Управление частными конечными точками Azure
Частные конечные точки Azure имеют несколько вариантов управления конфигурацией и развертыванием.
Вы можете определить GroupId и MemberName значения, запрашивая ресурс Приватный канал Azure. GroupIdMemberName Необходимо настроить статический IP-адрес для частной конечной точки во время создания.
Частная конечная точка имеет два настраиваемых свойства: статический IP-адрес и имя сетевого интерфейса. Эти свойства необходимо задать при создании частной конечной точки.
При развертывании поставщиков услуг и потребителей Приватный канал процесс утверждения выполняется для подключения.
Определение GroupID и MemberName
Во время создания частной конечной точки с помощью Azure PowerShell и Azure CLI GroupId могут потребоваться значения MemberName ресурса частной конечной точки.
GroupId— это подресурс частной конечной точки.MemberName— это уникальная метка для частного IP-адреса конечной точки.
Дополнительные сведения о подресурсах частной конечной точки и их значениях см. в Приватный канал ресурсе.
Чтобы определить значения и MemberName для ресурса частной конечной GroupId точки, используйте следующие команды. MemberName содержится в свойстве RequiredMembers .
Веб-приложение Azure используется в качестве примера ресурса частной конечной точки. Используйте Get-AzPrivateLinkResource , чтобы определить значения для GroupId и MemberName.
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
Вы должны получить выходные данные, аналогичные следующему примеру.
Пользовательские свойства
Переименование сетевого интерфейса и назначение статических IP-адресов — это настраиваемые свойства, которые можно задать на частной конечной точке во время создания.
Переименование сетевого интерфейса
По умолчанию при создании частной конечной точки сетевого интерфейса, связанного с частной конечной точкой, присваивается случайное имя сетевого интерфейса. Сетевой интерфейс должен быть назван при создании частной конечной точки. Переименование сетевого интерфейса существующей частной конечной точки не поддерживается.
Используйте следующие команды при создании частной конечной точки для переименования сетевого интерфейса.
Чтобы переименовать сетевой интерфейс при создании частной конечной точки, используйте -CustomNetworkInterfaceName параметр. В следующем примере используется команда Azure PowerShell для создания частной конечной точки в веб-приложении Azure. Дополнительные сведения см. в разделе New-AzPrivateEndpoint.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
Статический IP-адрес
По умолчанию при создании частной конечной точки IP-адрес конечной точки автоматически назначается. IP-адрес назначается из диапазона IP-адресов виртуальной сети, настроенной для частной конечной точки. Ситуация может возникнуть, когда требуется статический IP-адрес для частной конечной точки. Статический IP-адрес должен быть назначен при создании частной конечной точки. Конфигурация статического IP-адреса для существующей частной конечной точки в настоящее время не поддерживается.
Процедуры настройки статического IP-адреса при создании частной конечной точки см. в статье "Создание частной конечной точки с помощью Azure PowerShell " и создание частной конечной точки с помощью Azure CLI.
Подключения частных конечных точек
Приватный канал работает с моделью утверждения, где потребитель Приватный канал может запросить подключение к поставщику услуг для использования службы.
Затем поставщик услуг может выбрать, следует ли разрешить потребителю подключение. Приватный канал позволяет поставщикам услуг управлять подключением к частной конечной точке на своих ресурсах.
Существует два метода утверждения подключения, из которых может выбрать потребитель Приватный канал:
Автоматически. Если у потребителя службы есть разрешения на управление доступом на основе ролей Azure (RBAC) для ресурса поставщика услуг, потребитель может выбрать метод автоматического утверждения. Когда запрос достигает ресурса поставщика услуг, не требуется никаких действий от поставщика услуг, а подключение автоматически утверждается.
Вручную. Если у потребителя службы нет разрешений RBAC для ресурса поставщика услуг, потребитель может выбрать метод утверждения вручную. Запрос на подключение отображается в ресурсах службы как ожидающий. Поставщик услуг должен вручную утвердить запрос, прежде чем можно будет установить подключения.
В ручных случаях потребитель службы также может указать сообщение с запросом, чтобы предоставить дополнительный контекст поставщику услуг. У поставщика услуг есть следующие варианты выбора для всех подключений к частной конечной точке: утверждение, отклонение и удаление.
Важно!
Чтобы утвердить подключения с частной конечной точкой, которая находится в отдельной подписке или клиенте, убедитесь, что подписка поставщика или клиент зарегистрированы Microsoft.Network. Подписка или клиент потребителя также должна быть зарегистрирована поставщиком ресурсов целевого ресурса.
В следующей таблице показаны различные действия поставщика услуг и полученные состояния подключения для частных конечных точек. Поставщик услуг может изменить состояние подключения в дальнейшем без вмешательства потребителя. Действие обновляет состояние конечной точки на стороне потребителя.
| Действие поставщика услуг | Состояние частной конечной точки объекта-получателя службы | Description |
|---|---|---|
| Нет | Не завершено | Подключение создается вручную и ожидает утверждения от владельца ресурса "Приватный канал". |
| Утвердить | Утвержденная | Подключение ion автоматически или вручную утвержден и готов к использованию. |
| Отклонить | Аннулировано | Владелец ресурса Приватный канал отклоняет подключение. |
| Удалить | Отключено | Владелец ресурса Приватный канал удаляет подключение, что приводит к отключению частной конечной точки и удаляется для очистки. |
Управление подключениями к частным конечным точкам в ресурсах Azure PaaS
Чтобы управлять подключением к частной конечной точке на портале Azure, выполните следующие действия.
Войдите на портал Azure.
В поле поиска в верхней части портала введите Приватный канал. В результатах поиска выберите Приватный канал.
В центре Приватный канал выберите частные конечные точки или службы приватного канала.
Для каждого типа конечных точек можно просмотреть число связанных с ним подключений частной конечной точки. При необходимости можно фильтровать ресурсы.
Выберите частную конечную точку. В списке соединений выберите подключение, которым требуется управлять.
Состояние подключения можно изменить, выбрав один из параметров в верхней части.
Управление подключениями к частной конечной точке в службе Приватный канал клиента или партнера
Используйте следующие команды PowerShell и Azure CLI для управления подключениями к частной конечной точке в службах партнеров Майкрософт или службах, принадлежащих клиентам.
Используйте следующие команды PowerShell для управления подключениями к частной конечной точке.
Получение состояний подключения к Приватному каналу
Используйте Get-AzPrivateEndpoint Подключение ion, чтобы получить подключения к частной конечной точке и их состояния.
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
Утверждение подключения частной конечной точки
Используйте Утверждение-AzPrivateEndpoint Подключение ion для утверждения подключения к частной конечной точке.
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
Запрет подключения частной конечной точки
Используйте Deny-AzPrivateEndpoint Подключение ion, чтобы отклонить подключение к частной конечной точке.
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
Удаление подключения к частной конечной точке
Используйте Remove-AzPrivateEndpoint Подключение ion, чтобы удалить подключение к частной конечной точке.
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
Примечание.
Подключение ранее отклоненные не могут быть утверждены. Необходимо удалить подключение и создать новый.