Mulai Cepat: Membuat Titik Akhir Privat menggunakan Azure PowerShell
Memulai Azure Private Link dengan menggunakan titik akhir privat untuk tersambung ke Azure Attestation dengan aman.
Dalam mulai cepat ini, Anda akan membuat titik akhir privat untuk Azure Attestation dan menyebarkan komputer virtual untuk menguji koneksi privat.
Catatan
Implementasi saat ini hanya mencakup opsi persetujuan otomatis. Langganan harus ditambahkan ke daftar yang diizinkan agar dapat melanjutkan pembuatan titik akhir privat. Silakan hubungi tim layanan atau kirimkan permintaan dukungan Azure di halaman dukungan Azure sebelum melanjutkan dengan langkah-langkah di bawah ini.
Prasyarat
Membuat grup sumber daya
Grup sumber daya Azure adalah kontainer logis yang disebarkan dan dikelola sumber daya Azure.
Membuat grup sumber daya menggunakan New-AzResourceGroup:
## Create to your Azure account subscription and create a resource group in a desired location. ##
Connect-AzAccount
Set-AzSubscription "mySubscription"
$rg = "CreateAttestationPrivateLinkTutorial-rg"
$loc= "eastus"
New-AzResourceGroup -Name $rg -Location $loc
Membuat jaringan virtual dan host bastion
Di bagian ini, Anda akan membuat jaringan virtual, subnet, dan host bastion.
Host bastion akan digunakan untuk menyambungkan ke komputer virtual dengan aman guna menguji titik akhir privat.
Membuat jaringan virtual dan host bastion dengan:
## Create backend subnet config. ##
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name myBackendSubnet -AddressPrefix 10.0.0.0/24
## Create Azure Bastion subnet. ##
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig -Name AzureBastionSubnet -AddressPrefix 10.0.1.0/24
## Create the virtual network. ##
$vnet = New-AzVirtualNetwork -Name "myAttestationTutorialVNet" -ResourceGroupName $rg -Location $loc -AddressPrefix "10.0.0.0/16" -Subnet $subnetConfig, $bastsubnetConfig
## Create public IP address for bastion host. ##
$publicip = New-AzPublicIpAddress -Name "myBastionIP" -ResourceGroupName $rg -Location $loc -Sku "Standard" -AllocationMethod "Static"
## Create bastion host ##
New-AzBastion -ResourceGroupName $rg -Name "myBastion" -PublicIpAddress $publicip -VirtualNetwork $vnet
Dibutuhkan beberapa menit agar host Azure Bastion diterapkan.
Membuat komputer virtual pengujian
Di bagian ini, Anda akan membuat komputer virtual yang akan digunakan untuk menguji titik akhir privat.
Buat komputer virtual dengan:
- Get-Credential
- New-AzNetworkInterface
- New-AzVM
- New-AzVMConfig
- Set-AzVMOperatingSystem
- Set-AzVMSourceImage
- Add-AzVMNetworkInterface
## Set credentials for server admin and password. ##
$cred = Get-Credential
## Command to create network interface for VM ##
$nicVM = New-AzNetworkInterface -Name "myNicVM" -ResourceGroupName $rg -Location $loc -Subnet $vnet.Subnets[0]
## Create a virtual machine configuration.##
$vmConfig = New-AzVMConfig -VMName "myVM" -VMSize "Standard_DS1_v2" | Set-AzVMOperatingSystem -Windows -ComputerName "myVM" -Credential $cred | Set-AzVMSourceImage -PublisherName "MicrosoftWindowsServer" -Offer "WindowsServer" -Skus "2019-Datacenter" -Version "latest" | Add-AzVMNetworkInterface -Id $nicVM.Id
## Create the virtual machine ##
New-AzVM -ResourceGroupName $rg -Location $loc -VM $vmConfig
Membuat penyedia pengesahan
## Create an attestation provider ##
$attestationProviderName = "myattestationprovider"
$attestationProvider = New-AzAttestation -Name $attestationProviderName -ResourceGroupName $rg -Location $loc
$attestationProviderId = $attestationProvider.Id
Mengakses penyedia pengesahan dari komputer lokal
Masukkan nslookup <provider-name>.attest.azure.net
. Ganti <nama> penyedia dengan nama instans penyedia pengesahan yang Anda buat di langkah-langkah sebelumnya.
## Access the attestation provider from local machine ##
nslookup myattestationprovider.eus.attest.azure.net
<# You'll receive a message similar to what is displayed below:
Server: cdns01.comcast.net
Address: 2001:558:feed::1
Non-authoritative answer:
Name: eus.service.attest.azure.net
Address: 20.62.219.160
Aliases: myattestationprovider.eus.attest.azure.net
attesteusatm.trafficmanager.net
#>
Buat titik akhir pribadi
Di bagian ini, Anda akan membuat titik akhir dan koneksi pribadi menggunakan:
## Create private endpoint connection. ##
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnection" -PrivateLinkServiceId $attestationProviderId -GroupID "Standard"
## Disable private endpoint network policy ##
$vnet.Subnets[0].PrivateEndpointNetworkPolicies = "Disabled"
$vnet | Set-AzVirtualNetwork
## Create private endpoint
New-AzPrivateEndpoint -ResourceGroupName $rg -Name "myPrivateEndpoint" -Location $loc -Subnet $vnet.Subnets[0] -PrivateLinkServiceConnection $privateEndpointConnection
Mengonfigurasi Zona DNS privat
Di bagian ini Anda akan membuat dan mengonfigurasi zona DNS privat menggunakan:
- New-AzPrivateDnsZone
- New-AzPrivateDnsVirtualNetworkLink
- New-AzPrivateDnsZoneConfig
- New-AzPrivateDnsZoneGroup
## Create private dns zone. ##
$zone = New-AzPrivateDnsZone -ResourceGroupName $rg -Name "privatelink.attest.azure.net"
## Create dns network link. ##
$link = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rg -ZoneName "privatelink.attest.azure.net" -Name "myLink" -VirtualNetworkId $vnet.Id
## Create DNS configuration ##
$config = New-AzPrivateDnsZoneConfig -Name "privatelink.attest.azure.net" -PrivateDnsZoneId $zone.ResourceId
## Create DNS zone group. ##
New-AzPrivateDnsZoneGroup -ResourceGroupName $rg -PrivateEndpointName "myPrivateEndpoint" -Name "myZoneGroup" -PrivateDnsZoneConfig $config
Menguji konektivitas ke titik akhir privat
Di bagian ini, Anda akan menggunakan komputer virtual yang telah Anda buat di langkah sebelumnya untuk menyambungkan ke server SQL di seluruh titik akhir privat.
Masuk ke portal Azure.
Pilih Grup Sumber daya di panel navigasi sebelah kiri.
Pilih CreateAttestationPrivateLinkTutorial-rg.
Pilih myVM.
Pada halaman ringkasan myVM, pilih Sambungkan lalu Bastion.
Pilih tombol Gunakan Bastion berwarna biru.
Masukkan nama pengguna dan kata sandi yang Anda masukkan selama pembuatan komputer virtual.
Buka Windows PowerShell pada server setelah Anda tersambung.
Masukkan
nslookup <provider-name>.attest.azure.net
. Ganti <nama> penyedia dengan nama instans penyedia pengesahan yang Anda buat di langkah-langkah sebelumnya:## Access the attestation provider from local machine ## nslookup myattestationprovider.eus.attest.azure.net <# You'll receive a message similar to what is displayed below: Server: cdns01.comcast.net Address: 2001:558:feed::1 cdns01.comcast.net can't find myattestationprovider.eus.attest.azure.net: Non-existent domain #> ## Access the attestation provider from the VM created in the same virtual network as the private endpoint. ## nslookup myattestationprovider.eus.attest.azure.net <# You'll receive a message similar to what is displayed below: Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: myattestationprovider.eastus.test.attest.azure.net #>