Guida introduttiva: Creare un servizio collegamento privato con l'interfaccia della riga di comando di Azure

Introduzione alla creazione di un servizio Collegamento privato che fa riferimento al proprio servizio. Assegnare l'accesso con collegamento privato al servizio o alla risorsa distribuita dietro un'istanza di Azure Load Balancer Standard. Gli utenti del servizio hanno accesso privato dalla loro rete virtuale.

Se non si ha un account Azure, creare un account gratuito prima di iniziare.

Prerequisiti

• È possibile utilizzare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Introduzione ad Azure Cloud Shell.

  

• Se preferisci eseguire localmente i comandi di riferimento della CLI, installa l'Azure CLI. Se si esegue in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se usi un'installazione locale, accedi all'interfaccia della riga di comando di Azure usando il comando az login. Per completare il processo di autenticazione, seguire i passaggi visualizzati nel terminale. Per altre opzioni di accesso, vedere Eseguire l'autenticazione ad Azure con l'interfaccia della riga di comando di Azure.

  • Quando ti viene richiesto, installa l'estensione Azure CLI al primo utilizzo. Per altre informazioni sulle estensioni, vedere Usare e gestire le estensioni con l'interfaccia della riga di comando di Azure.

  • Esegui az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, avviare az upgrade.

• Questa guida di avvio rapido richiede l'interfaccia della riga di comando di Azure versione 2.0.28 o successiva. Se si usa Azure Cloud Shell, la versione più recente è già installata.

Creare un gruppo di risorse

Un gruppo di risorse di Azure è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite.

Come prima cosa creare con az group create un gruppo di risorse:

• Denominato test-rg.

• Nella località eastus2 .

az group create \
    --name test-rg \
    --location eastus2

Creare un bilanciamento del carico interno

In questa sezione, crei una rete virtuale e un'istanza interna di Azure Load Balancer.

Rete virtuale

In questa sezione, si crea una rete virtuale e una subnet per ospitare il bilanciatore del carico che accede al tuo servizio di collegamento privato.

Creare una rete virtuale usando az network vnet create:

• Denominato vnet-1.

• Prefisso indirizzo 10.0.0.0/16.

• Subnet denominata subnet-1.

• Prefisso subnet 10.0.0.0/24.

• Nel gruppo di risorse test-rg .

• Posizione di eastus2.

• Disabilitare la politica di rete per il servizio di collegamento privato sulla subnet.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Creare un bilanciamento del carico standard

Questa sezione descrive dettagliatamente come creare e configurare i componenti seguenti del servizio di bilanciamento del carico:

• Un pool di indirizzi IP front-end che riceve il traffico di rete in ingresso sul bilanciatore di carico.

• Pool IP back-end in cui il pool front-end invia il traffico di rete con carico bilanciato.

• Uno strumento di verifica dello stato che determina l'integrità delle istanze VM del back-end.

• Regola di bilanciamento del carico che definisce il modo in cui il traffico viene distribuito alle macchine virtuali.

Creare la risorsa di bilanciamento del carico

Con az network lb create creare un servizio di bilanciamento del carico pubblico:

• Denominato bilanciamento del carico.

• Pool front-end denominato front-end.

• Un pool back-end denominato backend-pool.

• Associato alla rete virtuale vnet-1.

• Associato alla subnet del backend subnet-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Creare il probe di integrità

Un probe di integrità controlla tutte le istanze di macchina virtuale per verificare che possano inviare il traffico di rete.

Una macchina virtuale con un controllo probe non riuscito viene rimossa dal servizio di bilanciamento del carico. La macchina virtuale viene nuovamente aggiunta al servizio di bilanciamento del carico quando il problema viene risolto.

Con az network lb probe create creare un probe di integrità:

• Monitora l'integrità delle macchine virtuali.

• Denominato health-probe.

• Protocollo TCP.

• Monitoraggio della porta 80.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Creare la regola di bilanciamento del carico

Una regola di bilanciamento del carico definisce:

• La configurazione IP front-end per il traffico in ingresso.

• Il pool IP back-end in cui ricevere il traffico.

• La porta di origine e destinazione richiesta.

Con az network lb rule create creare una regola di bilanciamento del carico:

• Denominata regola-http

• Ascolto sulla porta 80 nel pool di front-end frontend.

• Invio del traffico di rete bilanciato verso il pool di indirizzi backend-pool utilizzando la porta 80.

• Uso della sonda di integrità.

• Protocollo TCP.

• Timeout di inattività di 15 minuti.

• Abilitare la reimpostazione TCP.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Disabilitare i criteri di rete

Prima di poter creare un servizio di collegamento privato nella rete virtuale, l'impostazione deve essere disabilitata privateLinkServiceNetworkPolicies .

• Disabilitare i criteri di rete con az network vnet subnet update.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

Creare un servizio Collegamento privato

In questa sezione creare un servizio di collegamento privato che usa Azure Load Balancer creato nel passaggio precedente.

Creare un servizio di collegamento privato usando una configurazione IP front-end del servizio di bilanciamento del carico standard con az network private-link-service create:

• Denominato private-link-service.

• Nella rete virtuale vnet-1.

• Associato al bilanciamento del carico standard load-balancer e alla configurazione front-end.

• Nella località eastus2 .

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Il servizio di collegamento privato viene creato e può ricevere traffico. Per visualizzare i flussi di traffico, configurare l'applicazione dietro il servizio di bilanciamento del carico standard.

Creare un endpoint privato

In questa sezione viene eseguito il mapping del servizio collegamento privato a un endpoint privato. Una rete virtuale contiene l'endpoint privato per il servizio collegamento privato. Questa rete virtuale contiene le risorse che accedono al servizio collegamento privato.

Creare la rete virtuale dell'endpoint privato

Creare una rete virtuale usando az network vnet create:

• Denominato vnet-pe.

• Prefisso indirizzo 10.1.0.0/16.

• Subnet denominata subnet-pe.

• Prefisso della subnet 10.1.0.0/24.

• Nel gruppo di risorse test-rg .

• Posizione di eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Creare endpoint e connessione

• Usare az network private-link-service show per ottenere l'ID risorsa del servizio di collegamento privato. Il comando inserisce l'ID risorsa in una variabile per un uso successivo.

• Usare az network private-endpoint create per creare l'endpoint privato nella rete virtuale creata in precedenza.

• Denominato endpoint privato.

• Nel gruppo di risorse test-rg .

• Nome della connessione connection-1.

• Posizione di eastus2.

• Nella rete virtuale vnet-pe e subnet subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe 

Pulire le risorse

Quando non è più necessario, usare il comando az group delete per rimuovere il gruppo di risorse, il servizio di collegamento privato, il servizio di bilanciamento del carico e tutte le risorse correlate.

az group delete \
    --name test-rg 

Passaggi successivi

Questa guida introduttiva spiega come:

• Sono state create una rete virtuale e un'istanza interna di Azure Load Balancer.

• Creazione di un servizio di collegamento privato

Per altre informazioni sull'endpoint privato di Azure, passare a: