstresurserna som Väntande. Tjänsteleverantören måste godkänna begäran manuellt innan anslutningar kan upprättas.
I manuella fall kan tjänstekonsumenten också ange ett meddelande med begäran för att ge mer kontext till tjänstleverantören. Tjänstleverantören har följande alternativ att välja mellan för alla privata slutpunktsanslutningar: Godkänn, Avvisa och Ta bort.
Viktigt!
Om du vill godkänna anslutningar med en privat slutpunkt som finns i en separat prenumeration eller klientorganisation kontrollerar du att providerprenumerationen eller klientorganisationen har registrerat Microsoft.Network. Konsumentprenumerationen eller klientorganisationen bör också ha resursprovidern för målresursen registrerad.
I följande tabell visas de olika åtgärderna för tjänstprovidern och de resulterande anslutningstillstånden för privata slutpunkter. Tjänstleverantören kan ändra anslutningstillståndet vid ett senare tillfälle utan konsumentintervention. Åtgärden uppdaterar slutpunktens tillstånd på konsumentsidan.
| Åtgärd för tjänstleverantör | Tjänstkonsumentens privata slutpunktstillstånd | Description |
|---|---|---|
| None | Väntande | Anslut ion skapas manuellt och väntar på godkännande av Private Link-resursägaren. |
| Godkänn | Godkänd | Anslut ion godkänns automatiskt eller manuellt och är redo att användas. |
| Avvisa | Avvisat | Private Link-resursägaren avvisar anslutningen. |
| Ta bort | Frånkopplad | Private Link-resursägaren tar bort anslutningen, vilket gör att den privata slutpunkten kopplas från och den bör tas bort för rensning. |
Hantera privata slutpunktsanslutningar på Azure PaaS-resurser
Använd följande steg för att hantera en privat slutpunktsanslutning i Azure-portalen.
Logga in på Azure-portalen.
I sökrutan överst i portalen anger du Private Link. I sökresultaten väljer du Privat länk.
I Private Link Center väljer du Privata slutpunkter eller Privata länktjänster.
För var och en av dina slutpunkter kan du visa antalet privata slutpunktsanslutningar som är associerade med den. Du kan filtrera resurserna efter behov.
Välj den privata slutpunkten. Under de anslutningar som visas väljer du den anslutning som du vill hantera.
Du kan ändra tillståndet för anslutningen genom att välja bland alternativen längst upp.
Hantera privata slutpunktsanslutningar på en kund- eller partnerägd Private Link-tjänst
Använd följande PowerShell- och Azure CLI-kommandon för att hantera privata slutpunktsanslutningar på Microsofts partnertjänster eller kundägda tjänster.
Använd följande PowerShell-kommandon för att hantera privata slutpunktsanslutningar.
Hämta anslutningstillstånd för Private Link
Använd Get-AzPrivateEndpoint Anslut ion för att hämta privata slutpunktsanslutningar och deras tillstånd.
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
Godkänna en privat slutpunktsanslutning
Använd Approve-AzPrivateEndpoint Anslut ion för att godkänna en privat slutpunktsanslutning.
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
Neka en privat slutpunktsanslutning
Använd Deny-AzPrivateEndpoint Anslut ion för att avvisa en privat slutpunktsanslutning.
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
Ta bort en privat slutpunktsanslutning
Använd Remove-AzPrivateEndpoint Anslut ion för att ta bort en privat slutpunktsanslutning.
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
Kommentar
Anslut ions som tidigare nekats kan inte godkännas. Du måste ta bort anslutningen och skapa en ny.