Mulai Cepat: Membuat Titik Akhir Privat menggunakan Azure PowerShell

Memulai Azure Private Link dengan menggunakan titik akhir privat untuk tersambung ke Azure Attestation dengan aman.

Dalam mulai cepat ini, Anda akan membuat titik akhir privat untuk Azure Attestation dan menyebarkan komputer virtual untuk menguji koneksi privat.

Catatan

Implementasi saat ini hanya mencakup opsi persetujuan otomatis. Langganan harus ditambahkan ke daftar yang diizinkan agar dapat melanjutkan pembuatan titik akhir privat. Silakan hubungi tim layanan atau kirimkan permintaan dukungan Azure di halaman dukungan Azure sebelum melanjutkan dengan langkah-langkah di bawah ini.

Prasyarat

• Pelajari Azure Private Link
• Menyiapkan Azure Attestation dengan Azure PowerShell

Membuat grup sumber daya

Grup sumber daya Azure adalah kontainer logis yang disebarkan dan dikelola sumber daya Azure.

Membuat grup sumber daya menggunakan New-AzResourceGroup:

## Create to your Azure account subscription and create a resource group in a desired location. ##
Connect-AzAccount
Set-AzSubscription "mySubscription"
$rg = "CreateAttestationPrivateLinkTutorial-rg"
$loc= "eastus"
New-AzResourceGroup -Name $rg -Location $loc

Membuat jaringan virtual dan host bastion

Di bagian ini, Anda akan membuat jaringan virtual, subnet, dan host bastion.

Host bastion akan digunakan untuk menyambungkan ke komputer virtual dengan aman guna menguji titik akhir privat.

Membuat jaringan virtual dan host bastion dengan:

• New-AzVirtualNetwork
• New-AzPublicIpAddress
• New-AzBastion

## Create backend subnet config. ##
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name myBackendSubnet -AddressPrefix 10.0.0.0/24

## Create Azure Bastion subnet. ##
$bastsubnetConfig = New-AzVirtualNetworkSubnetConfig -Name AzureBastionSubnet -AddressPrefix 10.0.1.0/24

## Create the virtual network. ##
$vnet = New-AzVirtualNetwork -Name "myAttestationTutorialVNet" -ResourceGroupName $rg -Location $loc -AddressPrefix "10.0.0.0/16" -Subnet $subnetConfig, $bastsubnetConfig

## Create public IP address for bastion host. ##
$publicip = New-AzPublicIpAddress -Name "myBastionIP" -ResourceGroupName $rg -Location $loc -Sku "Standard" -AllocationMethod "Static"

## Create bastion host ##
New-AzBastion -ResourceGroupName $rg -Name "myBastion" -PublicIpAddress $publicip -VirtualNetwork $vnet

Dibutuhkan beberapa menit agar host Azure Bastion diterapkan.

Membuat komputer virtual pengujian

Di bagian ini, Anda akan membuat komputer virtual yang akan digunakan untuk menguji titik akhir privat.

Buat komputer virtual dengan:

• Get-Credential
• New-AzNetworkInterface
• New-AzVM
• New-AzVMConfig
• Set-AzVMOperatingSystem
• Set-AzVMSourceImage
• Add-AzVMNetworkInterface

## Set credentials for server admin and password. ##
$cred = Get-Credential

## Command to create network interface for VM ##
$nicVM = New-AzNetworkInterface -Name "myNicVM" -ResourceGroupName $rg -Location $loc -Subnet $vnet.Subnets[0] 

## Create a virtual machine configuration.##
$vmConfig = New-AzVMConfig -VMName "myVM" -VMSize "Standard_DS1_v2" | Set-AzVMOperatingSystem -Windows -ComputerName "myVM" -Credential $cred | Set-AzVMSourceImage -PublisherName "MicrosoftWindowsServer" -Offer "WindowsServer" -Skus "2019-Datacenter" -Version "latest" | Add-AzVMNetworkInterface -Id $nicVM.Id 

## Create the virtual machine ##
New-AzVM -ResourceGroupName $rg -Location $loc -VM $vmConfig

Membuat penyedia pengesahan

## Create an attestation provider ##
$attestationProviderName = "myattestationprovider"
$attestationProvider = New-AzAttestation -Name $attestationProviderName -ResourceGroupName $rg -Location $loc
$attestationProviderId = $attestationProvider.Id

Mengakses penyedia pengesahan dari komputer lokal

Masukkan nslookup <provider-name>.attest.azure.net. Ganti <nama> penyedia dengan nama instans penyedia pengesahan yang Anda buat di langkah-langkah sebelumnya.

## Access the attestation provider from local machine ##
nslookup myattestationprovider.eus.attest.azure.net

<# You'll receive a message similar to what is displayed below:

Server:  cdns01.comcast.net
Address:  2001:558:feed::1

Non-authoritative answer:
Name:    eus.service.attest.azure.net
Address:  20.62.219.160
Aliases:  myattestationprovider.eus.attest.azure.net
	attesteusatm.trafficmanager.net

#>

Buat titik akhir pribadi

Di bagian ini, Anda akan membuat titik akhir dan koneksi pribadi menggunakan:

• New-AzPrivateLinkServiceConnection
• New-AzPrivateEndpoint

## Create private endpoint connection. ##
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnection" -PrivateLinkServiceId $attestationProviderId -GroupID "Standard"

## Disable private endpoint network policy ##
$vnet.Subnets[0].PrivateEndpointNetworkPolicies = "Disabled" 
$vnet | Set-AzVirtualNetwork

## Create private endpoint
New-AzPrivateEndpoint  -ResourceGroupName $rg -Name "myPrivateEndpoint" -Location $loc -Subnet $vnet.Subnets[0] -PrivateLinkServiceConnection $privateEndpointConnection

Mengonfigurasi Zona DNS privat

Di bagian ini Anda akan membuat dan mengonfigurasi zona DNS privat menggunakan:

• New-AzPrivateDnsZone
• New-AzPrivateDnsVirtualNetworkLink
• New-AzPrivateDnsZoneConfig
• New-AzPrivateDnsZoneGroup

## Create private dns zone. ##
$zone = New-AzPrivateDnsZone -ResourceGroupName $rg -Name "privatelink.attest.azure.net"

## Create dns network link. ##
$link = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rg -ZoneName "privatelink.attest.azure.net" -Name "myLink" -VirtualNetworkId $vnet.Id

## Create DNS configuration ##
$config = New-AzPrivateDnsZoneConfig -Name "privatelink.attest.azure.net" -PrivateDnsZoneId $zone.ResourceId

## Create DNS zone group. ##
New-AzPrivateDnsZoneGroup -ResourceGroupName $rg -PrivateEndpointName "myPrivateEndpoint" -Name "myZoneGroup" -PrivateDnsZoneConfig $config

Menguji konektivitas ke titik akhir privat

Di bagian ini, Anda akan menggunakan komputer virtual yang telah Anda buat di langkah sebelumnya untuk menyambungkan ke server SQL di seluruh titik akhir privat.

1. Masuk ke portal Azure.

2. Pilih Grup Sumber daya di panel navigasi sebelah kiri.

3. Pilih CreateAttestationPrivateLinkTutorial-rg.

4. Pilih myVM.

5. Pada halaman ringkasan myVM, pilih Sambungkan lalu Bastion.

6. Pilih tombol Gunakan Bastion berwarna biru.

7. Masukkan nama pengguna dan kata sandi yang Anda masukkan selama pembuatan komputer virtual.

8. Buka Windows PowerShell pada server setelah Anda tersambung.

9. Masukkan nslookup <provider-name>.attest.azure.net. Ganti <nama> penyedia dengan nama instans penyedia pengesahan yang Anda buat di langkah-langkah sebelumnya:

   ## Access the attestation provider from local machine ##
   nslookup myattestationprovider.eus.attest.azure.net
   
   <# You'll receive a message similar to what is displayed below:
   
   Server:  cdns01.comcast.net
   Address:  2001:558:feed::1
       cdns01.comcast.net can't find myattestationprovider.eus.attest.azure.net: Non-existent domain
   
   #>
   
   ## Access the attestation provider from the VM created in the same virtual network as the private endpoint.   ##
   nslookup myattestationprovider.eus.attest.azure.net
   
   <# You'll receive a message similar to what is displayed below:
   
   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    myattestationprovider.eastus.test.attest.azure.net
   
   #>