Privát hivatkozás használata a Virtual WAN-ban
Az Azure Private Link egy olyan technológia, amely lehetővé teszi az Azure Platform as-a-Service ajánlatok privát IP-cím-kapcsolattal való csatlakoztatását privát végpontok felfedésével. Az Azure Virtual WAN használatával privát végpontot helyezhet üzembe az egyik virtuális hálózatban, amely bármely virtuális központhoz csatlakozik. Ez a privát kapcsolat kapcsolatot biztosít bármely más, ugyanahhoz a Virtual WAN-hoz csatlakoztatott virtuális hálózathoz vagy ághoz.
Mielőtt elkezdené
A cikk lépései feltételezik, hogy már üzembe helyezett egy virtuális WAN-t egy vagy több központtal és legalább két, a Virtual WAN-hoz csatlakoztatott virtuális hálózattal.
Új virtuális WAN és új központ létrehozásához kövesse az alábbi cikkek lépéseit:
Privát kapcsolatvégpont létrehozása
Számos különböző szolgáltatáshoz létrehozhat privát kapcsolatvégpontot. Ebben a példában az Azure SQL Database-t használjuk. Az Azure SQL Database privát végpontjának létrehozásáról a rövid útmutatóban talál további információt: Privát végpont létrehozása az Azure Portal használatával. Az alábbi képen az Azure SQL Database hálózati konfigurációja látható:
Az Azure SQL Database létrehozása után ellenőrizheti a privát végpontok között böngésző privát végpont IP-címét:
A létrehozott privát végpontra kattintva meg kell jelennie a privát IP-címének és a teljes tartománynévnek (FQDN). A privát végpontnak ip-címmel kell rendelkeznie annak a virtuális hálózatnak a tartományában, ahol üzembe helyezték (10.1.3.0/24):
Azonos virtuális hálózat kapcsolatának ellenőrzése
Ebben a példában egy Linux rendszerű virtuális gépről ellenőrizzük az Azure SQL Database-hez való csatlakozást az MS SQL-eszközök telepítésével. Az első lépés annak ellenőrzése, hogy működik-e a DNS-feloldás, és az Azure SQL Database teljes tartományneve egy privát IP-címre lesz feloldva ugyanabban a virtuális hálózaton, ahol a privát végpont üzembe lett helyezve (10.1.3.0/24):
nslookup wantest.database.windows.net
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
wantest.database.windows.net canonical name = wantest.privatelink.database.windows.net.
Name: wantest.privatelink.database.windows.net
Address: 10.1.3.228
Ahogy az előző kimenetben látható, a teljes tartománynév wantest.database.windows.net a következőre wantest.privatelink.database.windows.netvan leképezve, hogy a privát végpont mentén létrehozott privát DNS-zóna feloldja a privát IP-címet 10.1.3.228. A privát DNS-zóna megtekintésével meggyőződhet arról, hogy a privát végponthoz egy A rekord van leképezve a privát IP-címhez:
A megfelelő DNS-feloldás ellenőrzése után megpróbálhatunk csatlakozni az adatbázishoz:
query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"
10.1.3.75
Mint látható, egy speciális SQL-lekérdezést használunk, amely megadja a forrás IP-címet, amelyet az SQL Server lát az ügyféltől. Ebben az esetben a kiszolgáló a privát IP-címével (10.1.3.75) látja az ügyfelet, ami azt jelenti, hogy a forgalom közvetlenül a virtuális hálózatról a privát végpontra kerül.
Állítsa be a változókat username , és password egyezzen az Azure SQL Database-ben definiált hitelesítő adatokkal, hogy az ebben az útmutatóban szereplő példák működjenek.
Csatlakozás másik virtuális hálózatból
Most, hogy az Azure Virtual WAN egyik virtuális hálózata csatlakozik a privát végponthoz, a Virtual WAN-hoz csatlakoztatott összes többi virtuális hálózat és ág is hozzáférhet hozzá. Két példa elnevezéséhez az Azure Virtual WAN által támogatott modelleken keresztül kell kapcsolatot létesítenie, például az Any-to-any forgatókönyvet vagy a Megosztott szolgáltatások virtuális hálózat forgatókönyvét.
Miután kapcsolatot létesített a virtuális hálózat vagy az ág között ahhoz a virtuális hálózathoz, amelyen a privát végpont üzembe lett helyezve, konfigurálnia kell a DNS-feloldási elemet:
- Ha virtuális hálózatról csatlakozik a privát végponthoz, ugyanazt a privát zónát használhatja, amelyet az Azure SQL Database-sel hoztak létre.
- Ha egy ágból (helyek közötti VPN, pont–hely VPN vagy ExpressRoute) csatlakozik a privát végponthoz, helyszíni DNS-feloldást kell használnia.
Ebben a példában egy másik virtuális hálózatról csatlakozunk. Először csatolja a privát DNS-zónát az új virtuális hálózathoz, hogy számítási feladatai feloldhassák az Azure SQL Database teljes tartománynevét a privát IP-címhez. Ez a privát DNS-zóna és az új virtuális hálózat összekapcsolásával történik:
A csatolt virtuális hálózat bármely virtuális gépének helyesen kell feloldania az Azure SQL Database teljes tartománynevét a privát kapcsolat privát IP-címére:
nslookup wantest.database.windows.net
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
wantest.database.windows.net canonical name = wantest.privatelink.database.windows.net.
Name: wantest.privatelink.database.windows.net
Address: 10.1.3.228
Annak ellenőrzéséhez, hogy a virtuális hálózat (10.1.1.0/24) rendelkezik-e kapcsolattal az eredeti virtuális hálózathoz, amelyen a privát végpont konfigurálva volt (10.1.3.0/24), ellenőrizheti a virtuális hálózat bármely virtuális gépének érvényes útvonaltábláját:
Mint látható, van egy útvonal, amely az Azure Virtual WAN virtuális hálózati átjárói által injektált 10.1.3.0/24-es virtuális hálózatra mutat. Most végre tesztelhetjük az adatbázishoz való kapcsolódást:
query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"
10.1.1.75
Ebben a példában láthattuk, hogyan biztosít kapcsolatot a virtuális WAN-hoz csatlakoztatott virtuális hálózatok egyikében a privát végpont létrehozása a Virtuális WAN többi virtuális hálózatához és ágához.
Következő lépések
A Virtual WAN-ról további információt a gyakori kérdések között talál.