Поделиться через

Быстрое начало: создание частной конечной точки с помощью портала Azure

  • Статья

Чтобы начать работу с Приватным каналом Azure, создайте частную конечную точку и воспользуйтесь ею для безопасного подключения к веб-приложению Azure.

В этом кратком руководстве создайте частную конечную точку для веб-приложения служб Azure, а затем создайте и разверните виртуальную машину для тестирования частного подключения.

Вы можете создавать частные конечные точки для различных служб Azure, таких как Azure SQL и служба хранилища Azure.

Diagram of resources created in private endpoint quickstart.

Предварительные условия

  • Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи Azure, создайте ее бесплатно.

  • Веб-приложение Azure App Services с планом службы "Базовый", "Стандартный", "ПремиумV2", "ПремиумV3", "ИзолированныйV2", "Функции Премиум" (иногда называемым планом Elastic Premium), развернутое в вашей подписке Azure.

Вход в Azure

Войдите на портал Azure.

Создание виртуальной сети и узла Бастиона Azure

Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона:

  1. На портале найдите и выберите "Виртуальные сети".

  2. На странице Виртуальные сети выберите команду + Создать.

  3. На вкладке "Основы" создайте виртуальную сеть, введите или выберите следующие сведения:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите Создать новое.
    Введите test-rg для имени.
    Нажмите кнопку ОК.
    Instance details
    Имя. Введите vnet-1.
    Область/регион Выберите регион Восточная часть США 2.

    Снимок экрана: вкладка

  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

  5. В разделе Azure Bastion выберите Включить Azure Bastion.

    Бастион использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Подробные сведения см. в статье Что такое Бастион Azure?

    Примечание.

    Почасовая тарификация начинается с момента развертывания Бастиона, без учета использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

  6. В Azure Bastion введите или выберите следующие сведения:

    Настройка Значение
    Azure Bastion host name Enter bastion.
    Общедоступный IP-адрес Бастиона Azure Выберите " Создать общедоступный IP-адрес".
    Enter public-ip-bastion in Name.
    Нажмите кнопку ОК.

    Снимок экрана: параметры включения узла Бастиона Azure в рамках создания виртуальной сети в портал Azure.

  7. Нажмите «Далее», чтобы перейти на вкладку IP-адресов.

  8. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

  9. В разделе "Изменить подсеть" введите или выберите следующие сведения:

    Настройка Значение
    Назначение подсети Оставьте значение по умолчанию Default.
    Имя. Введите subnet-1.
    IРv4
    Диапазон адресов IPv4 Оставьте значение по умолчанию 10.0.0.0/16.
    Начальный адрес Оставьте значение по умолчанию 10.0.0.0.
    Размер Оставьте значение по умолчанию /24 (256 адресов).

    Снимок экрана: сведения о конфигурации для подсети.

  10. Выберите Сохранить.

  11. Выберите "Проверка и создание " в нижней части окна. После завершения проверки нажмите кнопку Создать.

Создание частной конечной точки

Затем вы создадите частную конечную точку для веб-приложения, созданного в разделе "Предварительные требования".

Внимание

Для выполнения действий, описанных в этой статье, необходимо использовать ранее развернутое веб-приложение служб Azure App Services. Дополнительные сведения см. в разделе Необходимые условия.

  1. In the search box at the top of the portal, enter Private endpoint. Выберите Частные конечные точки.

  2. Select + Create in Private endpoints.

  3. На вкладке Основы в окне Создание частной конечной точки введите или выберите следующую информацию:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg
    Instance details
    Имя. Enter private-endpoint.
    Имя сетевого интерфейса Leave the default of private-endpoint-nic.
    Область/регион Выберите регион Восточная часть США 2.

  4. По завершении выберите Далее: Ресурс.

  5. В области Ресурс введите или выберите следующие значения параметров.

    Настройка Значение
    Способ подключения Оставьте значение по умолчанию Подключиться к ресурсу Azure в моем каталоге
    Подписка Выберите свою подписку.
    Тип ресурса Выберите Microsoft.Web/sites.
    Ресурс Выберите webapp-1.
    Целевой субресурс Select sites.

  6. Выберите Далее: Виртуальная сеть.

  7. В диалоговом окне Виртуальная сеть введите или выберите следующие данные.

    Настройка Значение
    Сеть
    Виртуальная сеть Выберите vnet-1 (test-rg).
    Subnet Select subnet-1.
    Сетевая политика для частных конечных точек Выберите изменить, чтобы применить сетевую политику для частных конечных точек.
    In Edit subnet network policy, select the checkbox next to Network security groups and Route Tables in the Network policies setting for all private endpoints in this subnet pull-down.
    Нажмите кнопку "Сохранить".

    Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек"
    Настройка Значение
    Конфигурация частного IP-адреса Выберите Динамическое выделение IP-адреса.

  8. Выберите Далее: DNS.

  9. В разделе DNS оставьте значения по умолчанию. Выберите Далее: теги, а затем — Далее: просмотр и создание.

  10. Нажмите кнопку создания.

Создание тестовой виртуальной машины

Следующая процедура создает тестовую виртуальную машину с именем vm-1 в виртуальной сети.

  1. На портале найдите и выберите "Виртуальные машины".

  2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

  3. На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Instance details
    Имя виртуальной машины Введите vm-1.
    Область/регион Выберите регион Восточная часть США 2.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Оставьте значение по умолчанию Стандартный.
    Изображение Выберите Windows Server 2022 Datacenter - x64 Gen2.
    Архитектура виртуальной машины Оставьте значение по умолчанию x64.
    Размер Выберите размер.
    Учетная запись администратора
    Тип аутентификации выберите Пароль.
    Имя пользователя Введите azureuser.
    Пароль Введите пароль.
    Подтверждение пароля Повторно введите пароль.
    Правила входящего порта
    Общедоступные входящие порты Выберите Отсутствует.

  4. Выберите вкладку "Сеть" в верхней части страницы.

  5. На вкладке Сеть введите или выберите следующие значения параметров:

    Настройка Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите vnet-1.
    Subnet Выберите субсеть-1 (10.0.0.0/24).
    Общедоступный IP-адрес Выберите Отсутствует.
    Группа безопасности сети NIC Выберите Дополнительно.
    Настройка группы безопасности сети Выберите Создать новое.
    Введите nsg-1 для имени.
    Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".

  6. Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".

  7. Проверьте параметры и выберите Создать.

Примечание.

Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Шлюз NAT Azure назначается в подсеть виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

Проверка подключения к частной конечной точке

Используйте виртуальную машину, созданную ранее, для подключения к веб-приложению через частную конечную точку.

  1. В поле поиска в верхней части портала введите Виртуальная машина. Выберите Виртуальные машины.

  2. Выберите vm-1.

  3. На странице обзора для vm-1 выберите "Подключиться" и перейдите на вкладку Бастион .

  4. Выберите Использование бастиона.

  5. Введите имя пользователя и пароль, которые вы применяли при создании виртуальной машины.

  6. Нажмите Подключиться.

  7. После подключения откройте PowerShell на сервере.

  8. Введите nslookup webapp-1.azurewebsites.net. Вы получите сообщение, аналогичное следующему примеру:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    webapp-1.privatelink.azurewebsites.net
Address:  10.0.0.10
Aliases:  webapp-1.azurewebsites.net

    Частный IP-адрес 10.0.0.10 возвращается для имени веб-приложения, если вы выбрали статический IP-адрес на предыдущих шагах. Этот адрес находится в подсети виртуальной сети, созданной ранее.

  9. In the bastion connection to vm-1, open the web browser.

  10. Введите URL-адрес веб-приложения: https://webapp-1.azurewebsites.net.

    Если веб-приложение не было развернуто, вы получите следующую страницу веб-приложения по умолчанию:

    Снимок экрана: страница веб-приложения по умолчанию в браузере.

  11. Закройте подключение к vm-1.

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

  1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

  2. На странице групп ресурсов выберите группу ресурсов test-rg.

  3. На странице test-rg выберите "Удалить группу ресурсов".

  4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Следующие шаги

In this quickstart, you created:

  • A virtual network and bastion host

  • Виртуальная машина

  • Частная конечная точка для веб-приложения Azure

Вы использовали виртуальную машину для тестирования подключения к веб-приложению через частную конечную точку.

Дополнительные сведения о службах, поддерживающих частную конечную точку, см. в следующей статье:

Что собой представляет Приватный канал Azure?