Краткое руководство. Создание частной конечной точки с помощью портала Azure

Чтобы начать работу с Приватным каналом Azure, создайте частную конечную точку и воспользуйтесь ею для безопасного подключения к веб-приложению Azure.

Из этого краткого руководства вы узнаете, как создать частную конечную точку для веб-приложения Azure, а затем создать и развернуть виртуальную машину для тестирования частного подключения.

Вы можете создавать частные конечные точки для различных служб Azure, таких как Azure SQL и служба хранилища Azure.

Предварительные требования

  • Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи Azure, создайте ее бесплатно.

  • Веб-приложение Azure с уровнем Премиум-версии 2 или планом для службы приложений более высокого уровня, развернуто в подписке Azure.

Создание виртуальной сети и узла бастиона

Начните с создания виртуальной сети, подсети и узла-бастиона.

Вы будете использовать узел-бастион, чтобы установить безопасное подключение к виртуальной машине для тестирования частной конечной точки.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

  3. В разделе Виртуальные сети выберите + Создать.

  4. В диалоговом окне Создать виртуальную сеть введите или выберите нижеприведенную информацию на вкладке Основы.

    Параметр Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите Создать.
    Введите CreatePrivateEndpointQS-rg в поле Имя и нажмите OK.
    Сведения об экземпляре
    Имя Введите myVNet.
    Регион Выберите Западная Европа.
  5. Нажмите Далее: IP-адреса или откройте вкладку IP-адреса.

  6. Откройте вкладку IP-адрес или щелкните Далее: IP-адреса внизу страницы.

  7. На вкладке IP-адреса введите следующие сведения:

    Параметр Значение
    Диапазон IPv4-адресов Введите 10.1.0.0/16.
  8. В разделе Имя подсети выберите по умолчанию. Если подсеть отсутствует, выберите + Добавить подсеть.

  9. Укажите следующие сведения в области Изменение подсети.

    Параметр Значение
    Имя подсети Введите mySubnet.
    Диапазон адресов подсети Введите 10.1.0.0/24.
  10. Щелкните Сохранить или Добавить.

  11. Выберите Далее: безопасность или откройте вкладку Безопасность.

  12. В разделе BastionHost выберите Включить. Введите следующие сведения:

    Параметр Значение
    Имя бастиона Введите myBastionHost.
    Адресное пространство AzureBastionSubnet Введите 10.1.1.0/27
    Общедоступный IP-адрес Выберите Создать.
    В поле
    введите myBastionIP.
    Нажмите кнопку
    .
  13. Перейдите на вкладку Просмотр и создание или нажмите кнопку Просмотр и создание.

  14. Нажмите кнопку создания.

    Примечание

    Виртуальная сеть и подсеть будут созданы незамедлительно. Создание узла Бастиона отправляется в виде задания, и на его выполнение требуется около 10 минут. Во время создания узла Бастиона вы можете выполнять другие задачи.

Создание тестовой виртуальной машины

Теперь создайте виртуальную машину, которую можно использовать для тестирования частной конечной точки.

  1. В поле поиска в верхней части портала введите Виртуальная машина. Выберите Виртуальные машины.

  2. Выберите + Создать, а затем + Виртуальная машина Azure на странице Виртуальные машины.

  3. На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров.

    Параметр Значение
    Сведения о проекте
    Подписка Выберите подписку Azure.
    Группа ресурсов Выберите CreatePrivateEndpointQS-rg.
    Сведения об экземпляре
    Имя виртуальной машины Введите myVM.
    Регион Выберите Западная Европа.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Выберите Стандартная.
    Образ — Выберите Windows Server 2019 Datacenter (поколение 2) .
    Размер Выберите размер виртуальной машины или используйте значение по умолчанию.
    Учетная запись администратора
    Имя пользователя Введите имя пользователя.
    Пароль Введите пароль.
    Подтверждение пароля Повторно введите пароль.
    Правила входящего порта
    Общедоступные входящие порты Выберите Отсутствует.
  4. Перейдите на вкладку Сеть.

  5. На вкладке Сеть введите или выберите следующие значения параметров.

    Параметр Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите myVNet.
    Подсеть Выберите mySubnet (10.1.0.0/24) .
    Общедоступный IP-адрес Выберите Отсутствует.
    Сетевая группа безопасности сетевого адаптера Выберите Основные.
    Общедоступные входящие порты Выберите Отсутствует.
  6. Выберите Review + create (Просмотреть и создать).

  7. Проверьте параметры, а затем нажмите кнопку Создать.

Примечание

Azure предоставляет IP-адрес исходящего трафика по умолчанию для виртуальных машин, которым не назначен общедоступный IP-адрес или которые находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure ценовой категории "Базовый". Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

Дополнительные сведения см. в статье Исходящий доступ по умолчанию в Azure.

IP-адрес исходящего трафика по умолчанию отключается, когда виртуальной машине назначается общедоступный IP-адрес или когда виртуальная машина помещается в серверный пул подсистем балансировки нагрузки ценовой категории "Стандартный" с правилами для исходящего трафика или без них. Если подсети виртуальной машины назначен ресурс шлюза для преобразования сетевых адресов (NAT) в виртуальной сети Azure, IP-адрес исходящего трафика по умолчанию отключается.

На виртуальных машинах, созданных с помощью масштабируемых наборов виртуальных машин в режиме гибкой оркестрации, исходящий доступ по умолчанию не предоставляется.

Дополнительные сведения об исходящих подключениях в Azure см. в статье Преобразование исходных сетевых адресов (SNAT) для исходящих подключений.

Создание частной конечной точки

Затем создайте частную конечную точку для веб-приложения, установленного в соответствии с инструкциями в разделе "Предварительные требования".

Важно!

Для выполнения действий, описанных в этой статье, требуется ранее развернутое веб-приложение Azure. Дополнительные сведения см. в разделе Предварительные требования.

  1. В поле поиска в верхней части портала введите Частная конечная точка. Выберите Частные конечные точки.

  2. Выберите + Создать в разделе Частные конечные точки.

  3. На вкладке Основы в окне Создание частной конечной точки введите или выберите следующую информацию:

    Параметр Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите CreatePrivateEndpointQS-rg.
    Сведения об экземпляре
    Имя Введите myPrivateEndpoint.
    Имя сетевого интерфейса Оставьте значение по умолчанию myPrivateEndpoint-nic.
    Регион Выберите Западная Европа.
  4. По завершении выберите Next: Ресурс.

  5. В области Ресурс введите или выберите следующие значения параметров.

    Параметр Значение
    Метод подключения Оставьте значение по умолчанию Подключиться к ресурсу Azure в моем каталоге
    Подписка Выберите свою подписку.
    Тип ресурса Выберите Microsoft.Web/sites.
    Ресурс Выберите mywebapp1979.
    Целевой подресурс Выберите сайты.
  6. Выберите Далее: Виртуальная сеть.

  7. В диалоговом окне Виртуальная сеть введите или выберите следующие данные.

    Параметр Значение
    Сеть
    Виртуальная сеть Выберите myVNet.
    Подсеть Выберите myVNet/mySubnet (10.1.0.0/24).
    Включите политики сети для всех частных конечных точек в этой подсети. Установите флажок, если к подсети, содержащей частную конечную точку, планируется применить группы безопасности приложений или группы безопасности сети.
    Дополнительные сведения см. в статье Управление сетевыми политиками для частных конечных точек.
Параметр Значение
Конфигурация частного IP-адреса Выберите Динамическое выделение IP-адреса.

Снимок экрана: выбор динамического IP-адреса.

  1. Выберите Далее: DNS.

  2. В разделе DNS оставьте значения по умолчанию. Выберите Далее: теги, а затем — Далее: просмотр и создание.

  3. Нажмите кнопку создания.

Проверка подключения к частной конечной точке

Используйте созданную ранее виртуальную машину, чтобы подключиться к веб-приложению через частную конечную точку.

  1. В поле поиска в верхней части портала введите Виртуальная машина. Выберите Виртуальные машины.

  2. Выберите myVM.

  3. На обзорной странице для myVM выберите Подключиться, а затем — Бастион.

  4. Введите имя пользователя и пароль, которые вы применяли при создании виртуальной машины.

  5. Выберите Подключиться.

  6. После подключения откройте PowerShell на сервере.

  7. Введите nslookup mywebapp1979.azurewebsites.net. Должно появиться сообщение следующего вида:

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    mywebapp1979.privatelink.azurewebsites.net
    Address:  10.1.0.5
    Aliases:  mywebapp1979.azurewebsites.net
    

    Если на предыдущих этапах вы выбрали динамический IP-адрес, для имени веб-приложения возвращается частный IP-адрес 10.1.0.5. Этот адрес находится в подсети виртуальной сети, созданной ранее.

  8. Во время подключения бастиона к myVM откройте веб-браузер.

  9. Введите URL-адрес веб-приложения: https://mywebapp1979.azurewebsites.net.

    Если веб-приложение не развернуто, откроется следующая страница веб-приложения по умолчанию:

    Снимок экрана: страница веб-приложения по умолчанию в браузере.

  10. Закройте подключение к myVM.

Очистка ресурсов

Если вы не собираетесь продолжать использовать веб-приложение, удалите виртуальную сеть, виртуальную машину и веб-приложение, выполнив нижеуказанные действия.

  1. На левой панели выберите Группы ресурсов.

  2. Выберите CreatePrivateEndpointQS-rg.

  3. Выберите Удалить группу ресурсов.

  4. В поле Введите имя группы ресурсов следует ввести CreatePrivateEndpointQS-rg.

  5. Выберите команду Удалить.

Дальнейшие действия

В этом кратком руководстве вы узнали, как создаются:

  • Виртуальная сеть и узел-бастион
  • Виртуальная машина
  • Частная конечная точка для веб-приложения Azure

Вы использовали виртуальную машину для тестирования подключения к веб-приложению через частную конечную точку.

Дополнительные сведения о службах, поддерживающих частную конечную точку, см. в следующей статье: