Использование частной ссылки в виртуальной глобальной сети

Частная ссылка Azure — это технология, которая позволяет подключать предложения "платформа как услуга" с использованием частного IP-адреса, предоставляя частные конечные точки. Виртуальная глобальная сеть Azure позволяет развернуть закрытую конечную точку в одной из виртуальных сетей, подключенных к любому виртуальному концентратору. Это обеспечивает подключение к любой виртуальной глобальной сети или ветви, подключенной к той же виртуальной сети.

Перед началом

В этом разделе предполагается, что вы уже развернули виртуальную сеть WAN с одним или несколькими концентраторами, а также по крайней мере две виртуальные сети, подключенные к виртуальной глобальной сети.

Чтобы создать виртуальную глобальную сеть и новый концентратор, выполните действия, описанные в следующих статьях.

Создание конечной точки приватного канала

Вы можете создать конечную точку закрытой ссылки для многих разных служб. В этом примере мы будем использовать базу данных SQL Azure. Дополнительные сведения о создании частной конечной точки для базы данных SQL Azure см. в кратком руководстве по созданию частной конечной точки с помощью портал Azure. На следующем рисунке показана конфигурация сети базы данных SQL Azure:

create private link

После создания базы данных SQL Azure вы можете проверить IP-адрес частной конечной точки, просмотрев частные конечные точки:

private endpoints

Щелкнув созданную закрытую конечную точку, вы должны увидеть его частный IP-адрес, а также полное доменное имя (FQDN). Обратите внимание, что частная конечная точка имеет IP-адрес в диапазоне виртуальной сети, в которой он был развернут (10.1.3.0/24):

SQL endpoint

Проверка подключения из той же виртуальной сети

В этом примере мы проверяем подключение к базе данных SQL Azure с помощью виртуальной машины Ubuntu с установленными инструментами MS SQL. Первым шагом является проверка того, что разрешение DNS работает, а полное доменное имя базы данных SQL Azure разрешается в частный IP-адрес в той же виртуальной сети, в которой развернута частная конечная точка (10.1.3.0/24):

$ nslookup wantest.database.windows.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Как видно из предыдущих выходных данных, полное доменное имя wantest.database.windows.net сопоставляется с wantest.privatelink.database.windows.net, что частная зона DNS, созданная на частной конечной точке, будет разрешаться в частный IP-адрес 10.1.3.228. При поиске в частной зоне DNS будет подтверждено наличие записи A для частной конечной точки, сопоставленной с частным IP-адресом:

DNS zone

После проверки правильного разрешения DNS можно попытаться подключиться к базе данных:

$ query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
$ sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.3.75

Мы используем специальный SQL-запрос, предоставляющий нам IP-адрес, который SQL-сервер получает от клиента. В этом случае сервер видит личный IP клиента (10.1.3.75). Это означает, что трафик переходит из виртуальной сети прямо в частную конечную точку.

Обратите внимание, что необходимо задать переменные username и password в соответствии с учетными данными, определенными в базе данных SQL Azure, чтобы сделать примеры в этом пошаговом окне.

Подключение из другой виртуальной сети

Теперь, когда одна виртуальная сеть в виртуальной глобальной сети Azure имеет подключение к частной конечной точке, все остальные виртуальные сети и ветви, подключенные к виртуальной глобальной сети, могут также получить доступ к ней. Необходимо предоставить возможность подключения с помощью любой модели, поддерживаемой виртуальной глобальной сетью Azure, такой как любой сценарий или Виртуальная сеть общих служб, для именования двух примеров.

После подключения виртуальной сети или ветви к виртуальной сети, в которой развернута частная конечная точка, необходимо настроить разрешение DNS:

  • При подключении к частной конечной точке из виртуальной сети можно использовать ту же частную зону, которая была создана в базе данных SQL Azure.
  • При подключении к частной конечной точке из ветви (VPN типа "сеть — сеть", VPN-подключение типа "точка — сеть" или ExpressRoute) необходимо использовать локальное разрешение DNS.

В этом примере мы будем подключаться из другой виртуальной сети, поэтому сначала мы подключим частную зону DNS к новой виртуальной сети, чтобы ее рабочие нагрузки могли разрешить полное доменное имя базы данных SQL Azure в частный IP-адрес. Это делается путем связывания частной зоны DNS с новой виртуальной сетью:

DNS link

Теперь любая виртуальная машина в подключенной виртуальной сети должна правильно разрешить полное доменное имя базы данных SQL Azure в частный IP-адрес частной ссылки:

$ nslookup wantest.database.windows.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Чтобы убедиться, что эта виртуальная сеть (10.1.1.0/24) имеет подключение к исходной виртуальной сети, в которой была настроена частная конечная точка (10.1.3.0/24), вы можете проверить действующую таблицу маршрутов на любой виртуальной машине в виртуальной сети:

effective routes

Как видите, существует маршрут, указывающий на виртуальную сеть 10.1.3.0/24, которая была введена шлюзами виртуальной глобальной сети Azure. Теперь мы можем проверить возможность подключения к базе данных:

$ query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
$ sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.1.75

В этом примере мы увидели, как создается частная конечная точка в одной из виртуальных сетей, подключенных к виртуальной глобальной сети (обеспечивает подключение к остальной части виртуальных сетей и ветвей в виртуальной глобальной сети).

Дальнейшие действия

Дополнительные сведения о виртуальной глобальной сети см. в статье, содержащей Часто задаваемые вопросы о ней.