Краткое руководство. Создание службы Приватного канала с помощью Azure CLI

  • Статья

Приступите к созданию службы приватного канала, которая ссылается на вашу службу. Предоставьте Приватному каналу доступ к службе или ресурсу, которые развернуты за Azure Load Balancer (цен. категория "Стандартный"). Пользователи службы имеют закрытый доступ из своей виртуальной сети.

Diagram of resources created in private endpoint quickstart.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Необходимые компоненты

  • Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  • Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

    • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

    • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

    • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

  • Для работы с этим кратким руководством требуется Azure CLI версии 2.0.28 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Создание или изменение группы ресурсов

Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими.

Создайте группу ресурсов с помощью команды az group create:

  • Именованный test-rg.

  • в расположении eastus2.

az group create \
    --name test-rg \
    --location eastus2

Создание внутреннего балансировщика нагрузки

В этом разделе описано, как создать виртуальную сеть и внутреннюю подсистему балансировки нагрузки Azure.

Виртуальная сеть

В этом разделе показано, как создать виртуальную сеть и подсеть для размещения подсистемы балансировки нагрузки, которая используется для доступа к службе приватного канала.

Создайте виртуальную сеть с помощью команды az network vnet create:

  • Именованная виртуальная сеть-1.

  • с префиксом адреса 10.0.0.0/16;

  • Подсеть с именем subnet-1.

  • с префиксом подсети 10.0.0.0/24;

  • В группе ресурсов test-rg.

  • в расположении eastus2.

  • с отключенными сетевыми политиками для службы "Приватный канал" в подсети.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Создание подсистемы балансировки нагрузки (цен. категория "Стандартный")

В этом разделе описано, как создать и настроить следующие компоненты подсистемы балансировки нагрузки:

  • интерфейсный пул IP-адресов, который получает входящий трафик в подсистеме балансировки нагрузки;

  • внутренний пул IP-адресов, на который интерфейсный пул отправляет трафик с балансировкой нагрузки;

  • проверка работоспособности, определяющая работоспособность внутренних экземпляров виртуальной машины;

  • правило подсистемы балансировки нагрузки, определяющее порядок распределения трафика между виртуальными машинами.

Создание ресурса подсистемы балансировки нагрузки

С помощью команды az network lb create создайте общедоступную подсистему балансировки нагрузки:

  • Именованный подсистема балансировки нагрузки.

  • Интерфейсный пул с именем frontend.

  • Серверный пул с именем backend-pool.

  • Связана с виртуальной сетью-1.

  • Связанная с подсетью серверной подсети-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Создание зонда работоспособности

При пробе работоспособности выполняется проверка всех экземпляров виртуальной машины, чтобы убедиться, что они могут отправлять сетевой трафик.

Виртуальная машина с неудачной пробой удаляется из подсистемы балансировки нагрузки и снова добавляется в нее после устранения сбоя.

Создайте пробу работоспособности с помощью команды az network lb probe create, которая:

  • отслеживает работоспособность виртуальных машин;

  • Именованная проба работоспособности.

  • использует протокол TCP.

  • отслеживает порт 80.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Создание правила подсистемы балансировки нагрузки

Правило подсистемы балансировки нагрузки определяет:

  • конфигурацию интерфейсных IP-адресов для входящего трафика;

  • серверный пул IP-адресов для приема трафика;

  • требуемые порты источника и назначения.

С помощью команды az network lb rule create создайте правило подсистемы балансировки нагрузки, которое:

  • Именованное правило http

  • Прослушивание порта 80 в интерфейсном интерфейсе пула.

  • Отправка сетевого трафика с балансировкой нагрузки в серверный пул адресов серверной части пула адресов с помощью порта 80.

  • Использование пробы работоспособности пробы работоспособности.

  • использует протокол TCP.

  • с временем ожидания перед переходом в режим простоя 15 минут;

  • и включенной функцией сброса подключений TCP.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Отключение политики сети

Перед созданием службы приватного канала в виртуальной сети параметр privateLinkServiceNetworkPolicies должен быть отключен.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

В этом разделе описано, как создать службу "Приватный канал", которая использует созданный на предыдущем шаге Azure Load Balancer.

Создайте службу "Приватный канал", используя интерфейсную IP-конфигурацию Load Balancer (цен. категория "Стандартный") с помощью команды az network private-link-service create:

  • Именованная служба private-link-service.

  • В виртуальной сети vnet-1.

  • Связан с подсистемой балансировки нагрузки уровня "Стандартный" и интерфейсной конфигурацией внешнего интерфейса.

  • в расположении eastus2.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Ваша служба приватного канала создана и может принимать трафик. Если вы хотите просмотреть потоки трафика, настройте приложение за подсистемой Load Balancer ценовой категории "Стандартный".

Создание частной конечной точки

В этом разделе описано, как сопоставить службу приватного канала с частной конечной точкой. Виртуальная сеть содержит частную конечную точку для службы приватного канала. Эта виртуальная сеть содержит ресурсы, которые обращаются к службе приватного канала.

Создание виртуальной сети с частной конечной точкой

Создайте виртуальную сеть с помощью команды az network vnet create:

  • Именованный vnet-pe.

  • с префиксом подсети 10.1.0.0/16;

  • Подсеть с именем subnet-pe.

  • с префиксом подсети 10.1.0.0/24;

  • В группе ресурсов test-rg.

  • в расположении eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Создание конечной точки и подключения

  • Чтобы получить ИД ресурса для службы "Приватный канал", выполните команду az network private-link-service show. Команда помещает ИД ресурса в переменную для последующего использования.

  • Создайте частную конечную точку в созданной ранее виртуальной сети с помощью команды az network private-endpoint create:

  • Именованной частной конечной точкой.

  • В группе ресурсов test-rg.

  • Подключение имя подключения-1.

  • в расположении eastus2.

  • В подсети виртуальной сети и подсети виртуальной сети.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe

Очистка ресурсов

Вы можете удалить ненужную группу ресурсов, службу "Приватный канал", подсистему балансировки нагрузки и все связанные с ней ресурсы, выполнив команду az group delete.

az group delete \
    --name test-rg

Следующие шаги

В этом кратком руководстве вы:

  • создать виртуальную сеть и внутренний экземпляр Azure Load Balancer;

  • создать службу приватного канала.

Чтобы узнать больше о частной конечной точке Azure, ознакомьтесь со следующей статьей:

Краткое руководство. Создание частной конечной точки с помощью Azure CLI