Private Link gebruiken in Virtual WAN

Azure Private Link is een technologie waarmee u Azure Platform-as-a-Service-aanbiedingen kunt verbinden met behulp van privé-IP-adresconnectiviteit door privé-eindpunten beschikbaar te maken. Met Azure Virtual WAN kunt u een privé-eindpunt implementeren in een van de virtuele netwerken die zijn verbonden met elke virtuele hub. Dit biedt connectiviteit met elk ander virtueel netwerk of elke vertakking die is verbonden met dezelfde Virtual WAN.

Voordat u begint

In de stappen in dit artikel wordt ervan uitgegaan dat u al een virtueel WAN hebt geïmplementeerd met een of meer hubs, evenals ten minste twee virtuele netwerken die zijn verbonden met Virtual WAN.

Als u een nieuw virtueel WAN en een nieuwe hub wilt maken, gebruikt u de stappen in de volgende artikelen:

Een privékoppelingseindpunt maken

U kunt een privékoppelingseindpunt maken voor veel verschillende services. In dit voorbeeld gebruiken we Azure SQL Database. In quickstart vindt u meer informatie over het maken van een privé-eindpunt voor een Azure SQL Database: Een privé-eindpunt maken met behulp van de Azure Portal. In de volgende afbeelding ziet u de netwerkconfiguratie van de Azure SQL Database:

create private link

Nadat u de Azure SQL Database hebt gemaakt, kunt u het IP-adres van het privé-eindpunt controleren door uw privé-eindpunten:

private endpoints

Als u op het privé-eindpunt klikt dat we hebben gemaakt, ziet u het privé-IP-adres en de FQDN (Fully Qualified Domain Name). Houd er rekening mee dat het privé-eindpunt een IP-adres heeft in het bereik van het VNet waar het is geïmplementeerd (10.1.3.0/24):

SQL endpoint

Connectiviteit van hetzelfde VNet controleren

In dit voorbeeld controleren we de connectiviteit met de Azure SQL Database vanaf een virtuele Ubuntu-machine waarop MS SQL hulpprogramma's zijn geïnstalleerd. De eerste stap is controleren of DNS-omzetting werkt en de Azure SQL Database Fully Qualified Domain Name wordt omgezet in een privé-IP-adres, in hetzelfde VNet waar het privé-eindpunt is geïmplementeerd (10.1.3.0/24):

$ nslookup wantest.database.windows.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Zoals u in de vorige uitvoer kunt zien, wordt de FQDN wantest.database.windows.net toegewezen aan wantest.privatelink.database.windows.net, die de privé-DNS-zone die langs het privé-eindpunt is gemaakt, wordt omgezet in het privé-IP-adres 10.1.3.228. Als u naar de privé-DNS-zone kijkt, wordt bevestigd dat er een A-record is voor het privé-eindpunt dat is toegewezen aan het privé-IP-adres:

DNS zone

Nadat u de juiste DNS-omzetting hebt gecontroleerd, kunt u proberen verbinding te maken met de database:

$ query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
$ sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.3.75

Zoals u ziet, gebruiken we een speciale SQL-query die ons het bron-IP-adres geeft dat de SQL-server van de client ziet. In dit geval ziet de server de client met het privé-IP-adres (10.1.3.75), wat betekent dat het verkeer van het VNet rechtstreeks naar het privé-eindpunt gaat.

U moet de variabelen username instellen en password overeenkomen met de referenties die zijn gedefinieerd in de Azure SQL Database om de voorbeelden in deze handleiding te laten werken.

Verbinding maken van een ander VNet

Nu één VNet in Azure Virtual WAN verbinding heeft met het privé-eindpunt, hebben alle andere VNet's en vertakkingen die zijn verbonden met Virtual WAN er ook toegang toe. U moet connectiviteit bieden via een van de modellen die worden ondersteund door Azure Virtual WAN, zoals het any-to-any-scenario of het VNet-scenario voor gedeelde services, om twee voorbeelden te noemen.

Wanneer u verbinding hebt tussen het VNet of de vertakking naar het VNet waar het privé-eindpunt is geïmplementeerd, moet u DNS-omzetting configureren:

  • Als u verbinding maakt met het privé-eindpunt vanuit een VNet, kunt u dezelfde privézone gebruiken die is gemaakt met de Azure SQL Database.
  • Als u verbinding maakt met het privé-eindpunt vanuit een vertakking (site-naar-site-VPN, punt-naar-site-VPN of ExpressRoute), moet u on-premises DNS-omzetting gebruiken.

In dit voorbeeld maken we verbinding vanuit een ander VNet, dus eerst koppelen we de privé-DNS-zone aan het nieuwe VNet, zodat de workloads de Azure SQL Database Fully Qualified Domain Name kunnen omzetten in het privé-IP-adres. Dit gebeurt door de privé-DNS-zone te koppelen aan het nieuwe VNet:

DNS link

Nu moet elke virtuele machine in het gekoppelde VNet de Azure SQL Database FQDN correct omzetten in het privé-IP-adres van de privékoppeling:

$ nslookup wantest.database.windows.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Als u wilt controleren of dit VNet (10.1.1.0/24) verbinding heeft met het oorspronkelijke VNet waarop het privé-eindpunt is geconfigureerd (10.1.3.0/24), kunt u de effectieve routetabel controleren op elke virtuele machine in het VNet:

effective routes

Zoals u ziet, is er een route die verwijst naar het VNet 10.1.3.0/24 dat is geïnjecteerd door de Virtual Network-gateways in Azure Virtual WAN. Nu kunnen we de connectiviteit met de database testen:

$ query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
$ sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.1.75

In dit voorbeeld hebben we gezien hoe het maken van een privé-eindpunt in een van de VNets die zijn gekoppeld aan een Virtual WAN connectiviteit biedt met de rest van VNets en vertakkingen in de Virtual WAN.

Volgende stappen

Zie de veelgestelde vragen voor meer informatie over Virtual WAN.