Краткое руководство: Создание службы Private Link с помощью портала Azure

Приступите к созданию службы Private Link, которая ссылается на вашу службу. Предоставьте доступ через Private Link к вашей службе или ресурсу, развернутым за стандартным балансировщиком нагрузки Azure. Пользователи службы имеют закрытый доступ из своей виртуальной сети.

Схема ресурсов, созданных в быстром старте для частной конечной точки.

Предварительные условия

Вход в Azure

Войдите на портал Azure с помощью своей учетной записи Azure.

Следующая процедура создает виртуальную сеть с подсетью ресурсов.

  1. На портале найдите и выберите "Виртуальные сети".

  2. На странице Виртуальные сети выберите команду + Создать.

  3. На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:

    Setting Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите Создать новое.
    Введите test-rg в name.
    Нажмите кнопку ОК.
    Сведения об инстанции
    Имя. Введите vnet-1.
    Область/регион Выберите регион Восточная часть США 2.

    Снимок экрана, показывающий вкладку

  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

  5. Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .

  6. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

  7. В области "Изменить подсеть" введите или выберите следующие сведения:

    Setting Значение
    Сведения о подсети
    Шаблон подсети Оставьте значение по умолчанию как Default.
    Имя. Введите subnet-1.
    Начальный адрес Оставьте значение по умолчанию 10.0.0.0.
    Размер подсети Оставьте значение по умолчанию /24(256 адресов).

    Снимок экрана: переименование и настройка подсети по умолчанию.

  8. Выберите Сохранить.

  9. Выберите "Рецензирование" и "Создать " в нижней части экрана. После прохождения проверки выберите Создать.

Создание подсистемы балансировки нагрузки

Создайте внутреннюю подсистему балансировки нагрузки, которая балансирует нагрузку виртуальных машин.

Во время создания подсистемы балансировки нагрузки необходимо настроить:

  • IP-адрес фронтенда

  • Внутренний пул

  • Правила балансировки нагрузки для входящего трафика

  1. В поле поиска в верхней части портала введите Подсистема балансировки нагрузки. В результатах поиска выберите Подсистема балансировки нагрузки.

  2. На странице Подсистема балансировки нагрузки выберите + Создать.

  3. На странице Создание подсистемы балансировки нагрузки на вкладке Основные сведения укажите следующее.

    Setting Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об инстанции
    Имя. Введите балансировщик нагрузки
    Область/регион Выберите регион Восточная часть США 2.
    SKU Оставьте значение по умолчанию Стандартная.
    Тип Выберите Внутреннее.
    Tier Выберите Региональный.
  4. Нажмите кнопку "Далее" — интерфейсная IP-конфигурация.

  5. В разделе Интерфейсная IP-конфигурация выберите + Добавить интерфейсную IP-конфигурацию.

  6. Введите или выберите следующие сведения в разделе "Добавление интерфейсной IP-конфигурации".

    Setting Значение
    Имя. Введите фронтенд.
    Виртуальная сеть Выберите vnet-1 (test-rg).
    Subnet Выберите субсеть-1 (10.0.0.0/24).
    Задание Оставьте значение по умолчанию Динамическое.
    зона доступности Оставьте значение по умолчанию избыточного между зонами.

    Примечание.

    В регионах с зонами доступности у вас есть возможность выбрать зону без определения (параметр по умолчанию), конкретную зону или избыточность зон. Выбранный вариант будет зависеть от конкретных требований к сбою домена. Для регионов без зон доступности это поле не отображается.
    Дополнительные сведения о зонах доступности см. здесь.

  7. Выберите Добавить.

  8. Нажмите кнопку "Далее" — серверные пулы.

  9. На вкладке Серверные пулы нажмите + Добавить серверный пул.

  10. Введите серверный пул для Имя.

  11. Выберите сетевой адаптер для конфигурации внутреннего пула.

    Примечание.

    Служба Private Link поддерживается на стандартных балансировщиках нагрузки с внутренними пулами, настроенными через сетевые интерфейсные карты (NICs). Он не поддерживается, если серверные пулы настроены с помощью IP-адресов. Дополнительные сведения см. в разделе об ограничениях службы Private Link.

  12. Выберите Сохранить.

  13. Нажмите кнопку "Далее" — правила для входящего трафика.

  14. В правиле балансировки нагрузки выберите + Добавить правило балансировки нагрузки.

  15. В разделе Добавление правила балансировки нагрузки введите следующую информацию или выберите указанные ниже варианты.

    Setting Значение
    Имя. Введите http-rule
    Версия IP Выберите IPv4 или IPv6 в зависимости от своих требований.
    IP-адрес фронтенда Выберите frontend.
    Внутренний пул Выберите серверный пул.
    Протокол Выберите TCP.
    Порт Введите 80.
    Серверный порт Введите 80.
    Проверка состояния здоровья Выберите Создать новое.
    В поле "Имя" введите health-probe.
    В меню Протокол выберите HTTP.
    Оставьте остальные значения по умолчанию и нажмите кнопку "Сохранить".
    Сохраняемость сеанса Выберите Отсутствует.
    Время ожидания простоя (в минутах) Введите или выберите 15.
    Активировать сброс TCP Выберите поле.
    Включить плавающий IP-адрес Оставьте флажок снятым.
  16. Выберите Сохранить.

  17. Нажмите синюю кнопку Обзор + создание.

  18. Нажмите кнопку создания.

Создайте службу Private Link за балансировщиком нагрузки, созданным в предыдущем разделе.

  1. Введите Приватная ссылка в поле поиска в верхней части портала. Выберите частные службы связи в результатах поиска.

  2. Выберите + Создать.

  3. На вкладке Основные сведения введите или выберите следующие значения параметров.

    Setting Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об инстанции
    Имя. Введите службу частного подключения.
    Область/регион Выберите регион Восточная часть США 2.
  4. Нажмите кнопку "Далее" — параметры исходящего трафика.

  5. На вкладке Параметры исходящего трафика укажите следующее:

    Setting Значение
    Подсистема балансировки нагрузки Выберите подсистему балансировки нагрузки.
    IP-адрес внешнего интерфейса подсистемы балансировки нагрузки Выберите интерфейс (10.0.0.4).
    Исходная подсеть NAT Выберите vnet-1/subnet-1 (10.0.0.0/24).
    Включить TCP-прокси версии 2 Оставьте значение по умолчанию Нет.
    Если приложение ожидает заголовок прокси-сервера TCP версии 2, выберите Да.
    Параметры частного IP-адреса
    Оставьте параметры по умолчанию.
  6. Нажмите кнопку "Далее" — безопасность доступа.

  7. Оставьте значение по умолчанию для параметра Только управление доступом на основе ролей на вкладке Защита доступа.

  8. Нажмите кнопку "Далее": теги.

  9. Выберите Next: Проверка и создание.

  10. Нажмите кнопку создания.

Ваша услуга частной ссылки создана и может принимать трафик. Если вы хотите просмотреть потоки трафика, настройте ваше приложение за вашим стандартным балансировщиком нагрузки.

Создание частной конечной точки

В этом разделе вы сопоставляете службу приватной ссылки с частной конечной точкой. Виртуальная сеть содержит частную конечную точку для службы приватной ссылки. Эта виртуальная сеть содержит ресурсы, которые подключаются к службе приватного соединения.

Создание виртуальной сети с частной конечной точкой

Повторите действия, описанные в разделе "Создание виртуальной сети", чтобы создать виртуальную сеть со следующими параметрами:

Setting Значение
Имя. vnet-pe
Расположение Восток США 2
Адресное пространство 10.1.0.0/16.
Имя подсети subnet-pe
Диапазон адресов подсети 10.1.0.0/24.

Создание частной конечной точки

  1. В поле поиска в верхней части портала введите частную конечную точку. В результатах поиска выберите Частные конечные точки.

  2. Выберите + Создать.

  3. На вкладке Основные сведения введите или выберите следующие значения параметров.

    Setting Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите test-rg. Вы создали эту группу ресурсов в рамках предыдущего раздела.
    Сведения об инстанции
    Имя. Введите частную конечную точку.
    Имя сетевого интерфейса Оставьте значение по умолчанию частной конечной точки-nic.
    Область/регион Выберите регион Восточная часть США 2.
  4. По завершении выберите Далее: Ресурс.

  5. На вкладке "Ресурс" введите или выберите следующие сведения:

    Setting Значение
    Способ подключения Выберите Подключиться к ресурсу Azure в моем каталоге.
    Подписка Выберите свою подписку.
    Тип ресурса Выберите Microsoft.Network/privateLinkServices.
    Ресурс Выберите Private Link Service.
  6. Выберите Далее: Виртуальная сеть.

  7. В диалоговом окне Виртуальная сеть введите или выберите следующие данные.

    Setting Значение
    Сеть
    Виртуальная сеть Выберите vnet-pe (test-rg).
    Subnet Выберите subnet-pe.
    Сетевая политика для частных конечных точек Выберите редактировать чтобы применить политику сети для частных конечных точек.
    В разделе "Изменение политики сети подсети" в параметре "Политики сети" для всех частных конечных точек в этой подсети выберите группы безопасности сети и таблицы маршрутов.
    Нажмите кнопку "Сохранить".

    Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек"
    Setting Значение
    Конфигурация частного IP-адреса Выберите Динамическое выделение IP-адреса.

    Снимок экрана: выбор динамического IP-адреса.

  8. Выберите Далее: DNS.

  9. Нажмите кнопку "Далее": теги.

  10. Выберите Next: Проверка и создание.

  11. Нажмите кнопку создания.

IP-адрес частной конечной точки

В этом разделе вы найдете IP-адрес частной конечной точки, которая соответствует службе балансировки нагрузки и службы приватного канала. Выполните следующие действия, только если в предыдущем разделе вы выбрали Динамическое выделение IP-адреса.

  1. Введите test-rg в поле поиска в верхней части портала. Выберите test-rg в результатах поиска в группах ресурсов.

  2. В группе ресурсов test-rg выберите частную конечную точку.

  3. На странице обзора частной конечной точки выберите имя сетевого интерфейса, связанного с частной конечной точкой. Имя сетевого интерфейса начинается с private-endpoint.nic.

  4. На странице Общие сведения для NIC частной конечной точки IP-адрес конечной точки будет отображаться в поле Частный IP-адрес.

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

  1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

  2. На странице групп ресурсов выберите группу ресурсов test-rg.

  3. На странице test-rg выберите "Удалить группу ресурсов".

  4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Следующие шаги

В этом кратком руководстве вы сможете:

  • Создали виртуальную сеть и внутренний Azure Load Balancer.

  • Создана служба частной ссылки.

  • Создана виртуальная сеть и частная конечная точка для службы приватного соединения.

Чтобы узнать больше о частной конечной точке Azure, ознакомьтесь со следующей статьей: