Private Link gebruiken in Virtual WAN

  • Artikel

Azure Private Link is een technologie waarmee u Azure Platform-as-a-Service-aanbiedingen kunt verbinden met behulp van privé-IP-adresconnectiviteit door privé-eindpunten beschikbaar te maken. Met Azure Virtual WAN kunt u een privé-eindpunt implementeren in een van de virtuele netwerken die zijn verbonden met een virtuele hub. Deze privékoppeling biedt connectiviteit met elk ander virtueel netwerk of andere vertakking die is verbonden met hetzelfde Virtual WAN.

Voordat u begint

Bij de stappen in dit artikel wordt ervan uitgegaan dat u al een virtueel WAN hebt geïmplementeerd met een of meer hubs en ten minste twee virtuele netwerken die zijn verbonden met Virtual WAN.

Als u een nieuw virtueel WAN en een nieuwe hub wilt maken, gebruikt u de stappen in de volgende artikelen:

Een privékoppelingseindpunt maken

U kunt een privékoppelingseindpunt maken voor veel verschillende services. In dit voorbeeld gebruiken we Azure SQL Database. Meer informatie over het maken van een privé-eindpunt voor een Azure SQL database vindt u in Quickstart: Een privé-eindpunt maken met behulp van de Azure Portal. In de volgende afbeelding ziet u de netwerkconfiguratie van de Azure SQL Database:

privékoppeling maken

Nadat u de Azure SQL Database hebt gemaakt, kunt u het IP-adres van het privé-eindpunt controleren dat door uw privé-eindpunten bladert:

privé-eindpunten

Als u op het privé-eindpunt klikt dat we hebben gemaakt, ziet u het privé-IP-adres en de FQDN (Fully Qualified Domain Name). Het privé-eindpunt moet een IP-adres hebben in het bereik van het VNet waarin het is geïmplementeerd (10.1.3.0/24):

SQL-eindpunt

Connectiviteit van hetzelfde VNet controleren

In dit voorbeeld controleren we de verbinding met de Azure SQL Database vanaf een virtuele Linux-machine waarop de MS SQL-hulpprogramma's zijn geïnstalleerd. De eerste stap is controleren of DNS-omzetting werkt en de Azure SQL Database Fully Qualified Domain Name wordt omgezet naar een privé-IP-adres, in hetzelfde VNet waar het privé-eindpunt is geïmplementeerd (10.1.3.0/24):

nslookup wantest.database.windows.net

Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Zoals u in de vorige uitvoer kunt zien, is de FQDN wantest.database.windows.net toegewezen aan wantest.privatelink.database.windows.net, die de privé-DNS-zone die langs het privé-eindpunt is gemaakt, wordt omgezet in het privé-IP-adres 10.1.3.228. Als u de privé-DNS-zone bekijkt, wordt bevestigd dat er een A-record is voor het privé-eindpunt dat is toegewezen aan het privé-IP-adres:

DNS-zone

Nadat we de juiste DNS-omzetting hebben gecontroleerd, kunnen we proberen verbinding te maken met de database:

query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.3.75

Zoals u ziet, gebruiken we een speciale SQL-query die ons het bron-IP-adres geeft dat de SQL-server van de client ziet. In dit geval ziet de server de client met het privé-IP-adres (10.1.3.75), wat betekent dat het verkeer van het VNet rechtstreeks naar het privé-eindpunt gaat.

Stel de variabelen username en password in om de referenties te vinden die zijn gedefinieerd in de Azure SQL Database om de voorbeelden in deze handleiding te laten werken.

Verbinding maken vanuit een ander VNet

Nu één VNet in Azure Virtual WAN verbinding heeft met het privé-eindpunt, kunnen alle andere VNets en vertakkingen die zijn verbonden met Virtual WAN er ook toegang toe hebben. U moet connectiviteit bieden via een van de modellen die worden ondersteund door Azure Virtual WAN, zoals het any-to-any-scenario of het VNet-scenario voor gedeelde services, om twee voorbeelden te noemen.

Zodra u verbinding hebt tussen het VNet of de vertakking naar het VNet waar het privé-eindpunt is geïmplementeerd, moet u DE DNS-omzetting configureren:

  • Als u verbinding maakt met het privé-eindpunt vanuit een VNet, kunt u dezelfde privézone gebruiken die is gemaakt met de Azure SQL Database.
  • Als u verbinding maakt met het privé-eindpunt vanuit een vertakking (site-naar-site-VPN, punt-naar-site-VPN of ExpressRoute), moet u on-premises DNS-omzetting gebruiken.

In dit voorbeeld maken we verbinding vanuit een ander VNet. Koppel eerst de privé-DNS-zone aan het nieuwe VNet, zodat de workloads de Azure SQL Database Fully Qualified Domain Name kunnen omzetten in het privé-IP-adres. Dit wordt gedaan door de privé-DNS-zone te koppelen aan het nieuwe VNet:

DNS-koppeling

Nu moet elke virtuele machine in het gekoppelde VNet de FQDN van de Azure SQL-database correct omzetten naar het privé-IP-adres van de privékoppeling:

nslookup wantest.database.windows.net

Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Als u wilt controleren of dit VNet (10.1.1.0/24) verbinding heeft met het oorspronkelijke VNet waar het privé-eindpunt is geconfigureerd (10.1.3.0/24), kunt u de effectieve routetabel op elke virtuele machine in het VNet controleren:

effectieve routes

Zoals u ziet, is er een route die verwijst naar het VNet 10.1.3.0/24 dat is geïnjecteerd door de Virtual Network Gateways in Azure Virtual WAN. Nu kunnen we eindelijk de connectiviteit met de database testen:

query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.1.75

In dit voorbeeld hebben we gezien hoe het maken van een privé-eindpunt in een van de VNets die zijn gekoppeld aan een Virtual WAN connectiviteit biedt met de rest van de VNets en vertakkingen in de Virtual WAN.

Volgende stappen

Zie de veelgestelde vragen voor meer informatie over Virtual WAN.