Azure Relay integreren met Azure Private Link

  • Artikel

Met azure Private Link Service hebt u toegang tot Azure-services (bijvoorbeeld Azure Relay, Azure Service Bus, Azure Event Hubs, Azure Storage en Azure Cosmos DB) en door Azure gehoste klant-/partnerservices via een privé-eindpunt in uw virtuele netwerk. Zie Wat is een Azure Private Link? voor meer informatie.

Een privé-eindpunt is een netwerkinterface waarmee uw workloads die in een virtueel netwerk worden uitgevoerd, privé en veilig verbinding kunnen maken met een service met een private link-resource (bijvoorbeeld een Relay-naamruimte). Het privé-eindpunt maakt gebruik van een privé-IP-adres van uw VNet, waardoor de service feitelijk in uw VNet wordt geplaatst. Al het verkeer naar de service kan worden gerouteerd via het privé-eindpunt, zodat er geen gateways, NAT-apparaten, ExpressRoute-, VPN-verbindingen of openbare IP-adressen nodig zijn. Verkeer tussen uw virtuele netwerk en de services wordt via het backbonenetwerk van Microsoft geleid, waarmee de risico's van het openbare internet worden vermeden. U kunt een granulariteit in toegangsbeheer opgeven door verbindingen met specifieke Azure Relay-naamruimten toe te staan.

Notitie

Als u de relay-listener via een privékoppeling gebruikt, opent u poorten 9400-9599 voor uitgaande communicatie samen met de standaardrelaispoorten. Houd er rekening mee dat u deze stap alleen moet uitvoeren voor de relay-listener.

Een privé-eindpunt toevoegen met behulp van Azure Portal

Vereisten

Als u een Azure Relay-naamruimte wilt integreren met Azure Private Link, hebt u de volgende entiteiten of machtigingen nodig:

  • Een Azure Relay-naamruimte.
  • Een Azure Virtual Network.
  • Een subnet binnen het virtueel netwerk.
  • Eigenaars- of inzendermachtigingen voor het virtuele netwerk.

Uw privé-eindpunt en het virtueel netwerk moeten zich in dezelfde regio bevinden. Wanneer u een regio voor het privé-eindpunt selecteert met behulp van de portal, worden er automatisch alleen virtuele netwerken gefilterd die zich in die regio bevinden. Uw naamruimte kan zich in een andere regio bevinden.

Uw privé-eindpunt maakt gebruik van een privé IP-adres in uw virtueel netwerk.

Privétoegang configureren voor een Relay-naamruimte

De volgende procedure bevat stapsgewijze instructies voor het uitschakelen van openbare toegang tot een Relay-naamruimte en het toevoegen van een privé-eindpunt aan de naamruimte.

  1. Meld u aan bij de Azure-portal.

  2. Typ relays in de zoekbalk.

  3. Selecteer de naamruimte in de lijst waaraan u een privé-eindpunt wilt toevoegen.

  4. Selecteer in het linkermenu het tabblad Netwerken onder Instellingen.

  5. Selecteer uitgeschakeld op de pagina Netwerken voor openbare netwerktoegang als u wilt dat de naamruimte alleen toegankelijk is via privé-eindpunten.

  6. Als u vertrouwde Microsoft-services wilt toestaan om deze firewall te omzeilen, selecteert u Ja als u vertrouwde Microsoft-services wilt toestaan om deze firewall te omzeilen.

    Screenshot of the Networking page with public network access as Disabled.

  7. Selecteer het tabblad Privé-eindpuntverbindingen boven aan de pagina

  8. Selecteer de knop + Privé-eindpunt boven aan de pagina.

    Screenshot showing the selection of the Add private endpoint button on the Private endpoint connections tab of the Networking page.

  9. Voer op de pagina Basisinformatie de volgende stappen uit:

    1. Selecteer het Azure-abonnement waarin u het privé-eindpunt wilt maken.

    2. Selecteer de resourcegroep voor de privé-eindpuntresource.

    3. Voer een naam in voor het privé-eindpunt.

    4. Voer een naam in voor de netwerkinterface.

    5. Selecteer een regio voor het privé-eindpunt. Uw privé-eindpunt moet zich in dezelfde regio bevinden als uw virtuele netwerk, maar zich in een andere regio bevinden dan de Azure Relay-naamruimte waarmee u verbinding maakt.

    6. Selecteer Volgende: knop Resource > onder aan de pagina.

      Screenshot showing the Basics page of the Create a private endpoint wizard.

  10. Controleer de instellingen op de pagina Resource en selecteer Volgende: Virtueel netwerk.

    Screenshot showing the Resource page of the Create a private endpoint wizard.

  11. Selecteer op de pagina Virtueel netwerk het virtuele netwerk en het subnet waar u het privé-eindpunt wilt implementeren. Alleen virtuele netwerken in het geselecteerde abonnement en de locatie worden weergegeven in de vervolgkeuzelijst.

    Screenshot showing the Virtual Network page of the Create a private endpoint wizard.

    U kunt configureren of u dynamisch een IP-adres wilt toewijzen of statisch een IP-adres wilt toewijzen aan het privé-eindpunt

    U kunt ook een nieuwe of bestaande toepassingsbeveiligingsgroep koppelen aan het privé-eindpunt.

  12. Selecteer Volgende: DNS om naar de DNS-pagina van de wizard te navigeren. Op de PAGINA DNS is Integreren met privé-DNZ-zone-instelling standaard ingeschakeld (aanbevolen). U hebt een optie om deze uit te schakelen.

    Screenshot showing the DNS page of the Create a private endpoint wizard.

    Als u privé verbinding wilt maken met uw privé-eindpunt, hebt u een DNS-record nodig. U wordt aangeraden uw privé-eindpunt te integreren met een privé-DNS-zone. U kunt ook uw eigen DNS-servers gebruiken of DNS-records maken met behulp van de hostbestanden op uw virtuele machines. Zie DNS-configuratie van azure-privé-eindpunt voor meer informatie.

  13. Selecteer Volgende: knop Tags > onderaan de pagina.

  14. Maak op de pagina Tags alle tags (namen en waarden) die u wilt koppelen aan het privé-eindpunt en de privé-DNS-zone (als u de optie hebt ingeschakeld). Selecteer vervolgens de knop Beoordelen en maken onder aan de pagina.

  15. Controleer bij Beoordelen en maken alle instellingen en selecteer Maken om het privé-eindpunt te maken.

  16. Op de pagina Privé-eindpunt ziet u de status van de privé-eindpuntverbinding. Als u de eigenaar van de Relay-naamruimte bent of de toegang hebt beheerd en Verbinding maken hebt geselecteerd voor een Azure-resource in mijn directory-optie voor de Verbinding maken ionmethode, moet de eindpuntverbinding automatisch worden goedgekeurd. Als deze de status In behandeling heeft , raadpleegt u de sectie Privé-eindpunten beheren met behulp van Azure Portal .

    Screenshot showing the Private endpoint page in the Azure portal.

  17. Ga terug naar de pagina Netwerken van de naamruimte en ga naar het tabblad Privé-eindpuntverbindingen . U ziet nu het privé-eindpunt dat u hebt gemaakt.

    Screenshot showing the Private endpoint connections tab of the Networking page with the private endpoint you just created.

Een privé-eindpunt toevoegen met Behulp van PowerShell

In het volgende voorbeeld ziet u hoe u Azure PowerShell gebruikt om een privé-eindpuntverbinding met een Azure Relay-naamruimte te maken.

Uw privé-eindpunt en het virtueel netwerk moeten zich in dezelfde regio bevinden. Uw Azure Relay-naamruimte kan zich in een andere regio bevinden. En uw privé-eindpunt maakt gebruik van een privé-IP-adres in uw virtuele netwerk.


$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create a relay namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Properties @{} -ResourceType "Microsoft.Relay/namespaces" 

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you'll use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Privé-eindpunten beheren met behulp van Azure Portal

Wanneer u een privé-eindpunt maakt, moet de verbinding worden goedgekeurd. Als de resource (Relay-naamruimte) waarvoor u een privé-eindpunt maakt zich in uw directory bevindt, kunt u de verbindingsaanvraag goedkeuren, mits u bevoegdheden hebt beheerd via de Relay-naamruimte. Als u verbinding maakt met een Relay-naamruimte waarvoor u de toegang niet hebt, moet u wachten tot de eigenaar van die resource uw verbindingsaanvraag goedkeurt.

Er zijn vier inrichtingsstatussen:

Serviceactie Status privé-eindpunt serviceconsument Beschrijving
None In behandeling Verbinding maken ion wordt handmatig gemaakt en wacht op goedkeuring van de eigenaar van de Azure Relay-naamruimte.
Goedkeuren Worden goedgekeurd De verbinding werd automatisch of handmatig goedgekeurd en is klaar om te worden gebruikt.
Afwijzen Afgewezen Verbinding maken ion is geweigerd door de eigenaar van de Azure Relay-naamruimte.
Verwijderen Ontkoppeld Verbinding maken is verwijderd door de eigenaar van de Azure Relay-naamruimte, wordt het privé-eindpunt informatief en moet worden verwijderd voor opschoning.

Een privé-eindpuntverbinding goedkeuren, afwijzen of verwijderen

  1. Meld u aan bij de Azure-portal.
  2. Typ relay in de zoekbalk.
  3. Selecteer de naamruimte die u wilt beheren.
  4. Selecteer het tabblad Netwerken.
  5. Ga naar de juiste sectie hieronder op basis van de bewerking die u wilt: goedkeuren, afwijzen of verwijderen.

Een privé-eindpuntverbinding goedkeuren

  1. Als er verbindingen zijn die in behandeling zijn, ziet u een verbinding met In behandeling in de inrichtingsstatus.

  2. Selecteer het privé-eindpunt dat u wilt goedkeuren

  3. Selecteer de knop Goedkeuren .

    Screenshot showing the Approve button on the command bar for the selected private endpoint.

  4. Voer op de pagina Verbinding goedkeuren een optionele opmerking in en selecteer Ja. Als u Nee selecteert, gebeurt er niets.

    Screenshot showing the Approve connection page asking for your confirmation.

  5. U ziet nu de status van de verbinding in de lijst gewijzigd in Goedgekeurd.

Een privé-eindpuntverbinding weigeren

  1. Als er privé-eindpuntverbindingen zijn die u wilt weigeren, of het nu een aanvraag in behandeling is of een bestaande verbinding die eerder is goedgekeurd, selecteert u de eindpuntverbinding en selecteert u de knop Weigeren .

    Screenshot showing the Reject button on the command bar for the selected private endpoint.

  2. Voer op de pagina Verbinding weigeren een optionele opmerking in en selecteer Ja. Als u Nee selecteert, gebeurt er niets.

    Screenshot showing the Reject connection page asking for your confirmation.

  3. U ziet nu de status van de verbinding in de lijst geweigerd.

Een privé-eindpuntverbinding verwijderen

  1. Als u een privé-eindpuntverbinding wilt verwijderen, selecteert u deze in de lijst en selecteert u Verwijderen op de werkbalk.

    Screenshot showing the Remove button on the command bar for the selected private endpoint.

  2. Selecteer ja op de pagina Verbinding verwijderen om het verwijderen van het privé-eindpunt te bevestigen. Als u Nee selecteert, gebeurt er niets.

    Screenshot showing the Delete connection page asking you for the confirmation.

  3. Als het goed is, ziet u dat de status is gewijzigd in Verbinding verbroken. Vervolgens ziet u het eindpunt niet in de lijst.

Controleer of resources in het virtuele netwerk van het privé-eindpunt verbinding maken met uw Azure Relay-naamruimte via het privé-IP-adres.

Maak voor deze test een virtuele machine door de stappen te volgen in de azure-portal een virtuele Windows-machine maken

Op het tabblad Netwerken :

  1. Geef het virtuele netwerk en subnet op. Selecteer het virtuele netwerk waarop u het privé-eindpunt hebt geïmplementeerd.
  2. Geef een openbare IP-resource op.
  3. Selecteer Geen voor NIC-netwerkbeveiligingsgroep.
  4. Selecteer Nee voor taakverdeling.

Verbinding maken naar de virtuele machine en open de opdrachtregel en voer de volgende opdracht uit:

nslookup <your-relay-namespace-name>.servicebus.windows.net

Als het goed is, ziet u een resultaat dat er als volgt uitziet.

Non-authoritative answer:
Name:    <namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <namespace-name>.servicebus.windows.net

Beperkingen en overwegingen bij het ontwerp

Ontwerpoverwegingen

Beperkingen

  • Maximum aantal privé-eindpunten per Azure Relay-naamruimte: 64.
  • Maximum aantal Azure Relay-naamruimten met privé-eindpunten per abonnement: 64.
  • NSG-regels (Network Security Group) en door de gebruiker gedefinieerde routes zijn niet van toepassing op een privé-eindpunt. Zie de Azure Private Link-service voor meer informatie : Beperkingen

Vertrouwde Microsoft-services

Wanneer u vertrouwde Microsoft-services toestaan om deze firewallinstelling te omzeilen inschakelt, krijgen de volgende services toegang tot uw Azure Relay-resources:

Vertrouwde service Ondersteunde gebruiksscenario's
Azure Machine Learning AML Kubernetes maakt gebruik van Azure Relay om de communicatie tussen AML-services en het Kubernetes-cluster te vergemakkelijken. Azure Relay is een volledig beheerde service die beveiligde bidirectionele communicatie biedt tussen toepassingen die worden gehost op verschillende netwerken. Dit maakt het ideaal voor gebruik in private link-omgevingen, waarbij de communicatie tussen Azure-resources en on-premises resources wordt beperkt.
Azure Arc Met Azure Arc ingeschakelde services die zijn gekoppeld aan de bovenstaande resourceproviders, kunnen verbinding maken met de hybride verbindingen in uw Azure Relay-naamruimte als afzender zonder dat deze wordt geblokkeerd door de IP-firewallregels die zijn ingesteld op de Azure Relay-naamruimte. Microsoft.Hybridconnectivity service maakt de hybride verbindingen in uw Azure Relay-naamruimte en levert de verbindingsgegevens naar de relevante Arc-service op basis van het scenario. Deze services communiceren alleen met uw Azure Relay-naamruimte als u Azure Arc gebruikt, met de volgende Azure-services:

- Azure Kubernetes
- Azure Machine Learning
- Microsoft Purview

De andere vertrouwde services voor Azure Relay vindt u hieronder:

  • Azure Event Grid
  • Azure IoT Hub
  • Azure Stream Analytics
  • Azure Monitor
  • Azure API Management
  • Azure Synapse
  • Azure Data Explorer
  • Azure IoT Central
  • Azure Healthcare Data Services
  • Azure Digital Twins

Volgende stappen