Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Частная конечная точка Azure — ключевой компонент для построения Приватного канала в Azure. Это позволяет ресурсам Azure, таким как виртуальные машины, конфиденциально и безопасно обмениваться данными с ресурсами Приватного канала, например с сервером Azure SQL.
В этом руководстве описано следующее:
- Создайте виртуальную сеть и бастион.
- Создайте виртуальную машину.
- Создайте сервер Azure SQL и частную конечную точку.
- Проверка подключения к частной конечной точке SQL Server.
Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Предварительные условия
- Подписка Azure
Вход в Azure
Войдите на портал Azure.
Создание виртуальной сети и узла Бастиона Azure
Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона:
На портале найдите и выберите "Виртуальные сети".
На странице Виртуальные сети выберите команду + Создать.
На вкладке "Основы" создайте виртуальную сеть, введите или выберите следующие сведения:
Настройка Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите Создать новое.
Введите test-rg для имени.
Нажмите кнопку ОК.Сведения об экземпляре Имя. Введите vnet-1. Область/регион Выберите регион Восточная часть США 2. 
Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".
В разделе Azure Bastion выберите Включить Azure Bastion.
Бастион использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Подробные сведения см. в статье Что такое Бастион Azure?
Примечание.
Почасовая оплата начинается с момента развертывания Бастиона независимо от объема исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.
В Azure Bastion введите или выберите следующие сведения:
Настройка Значение Имя хоста Бастиона Azure Введите бастион. Общедоступный IP-адрес Бастиона Azure Выберите " Создать общедоступный IP-адрес".
Введите public-ip-бастион в поле для имени.
Нажмите кнопку ОК.
Нажмите Далее, чтобы перейти на вкладку IP-адреса.
В поле адресного пространства в подсетях выберите подсеть по умолчанию .
В разделе "Изменить подсеть" введите или выберите следующие сведения:
Настройка Значение Назначение подсети Оставьте значение Default по умолчанию. Имя. Введите subnet-1. IРv4 Диапазон адресов IPv4 Оставьте значение по умолчанию 10.0.0.0/16. Начальный адрес Оставьте значение по умолчанию 10.0.0.0. Размер Оставьте значение по умолчанию /24 (256 адресов). 
Выберите Сохранить.
Выберите "Проверка и создание " в нижней части окна. После завершения проверки нажмите кнопку Создать.
Создание тестовой виртуальной машины
Следующая процедура создает тестовую виртуальную машину с именем vm-1 в виртуальной сети.
На портале найдите и выберите "Виртуальные машины".
На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.
На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:
Настройка Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя виртуальной машины Введите vm-1. Область/регион Выберите регион Восточная часть США 2. Параметры доступности Выберите Избыточность инфраструктуры не требуется. Тип безопасности Оставьте значение по умолчанию Стандартный. Изображение Выберите Ubuntu Server 22.04 LTS - x64 Gen2. Архитектура виртуальной машины Оставьте значение по умолчанию x64. Размер Выберите размер. Учетная запись администратора Тип аутентификации выберите Пароль. Имя пользователя Введите azureuser. Пароль Введите пароль. Подтверждение пароля Повторно введите пароль. Правила входящего порта Общедоступные входящие порты Выберите Отсутствует. Выберите вкладку "Сеть" в верхней части страницы.
На вкладке Сеть введите или выберите следующие значения параметров:
Настройка Значение Сетевой интерфейс Виртуальная сеть Выберите vnet-1. Подсеть Выберите подсеть 1 (10.0.0.0/24). Общедоступный IP-адрес Выберите Отсутствует. Группа безопасности сети NIC Выберите Дополнительно. Настройка группы безопасности сети Выберите Создать новое.
Введите nsg-1 для имени.
Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".
Проверьте параметры и выберите Создать.
Примечание.
Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.
Примечание.
Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.
IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:
- Общедоступный IP-адрес назначается виртуальной машине.
- Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
- Шлюз NAT Azure назначается подсети ВМ.
Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.
Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.
Создание Azure SQL Server и частной конечной точки
В этом разделе описано, как создать сервер SQL Server в Azure.
В поле поиска в верхней части портала введите SQL. Выберите базы данных SQL в результатах поиска.
В базах данных SQL нажмите кнопку +Создать.
На вкладке "Основные сведения" в разделе "Создание База данных SQL", "Введите" или выберите следующие сведения:
Настройка Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения о базе данных Имя базы данных Введите sql-db. Сервер Выберите Создать новое.
Введите sql-server-1 в имя сервера (имена серверов должны быть уникальными, замените sql-server-1 уникальным значением).
Выберите (США) Восточная часть США 2 в расположении.
Выберите "Использовать проверку подлинности SQL".
Введите вход и пароль администратора сервера.
Нажмите кнопку ОК.Want to use SQL elastic pool? (Нужно ли использовать эластичный пул баз данных SQL?) Выберите Нет. Среда рабочей нагрузки Оставьте значение по умолчанию Production. Избыточность хранилища резервных копий Избыточность хранилища резервных копий Выберите локально избыточное хранилище резервных копий. Выберите Далее: сеть.
На вкладке Сетевой в разделе Создание базы данных SQL введите или выберите следующие данные:
Настройка Значение Сетевое подключение Метод подключения Выберите приватную конечную точку. Частные конечные точки Нажмите +Добавить частную конечную точку. Создание частной конечной точки Подписка Выберите свою подписку. Группа ресурсов Выберите test-rg. Расположение Выберите регион Восточная часть США 2. Имя. Введите private-endpoint-sql. Целевой подресурс Выберите SqlServer. Сеть Виртуальная сеть Выберите vnet-1. Подсеть Выберите подсеть-1. Интеграция с частной зоной DNS Интегрировать с частной зоной DNS Выберите Да. Частная зона DNS Оставьте значение по умолчанию privatelink.database.windows.net. Нажмите ОК.
Выберите Review + create.
Нажмите кнопку создания.
Внимание
При добавлении подключения к частной конечной точке общедоступная маршрутизация на сервер SQL Azure не блокируется по умолчанию. Параметр "Запретить доступ к общедоступной сети" в колонке "Брандмауэр и виртуальные сети" остается снятым по умолчанию. Чтобы отключить доступ к общедоступной сети, убедитесь, что это проверяется.
Отключение общего доступа к логическому серверу Azure SQL
В этом сценарии предположим, что вы хотите отключить весь общий доступ к серверу Azure SQL и разрешить подключения только из виртуальной сети.
В поле поиска в верхней части портала введите SQL Server. Выберите серверы SQL в результатах поиска.
Выберите sql-server-1.
В разделе "Безопасность" выберите вкладку "Сеть", а затем выберите "Отключить для доступа к общедоступной сети".
Выберите Сохранить.
Проверка подключения к частной конечной точке
В этом разделе описано, как использовать виртуальную машину, созданную на предыдущих шагах, для подключения к серверу SQL Server через частную конечную точку.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-1.
В операциях выберите Бастион.
Введите имя пользователя и пароль виртуальной машины.
Нажмите Подключиться.
Чтобы проверить разрешение имени частной конечной точки, введите следующую команду в окне терминала.
nslookup server-name.database.windows.netВы получите сообщение, аналогичное следующему примеру. Возвращенный IP-адрес — это частный IP-адрес частной конечной точки.
Server: unknown Address: 172.0.0.53 Non-authoritative answer: sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net. Name:sql-server-8675.privatelink.database.windows.net Address: 10.1.0.4Установите средства командной строки SQL Server, такие как sqlcmd и bcp, из раздела "Установка средств командной строки SQL Server sqlcmd и bcp в Linux". Выполните следующие действия после завершения установки.
Используйте следующие команды, чтобы подключиться к серверу SQL Server, созданному на предыдущих шагах.
Замените <администратора> сервера именем администратора, введенным во время создания SQL Server.
Замените <пароль> администратора паролем администратора, введенным во время создания SQL Server.
Замените sql-server-1 именем сервера SQL Server.
sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'Командная строка SQL отображается при успешном входе. Введите exit, чтобы выйти из инструмента sqlcmd.
Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.
Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.
На странице групп ресурсов выберите группу ресурсов test-rg.
На странице test-rg выберите "Удалить группу ресурсов".
Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".
Следующие шаги
Из этого руководства вы узнали, как создать следующее:
виртуальная сеть и хост-бастион
виртуальную машину;
Azure SQL Server с частной конечной точкой.
Вы использовали виртуальную машину для конфиденциальной и безопасной проверки подключения к серверу SQL через частную конечную точку.
На следующем шаге рассмотрите архитектурный сценарий веб-приложения с частным подключением к Azure SQL Database, который подключает веб-приложение за пределами виртуальной сети к частной конечной точке базы данных.