Hantera privata Azure-slutpunkter

Privata Azure-slutpunkter har flera alternativ för att hantera deras konfiguration och distribution.

Du kan fastställa GroupId och MemberName värden genom att fråga Azure Private Link-resursen. Du behöver GroupId värdena och MemberName för att konfigurera en statisk IP-adress för en privat slutpunkt när du skapar den.

En privat slutpunkt har två anpassade egenskaper: statisk IP-adress och nätverksgränssnittsnamn. Dessa egenskaper måste anges när den privata slutpunkten skapas.

Med en tjänstleverantör och konsumentdistribution av Private Link finns en godkännandeprocess för att upprätta anslutningen.

Fastställa GroupID och MemberName

När du skapar en privat slutpunkt med Azure PowerShell och Azure CLI kan värdena och MemberName för den privata slutpunktsresursen GroupId behövas.

• GroupId är underkällan för den privata slutpunkten.
• MemberName är den unika stämpeln för slutpunktens privata IP-adress.

Mer information om privata slutpunktsunderresurser och deras värden finns i Private Link-resurs.

Använd följande kommandon för att fastställa värdena GroupId för och MemberName för din privata slutpunktsresurs. MemberName finns i egenskapen RequiredMembers .

PowerShell

En Azure-webbapp används som exempel på en privat slutpunktsresurs. Använd Get-AzPrivateLinkResource för att fastställa värdena för GroupId och MemberName.

## Place the previously created webapp into a variable. ##
$webapp = 
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

$resource = 
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID

Du bör få utdata som liknar följande exempel.

Azure CLI

En Azure-webbapp används som exempel på en privat slutpunktsresurs. Använd az network private-link-resource list för att fastställa GroupId och MemberName. Parametern --type kräver namnområdet för Private Link-resursen. För den webbapp som används i det här exemplet är Microsoft.Web/sitesnamnområdet . Information om hur du fastställer namnrymden för din Private Link-resurs finns i Konfiguration av DNS-zoner för Azure-tjänster.

az network private-link-resource list \
    --resource-group MyResourceGroup \
    --name myWebApp1979 \
    --type Microsoft.Web/sites

Du bör få utdata som liknar följande exempel.

Anpassade egenskaper

Namnbyte för nätverksgränssnitt och statisk IP-adresstilldelning är anpassade egenskaper som du kan ange på en privat slutpunkt när du skapar.

Namnbyte för nätverksgränssnitt

När en privat slutpunkt skapas får nätverksgränssnittet som är associerat med den privata slutpunkten som standard ett slumpmässigt namn för nätverksgränssnittet. Nätverksgränssnittet måste namnges när den privata slutpunkten skapas. Det går inte att byta namn på nätverksgränssnittet för en befintlig privat slutpunkt.

Använd följande kommandon när du skapar en privat slutpunkt för att byta namn på nätverksgränssnittet.

PowerShell

Om du vill byta namn på nätverksgränssnittet när den privata slutpunkten skapas använder du parametern -CustomNetworkInterfaceName . I följande exempel används ett Azure PowerShell-kommando för att skapa en privat slutpunkt till en Azure-webbapp. Mer information finns i New-AzPrivateEndpoint.

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe

Azure CLI

Om du vill byta namn på nätverksgränssnittet när den privata slutpunkten skapas använder du parametern --nic-name . I följande exempel används ett Azure PowerShell-kommando för att skapa en privat slutpunkt till en Azure-webbapp. Mer information finns i az network private-endpoint create.

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --group-id sites \
    --nic-name myPrivateEndpointNIC \
    --vnet-name myVNet

Statisk IP-adress

När en privat slutpunkt skapas tilldelas som standard IP-adressen för slutpunkten automatiskt. IP-adressen tilldelas från IP-intervallet för det virtuella nätverket som konfigurerats för den privata slutpunkten. En situation kan uppstå när en statisk IP-adress för den privata slutpunkten krävs. Den statiska IP-adressen måste tilldelas när den privata slutpunkten skapas. Konfigurationen av en statisk IP-adress för en befintlig privat slutpunkt stöds för närvarande inte.

Procedurer för att konfigurera en statisk IP-adress när du skapar en privat slutpunkt finns i Skapa en privat slutpunkt med Azure PowerShell och Skapa en privat slutpunkt med hjälp av Azure CLI.

Anslutningar med privat slutpunkt

Private Link fungerar på en godkännandemodell där Private Link-konsumenten kan begära en anslutning till tjänstleverantören för användning av tjänsten.

Tjänsteleverantören kan sedan bestämma om konsumenten ska kunna ansluta eller inte. Med Private Link kan tjänsteleverantörer hantera den privata slutpunktsanslutningen på sina resurser.

Det finns två metoder för anslutningsgodkännande som en Private Link-konsument kan välja mellan:

• Automatisk: Om tjänstkonsumenten har behörighet för rollbaserad åtkomstkontroll i Azure (RBAC) för tjänstproviderresursen kan konsumenten välja metoden för automatiskt godkännande. När begäran når tjänstproviderresursen krävs ingen åtgärd från tjänstleverantören och anslutningen godkänns automatiskt.

• Manuellt: Om tjänstkonsumenten inte har RBAC-behörigheter för tjänstproviderresursen kan konsumenten välja metoden för manuellt godkännande. Anslutningsbegäran visas på tjänstresurserna som Väntande. Tjänsteleverantören måste godkänna begäran manuellt innan anslutningar kan upprättas.

  I manuella fall kan tjänstekonsumenten också ange ett meddelande med begäran för att ge mer kontext till tjänstleverantören. Tjänstleverantören har följande alternativ att välja mellan för alla privata slutpunktsanslutningar: Godkänn, Avvisa och Ta bort.

Viktigt!

Om du vill godkänna anslutningar med en privat slutpunkt som finns i en separat prenumeration eller klientorganisation kontrollerar du att providerprenumerationen eller klientorganisationen har registrerat Microsoft.Network. Konsumentprenumerationen eller klientorganisationen bör också ha resursprovidern för målresursen registrerad.

I följande tabell visas de olika åtgärderna för tjänstprovidern och de resulterande anslutningstillstånden för privata slutpunkter. Tjänstleverantören kan ändra anslutningstillståndet vid ett senare tillfälle utan konsumentintervention. Åtgärden uppdaterar slutpunktens tillstånd på konsumentsidan.

Åtgärd för tjänstleverantör	Tjänstkonsumentens privata slutpunktstillstånd	Description
None	Väntande	Anslut ion skapas manuellt och väntar på godkännande av Private Link-resursägaren.
Godkänn	Godkänd	Anslut ion godkänns automatiskt eller manuellt och är redo att användas.
Avvisa	Avvisat	Private Link-resursägaren avvisar anslutningen.
Ta bort	Frånkopplad	Private Link-resursägaren tar bort anslutningen, vilket gör att den privata slutpunkten kopplas från och den bör tas bort för rensning.

Hantera privata slutpunktsanslutningar på Azure PaaS-resurser

Använd följande steg för att hantera en privat slutpunktsanslutning i Azure-portalen.

1. Logga in på Azure-portalen.

2. I sökrutan överst i portalen anger du Private Link. I sökresultaten väljer du Privat länk.

3. I Private Link Center väljer du Privata slutpunkter eller Privata länktjänster.

4. För var och en av dina slutpunkter kan du visa antalet privata slutpunktsanslutningar som är associerade med den. Du kan filtrera resurserna efter behov.

5. Välj den privata slutpunkten. Under de anslutningar som visas väljer du den anslutning som du vill hantera.

6. Du kan ändra tillståndet för anslutningen genom att välja bland alternativen längst upp.

Hantera privata slutpunktsanslutningar på en kund- eller partnerägd Private Link-tjänst

Använd följande PowerShell- och Azure CLI-kommandon för att hantera privata slutpunktsanslutningar på Microsofts partnertjänster eller kundägda tjänster.

PowerShell

Använd följande PowerShell-kommandon för att hantera privata slutpunktsanslutningar.

Hämta anslutningstillstånd för Private Link

Använd Get-AzPrivateEndpoint Anslut ion för att hämta privata slutpunktsanslutningar och deras tillstånd.

$get = @{
    Name = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get

Godkänna en privat slutpunktsanslutning

Använd Approve-AzPrivateEndpoint Anslut ion för att godkänna en privat slutpunktsanslutning.

$approve = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve

Neka en privat slutpunktsanslutning

Använd Deny-AzPrivateEndpoint Anslut ion för att avvisa en privat slutpunktsanslutning.

$deny = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection  @deny

Ta bort en privat slutpunktsanslutning

Använd Remove-AzPrivateEndpoint Anslut ion för att ta bort en privat slutpunktsanslutning.

$remove = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove

Azure CLI

Använd följande Azure CLI-kommandon för att hantera privata slutpunktsanslutningar.

Hämta anslutningstillstånd för Private Link

Använd az network private-endpoint-connection show för att hämta de privata slutpunktsanslutningarna och deras tillstånd.

  az network private-endpoint-connection show \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Godkänna en privat slutpunktsanslutning

Använd az network private-endpoint-connection approve för att godkänna en privat slutpunktsanslutning.

  az network private-endpoint-connection approve \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

Neka en privat slutpunktsanslutning

Använd az network private-endpoint-connection reject för att avvisa en privat slutpunktsanslutning.

  az network private-endpoint-connection reject \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

Ta bort en privat slutpunktsanslutning

Använd az network private-endpoint-connection delete för att ta bort en privat slutpunktsanslutning.

  az network private-endpoint-connection delete \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

Kommentar

Anslut ions som tidigare nekats kan inte godkännas. Du måste ta bort anslutningen och skapa en ny.

Nästa steg

• Läs mer om privata slutpunkter