Поделиться через

Краткое руководство: создание службы Private Link с помощью Azure CLI

  • Статья

Начните с создания службы Private Link, связанной с вашей службой. Предоставьте доступ через Private Link к вашей службе или ресурсу, развернутым за стандартным балансировщиком нагрузки Azure. Пользователи службы имеют закрытый доступ из своей виртуальной сети.

Схема ресурсов, созданных в быстром начале работы с приватной конечной точкой.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Предпосылки

  • Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в руководстве по быстрому началу работы с Bash в Azure Cloud Shell.

  • Если вы предпочитаете запускать справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, попробуйте запустить Azure CLI в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

    • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы завершить процесс проверки подлинности, выполните действия, отображаемые в терминале. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

    • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

    • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

  • Для работы с этим кратким руководством требуется Azure CLI версии 2.0.28 и выше. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Создание группы ресурсов

Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими.

Создайте группу ресурсов с помощью команды az group create:

  • Назван test-rg.

  • На месте eastus2.

az group create \
    --name test-rg \
    --location eastus2

Создание внутреннего балансировщика нагрузки

В этом разделе описано, как создать виртуальную сеть и внутреннюю подсистему балансировки нагрузки Azure.

Виртуальная сеть

В этом разделе вы создаете виртуальную сеть и подсеть для размещения балансировщика нагрузки, который обращается к службе Private Link.

Создайте виртуальную сеть, используя команду az network vnet create:

  • Назван vnet-1.

  • Префикс адреса 10.0.0.0/16.

  • Подсеть под названием subnet-1.

  • Префикс подсети 10.0.0.0/24.

  • В группе ресурсов test-rg.

  • Местоположение eastus2.

  • Отключите сетевую политику для службы частного подключения в подсети.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Создание стандартной подсистемы балансировки нагрузки

В этом разделе описано, как создать и настроить следующие компоненты подсистемы балансировки нагрузки:

  • Интерфейсный пул IP-адресов, который получает входящий сетевой трафик в подсистеме балансировки нагрузки.

  • Пул IP-адресов бэкенда, куда фронтенд-пул отправляет распределяемый сетевой трафик.

  • Проба работоспособности, определяющая работоспособность экземпляров серверной виртуальной машины.

  • Правило подсистемы балансировки нагрузки, определяющее распределение трафика на виртуальные машины.

Создание ресурса подсистемы балансировки нагрузки

С помощью команды az network lb create создайте общедоступную подсистему балансировки нагрузки:

  • Названо балансировщиком нагрузки .

  • Фронтенд-пул с именем фронтенд.

  • пул подсистемы с именем , бэкенд-пул.

  • Связана с виртуальной сетью vnet-1.

  • Связанная с подсетью бэкенда subnet-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Создайте зонд проверки состояния

При пробе работоспособности выполняется проверка всех экземпляров виртуальной машины, чтобы убедиться, что они могут отправлять сетевой трафик.

Виртуальная машина с неудачной пробой удаляется из подсистемы балансировки нагрузки Виртуальная машина снова добавляется в балансировщик нагрузки после устранения сбоя.

Создайте пробу работоспособности с помощью команды az network lb probe create:

  • Отслеживает работоспособность виртуальных машин.

  • Назван проверка состояния.

  • Протокол TCP.

  • Мониторинг порта 80.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Создайте правило для балансировщика нагрузки

Правило подсистемы балансировки нагрузки определяет:

  • конфигурация Frontend IP для входящего трафика.

  • серверный пул IP-адресов для приема трафика;

  • требуемые порты источника и назначения.

Создайте правило балансировки нагрузки с помощью команды az network lb rule create:

  • Названный http-rule

  • Прослушивание на порту 80 во фронтендном пуле frontend.

  • Отправка сетевого трафика с балансировкой нагрузки в серверный пул адресов серверный пул с помощью порта 80.

  • Использование зонда работоспособности зонда работоспособности.

  • Протокол TCP.

  • Время ожидания простоя 15 минут.

  • Включите сброс TCP.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Отключение политики сети

Перед созданием службы приватного канала в виртуальной сети необходимо отключить параметр privateLinkServiceNetworkPolicies.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

В этом разделе описано, как создать службу приватного канала, которая использует Azure Load Balancer, созданную на предыдущем шаге.

Создайте службу приватной связи с помощью стандартной конфигурации фронтального IP-адреса балансировщика нагрузки с помощью az network private-link-service create:

  • Названный сервис частных ссылок.

  • В виртуальной сети vnet-1.

  • Связана со стандартной подсистемой балансировки нагрузки и и внешней конфигурацией и.

  • На месте eastus2.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Ваша служба частного подключения создана и может принимать трафик. Если вы хотите просмотреть потоки трафика, настройте приложение за стандартной системой балансировки нагрузки.

Создание частной конечной точки

В этом разделе вы сопоставляете службу приватной ссылки с частной конечной точкой. Виртуальная сеть содержит частную конечную точку для сервиса Private Link. Эта виртуальная сеть содержит ресурсы, которые подключаются к службе приватного соединения.

Создание виртуальной сети с частной конечной точкой

Создайте виртуальную сеть, используя команду az network vnet create:

  • Названо vnet-peвиртуальной сети.

  • Префикс адреса 10.1.0.0/16.

  • Подсеть с именем subnet-pe.

  • Префикс подсети 10.1.0.0/24.

  • В группе ресурсов test-rg.

  • Местоположение eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Создание конечной точки и подключения

  • Используйте az network private-link-service show, чтобы получить идентификатор ресурса службы приватной связи. Команда помещает идентификатор ресурса в переменную для последующего использования.

  • Используйте az network private-endpoint create для создания частной конечной точки в созданной ранее виртуальной сети.

  • Именованные частной конечной точки.

  • В группе ресурсов test-rg.

  • Имя подключения connection-1.

  • Местоположение eastus2.

  • В виртуальной сети vnet-pe и подсети subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe

Очистка ресурсов

Вы можете удалить ненужную группу ресурсов, службу "Приватный канал", подсистему балансировки нагрузки и все связанные с ней ресурсы, выполнив команду az group delete.

az group delete \
    --name test-rg

Дальнейшие действия

В этом кратком руководстве вы сможете:

  • Создали виртуальную сеть и внутренний Azure Load Balancer.

  • Создание сервиса частных ссылок

Чтобы узнать больше о частной конечной точке Azure, ознакомьтесь со следующей статьей:

Краткое руководство: создание частной конечной точки с помощью Azure CLI