Privé-eindpunten van Azure beheren

Privé-eindpunten van Azure hebben verschillende opties voor het beheren van hun configuratie en implementatie.

U kunt bepalen en MemberName waarden door GroupId een query uit te voeren op de Azure Private Link-resource. U hebt de GroupId en MemberName waarden nodig om een statisch IP-adres voor een privé-eindpunt te configureren tijdens het maken.

Een privé-eindpunt heeft twee aangepaste eigenschappen: statisch IP-adres en netwerkinterfacenaam. Deze eigenschappen moeten worden ingesteld wanneer het privé-eindpunt wordt gemaakt.

Met een serviceprovider en consumentenimplementatie van Private Link is er een goedkeuringsproces om de verbinding te maken.

GroupID en MemberName bepalen

Tijdens het maken van een privé-eindpunt met Azure PowerShell en de Azure CLI zijn de GroupId en MemberName waarden van de privé-eindpuntresource mogelijk nodig.

• GroupId is de subresource van het privé-eindpunt.
• MemberName is de unieke stempel voor het privé-IP-adres van het eindpunt.

Zie de Private Link-resource voor meer informatie over subresources voor privé-eindpunten en de bijbehorende waarden.

Gebruik de volgende opdrachten om de waarden van GroupId en MemberName voor uw privé-eindpuntresource te bepalen. MemberName is opgenomen in de RequiredMembers eigenschap.

PowerShell

Een Azure-web-app wordt gebruikt als de voorbeeldresource voor privé-eindpunten. Gebruik Get-AzPrivateLinkResource om de waarden voor GroupId en MemberName.

## Place the previously created webapp into a variable. ##
$webapp = 
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

$resource = 
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID

U zou een uitvoer moeten ontvangen die vergelijkbaar is met het volgende voorbeeld.

Azure-CLI

Een Azure-web-app wordt gebruikt als de voorbeeldresource voor privé-eindpunten. Gebruik az network private-link-resource list om te bepalen GroupId en MemberName. De parameter --type vereist de naamruimte voor de Private Link-resource. Voor de web-app die in dit voorbeeld wordt gebruikt, is Microsoft.Web/sitesde naamruimte . Als u de naamruimte voor uw Private Link-resource wilt bepalen, raadpleegt u de DNS-zoneconfiguratie van Azure-services.

az network private-link-resource list \
    --resource-group MyResourceGroup \
    --name myWebApp1979 \
    --type Microsoft.Web/sites

U zou een uitvoer moeten ontvangen die vergelijkbaar is met het volgende voorbeeld.

Aangepaste eigenschappen

Naam van netwerkinterface en toewijzing van statische IP-adressen zijn aangepaste eigenschappen die u tijdens het maken op een privé-eindpunt kunt instellen.

Naam van netwerkinterface wijzigen

Wanneer een privé-eindpunt wordt gemaakt, krijgt de netwerkinterface die is gekoppeld aan het privé-eindpunt standaard een willekeurige naam voor de netwerkinterface. De netwerkinterface moet een naam krijgen wanneer het privé-eindpunt wordt gemaakt. De naam van de netwerkinterface van een bestaand privé-eindpunt wordt niet ondersteund.

Gebruik de volgende opdrachten wanneer u een privé-eindpunt maakt om de naam van de netwerkinterface te wijzigen.

PowerShell

Als u de naam van de netwerkinterface wilt wijzigen wanneer het privé-eindpunt wordt gemaakt, gebruikt u de -CustomNetworkInterfaceName parameter. In het volgende voorbeeld wordt een Azure PowerShell-opdracht gebruikt om een privé-eindpunt te maken voor een Azure-web-app. Zie New-AzPrivateEndpoint voor meer informatie.

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe

Azure-CLI

Als u de naam van de netwerkinterface wilt wijzigen wanneer het privé-eindpunt wordt gemaakt, gebruikt u de --nic-name parameter. In het volgende voorbeeld wordt een Azure PowerShell-opdracht gebruikt om een privé-eindpunt te maken voor een Azure-web-app. Zie az network private-endpoint create voor meer informatie.

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --group-id sites \
    --nic-name myPrivateEndpointNIC \
    --vnet-name myVNet

Statisch IP-adres

Wanneer een privé-eindpunt wordt gemaakt, wordt standaard automatisch het IP-adres voor het eindpunt toegewezen. Het IP-adres wordt toegewezen vanuit het IP-bereik van het virtuele netwerk dat is geconfigureerd voor het privé-eindpunt. Er kan zich een situatie voordoen wanneer een statisch IP-adres voor het privé-eindpunt vereist is. Het statische IP-adres moet worden toegewezen wanneer het privé-eindpunt wordt gemaakt. De configuratie van een statisch IP-adres voor een bestaand privé-eindpunt wordt momenteel niet ondersteund.

Zie Een privé-eindpunt maken met behulp van Azure PowerShell en een privé-eindpunt maken met behulp van de Azure CLI voor procedures voor het configureren van een statisch IP-adres.

Privé-eindpuntverbindingen

Private Link werkt op een goedkeuringsmodel waarbij de Private Link-consument een verbinding kan aanvragen met de serviceprovider voor het gebruik van de service.

De serviceprovider kan vervolgens beslissen of de consument verbinding mag maken of niet. Met Private Link kunnen serviceproviders de privé-eindpuntverbinding op hun resources beheren.

Er zijn twee methoden voor goedkeuring van verbindingen waaruit een Private Link-consument kan kiezen:

• Automatisch: als de servicegebruiker machtigingen voor op rollen gebaseerd toegangsbeheer (RBAC) van Azure heeft voor de serviceproviderresource, kan de consument de automatische goedkeuringsmethode kiezen. Wanneer de aanvraag de resource van de serviceprovider bereikt, is er geen actie vereist van de serviceprovider en wordt de verbinding automatisch goedgekeurd.

• Handmatig: als de servicegebruiker geen RBAC-machtigingen heeft voor de resource van de serviceprovider, kan de consument de handmatige goedkeuringsmethode kiezen. De verbindingsaanvraag wordt weergegeven op de serviceresources als In behandeling. De serviceprovider moet de aanvraag handmatig goedkeuren voordat verbindingen tot stand kunnen worden gebracht.

  In handmatige gevallen kan de servicegebruiker ook een bericht opgeven met de aanvraag om de serviceprovider meer context te bieden. De serviceprovider heeft de volgende opties waaruit u kunt kiezen voor alle privé-eindpuntverbindingen: Goedkeuren, Weigeren en Verwijderen.

Belangrijk

Als u verbindingen wilt goedkeuren met een privé-eindpunt dat zich in een afzonderlijk abonnement of een afzonderlijke tenant bevindt, moet u ervoor zorgen dat het providerabonnement of de tenant is geregistreerd Microsoft.Network. Het consumentenabonnement of de tenant moet ook de resourceprovider van de doelresource hebben geregistreerd.

In de volgende tabel ziet u de verschillende acties van serviceproviders en de resulterende verbindingsstatussen voor privé-eindpunten. De serviceprovider kan de verbindingsstatus op een later tijdstip wijzigen zonder tussenkomst van de consument. De actie werkt de status van het eindpunt aan de kant van de consument bij.

Actie van serviceprovider	Status privé-eindpunt serviceconsument	Beschrijving
Geen	In behandeling	Verbinding maken wordt handmatig gemaakt en wacht op goedkeuring door de eigenaar van de Private Link-resource.
Goedkeuren	Goedgekeurd	Verbinding maken ion wordt automatisch of handmatig goedgekeurd en kan worden gebruikt.
Verwerpen	Afgewezen	De eigenaar van de Private Link-resource weigert de verbinding.
Verwijderen	Ontkoppeld	De eigenaar van de Private Link-resource verwijdert de verbinding, waardoor het privé-eindpunt wordt verbroken en moet worden verwijderd voor opschoning.

Privé-eindpuntverbindingen beheren in Azure PaaS-resources

Gebruik de volgende stappen om een privé-eindpuntverbinding te beheren in Azure Portal.

1. Meld u aan bij de Azure-portal.

2. Voer Private Link in het zoekvak boven aan de portal in. Selecteer Privékoppeling in de zoekresultaten.

3. Selecteer privé-eindpunten of Private Link-services in het Private Link-centrum.

4. Voor elk van uw eindpunten kunt u het aantal privé-eindpuntverbindingen weergeven dat eraan is gekoppeld. U kunt de resources zo nodig filteren.

5. Selecteer het privé-eindpunt. Selecteer onder de vermelde verbindingen de verbinding die u wilt beheren.

6. U kunt de status van de verbinding wijzigen door bovenaan de opties te selecteren.

Privé-eindpuntverbindingen beheren op een Private Link-service die eigendom is van een klant of partner

Gebruik de volgende PowerShell- en Azure CLI-opdrachten voor het beheren van privé-eindpuntverbindingen in Microsoft-partnerservices of services die eigendom zijn van de klant.

PowerShell

Gebruik de volgende PowerShell-opdrachten om privé-eindpuntverbindingen te beheren.

Verbindingsstatussen van Private Link ophalen

Gebruik Get-AzPrivateEndpoint Verbinding maken ion om de privé-eindpuntverbindingen en hun statussen op te halen.

$get = @{
    Name = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get

Een privé-eindpuntverbinding goedkeuren

Gebruik Approve-AzPrivateEndpoint Verbinding maken ion om een privé-eindpuntverbinding goed te keuren.

$approve = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve

Een privé-eindpuntverbinding weigeren

Gebruik Deny-AzPrivateEndpoint Verbinding maken ion om een privé-eindpuntverbinding te weigeren.

$deny = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection  @deny

Een privé-eindpuntverbinding verwijderen

Gebruik Remove-AzPrivateEndpoint Verbinding maken ion om een privé-eindpuntverbinding te verwijderen.

$remove = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove

Azure-CLI

Gebruik de volgende Azure CLI-opdrachten om privé-eindpuntverbindingen te beheren.

Verbindingsstatussen van Private Link ophalen

Gebruik az network private-endpoint-connection show om de privé-eindpuntverbindingen en hun statussen op te halen.

  az network private-endpoint-connection show \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Een privé-eindpuntverbinding goedkeuren

Gebruik az network private-endpoint-connection goedkeuren om een privé-eindpuntverbinding goed te keuren.

  az network private-endpoint-connection approve \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

Een privé-eindpuntverbinding weigeren

Gebruik az network private-endpoint-connection reject om een privé-eindpuntverbinding te weigeren.

  az network private-endpoint-connection reject \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

Een privé-eindpuntverbinding verwijderen

Gebruik az network private-endpoint-connection delete om een privé-eindpuntverbinding te verwijderen.

  az network private-endpoint-connection delete \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Notitie

Verbinding maken ionen die eerder zijn geweigerd, kunnen niet worden goedgekeurd. U moet de verbinding verwijderen en een nieuwe maken.

Volgende stappen

• Meer informatie over privé-eindpunten