Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Частные конечные точки Azure имеют несколько вариантов управления конфигурацией и развертыванием.
Вы можете определить GroupId и MemberName значения, запрашивая ресурс Приватного канала Azure. Вам нужны значения GroupId и MemberName для настройки статического IP-адреса для частной конечной точки во время создания.
Частная конечная точка имеет два настраиваемых свойства: статический IP-адрес и имя сетевого интерфейса. Эти свойства необходимо задать при создании частной конечной точки.
При развертывании Private Link со стороны поставщика услуг и получателя существует процесс утверждения для установления подключения.
Определение GroupID и MemberName
Во время создания частной конечной точки с помощью Azure PowerShell и Azure CLI могут потребоваться значения GroupId и MemberName для ресурса частной конечной точки.
-
GroupId— это подресурс частной конечной точки. -
MemberName— это уникальная метка для частного IP-адреса конечной точки.
Дополнительные сведения о подресурсах частной конечной точки и их значениях см. в ресурсе Приватной связи.
Чтобы определить значения GroupId и MemberName для ресурса вашего частного конечного узла, используйте следующие команды.
MemberName содержится в свойстве RequiredMembers .
Веб-приложение Azure используется в качестве примера ресурса частной конечной точки. Используйте Get-AzPrivateLinkResource , чтобы определить значения для GroupId и MemberName.
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
Вы должны получить выходные данные, аналогичные следующему примеру.
Настраиваемые свойства
Переименование сетевого интерфейса и назначение статических IP-адресов — это настраиваемые свойства, которые можно задать на частной конечной точке во время создания.
Переименование сетевого интерфейса
По умолчанию при создании частной конечной точки сетевой интерфейс, связанный с частной конечной точкой, присваивается случайное имя сетевого интерфейса. Сетевой интерфейс должен быть назван при создании частной конечной точки. Переименование сетевого интерфейса существующей частной конечной точки не поддерживается.
Используйте следующие команды при создании частной конечной точки для переименования сетевого интерфейса.
Чтобы переименовать сетевой интерфейс при создании частной конечной точки, используйте -CustomNetworkInterfaceName параметр. В следующем примере используется команда Azure PowerShell для создания частной конечной точки в веб-приложении Azure. Дополнительные сведения см. в разделе New-AzPrivateEndpoint.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
Статический IP-адрес
По умолчанию при создании частной конечной точки IP-адрес конечной точки автоматически назначается. IP-адрес назначается из диапазона IP-адресов виртуальной сети, настроенной для частной конечной точки. Ситуация может возникнуть, когда требуется статический IP-адрес для частной конечной точки. Статический IP-адрес должен быть назначен при создании частной конечной точки. Конфигурация статического IP-адреса для существующей частной конечной точки в настоящее время не поддерживается.
Процедуры настройки статического IP-адреса при создании частной конечной точки см. в статье "Создание частной конечной точки с помощью Azure PowerShell " и создание частной конечной точки с помощью Azure CLI.
Подключения к частной конечной точке
Приватный канал работает с моделью утверждения, в которой потребитель Приватного канала может запросить подключение к поставщику услуг для использования службы.
Затем поставщик услуг может выбрать, следует ли разрешить потребителю подключение. Приватный канал позволяет поставщикам служб управлять подключением к частной конечной точке на своих ресурсах.
Существует два метода утверждения подключения, из которых потребитель Приватного канала может выбрать следующее:
Автоматически. Если у потребителя службы есть разрешения на управление доступом на основе ролей Azure (RBAC) для ресурса поставщика услуг, потребитель может выбрать метод автоматического утверждения. Когда запрос достигнет ресурса поставщика услуг, никаких действий от поставщика услуг не требуется, и подключение автоматически утверждено.
Вручную. Если у потребителя службы нет разрешений RBAC для ресурса поставщика услуг, потребитель может выбрать метод утверждения вручную. Запрос на подключение отображается в ресурсах службы как ожидающий. Поставщик услуг должен вручную утвердить запрос, прежде чем можно будет установить подключения.
В ручных случаях потребитель службы также может указать сообщение с запросом, чтобы предоставить дополнительный контекст поставщику услуг. У поставщика услуг есть следующие варианты выбора для всех подключений к частной конечной точке: утверждение, отклонение и удаление.
Это важно
Чтобы утвердить подключения с частной конечной точкой, которая находится в отдельной подписке или клиенте, убедитесь, что подписка поставщика или клиент зарегистрированы Microsoft.Network. Подписка или арендатор потребителя также должны иметь зарегистрированного поставщика ресурсов целевого ресурса.
В следующей таблице показаны различные действия поставщика услуг и полученные состояния подключения для частных конечных точек. Поставщик услуг может изменить состояние подключения в дальнейшем без вмешательства потребителя. Действие обновляет состояние конечной точки на стороне потребителя.
| Действие поставщика услуг | Состояние частной конечной точки потребителя услуги | Описание |
|---|---|---|
| Отсутствует | В ожидании | Подключение создается вручную и ожидает утверждения владельцем ресурса Private Link. |
| Утвердить | Утверждено | Подключение автоматически или вручную утверждено и готово к использованию. |
| Отклонение | Отклонено | Владелец ресурса Private Link отклоняет подключение. |
| Удалить | Отключен | Владелец ресурса Частной ссылки удаляет подключение, что приводит к отключению частной конечной точки, и ее нужно удалить для очистки. |
Управление подключениями к частным конечным точкам в ресурсах Azure PaaS
Чтобы управлять подключением к частной конечной точке на портале Azure, выполните следующие действия.
Войдите на портал Azure.
В поле поиска в верхней части портала введите Приватная ссылка. В результатах поиска выберите приватную ссылку.
В Центре приватного канала выберите частные конечные точки или службы приватного канала.
Для каждой конечной точки можно просмотреть количество подключений частной конечной точки, связанных с ней. Вы можете отфильтровать ресурсы по мере необходимости.
Выберите частную конечную точку. В списке подключений выберите подключение, которое требуется управлять.
Вы можете изменить состояние подключения, выбрав из параметров в верхней части.
Управление подключениями к пользовательской конечной точке в сервисе Private Link, принадлежащем клиенту или партнеру
Используйте следующие команды PowerShell и Azure CLI для управления подключениями к частной конечной точке в службах партнеров Майкрософт или службах, принадлежащих клиентам.
Используйте следующие команды PowerShell для управления подключениями к частной конечной точке.
Получение состояний подключения Private Link
Используйте Get-AzPrivateEndpointConnection , чтобы получить подключения к частной конечной точке и их состояния.
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
Утвердить подключение частной конечной точки
Используйте Approve-AzPrivateEndpointConnection для утверждения подключения к частной конечной точке.
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
Запрет подключения частной конечной точки
Используйте Deny-AzPrivateEndpointConnection , чтобы отклонить подключение к частной конечной точке.
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
Удаление подключения к частной конечной точке
Используйте Remove-AzPrivateEndpointConnection, чтобы удалить подключение к частной конечной точке.
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
Примечание.
Подключения, которые ранее были отклонены, не могут быть разрешены. Необходимо удалить подключение и создать новый.