Använda Private Link i Virtual WAN

Azure Private Link är en teknik som gör att du kan ansluta Azure Platform-as-a-Service-erbjudanden med hjälp av privata IP-adressanslutningar genom att exponera privata slutpunkter. Med Azure Virtual WAN kan du distribuera en privat slutpunkt i ett av de virtuella nätverk som är anslutna till valfri virtuell hubb. Detta ger anslutning till andra virtuella nätverk eller gren som är anslutna till samma Virtual WAN.

Innan du börjar

Stegen i den här artikeln förutsätter att du redan har distribuerat ett virtuellt WAN med en eller flera hubbar, samt minst två virtuella nätverk som är anslutna till Virtual WAN.

Om du vill skapa ett nytt virtuellt WAN och en ny hubb använder du stegen i följande artiklar:

Skapa en slutpunkt för privat länk

Du kan skapa en privat länkslutpunkt för många olika tjänster. I det här exemplet använder vi Azure SQL Database. Mer information om hur du skapar en privat slutpunkt för en Azure SQL Database finns i Snabbstart: Skapa en privat slutpunkt med hjälp av Azure Portal. Följande bild visar nätverkskonfigurationen för Azure SQL Database:

create private link

När du har skapat Azure SQL Database kan du kontrollera ip-adressen för den privata slutpunkten genom att bläddra bland dina privata slutpunkter:

private endpoints

Om du klickar på den privata slutpunkt som vi har skapat bör du se dess privata IP-adress samt dess fullständigt kvalificerade domännamn (FQDN). Observera att den privata slutpunkten har en IP-adress i intervallet för det virtuella nätverk där det har distribuerats (10.1.3.0/24):

SQL endpoint

Verifiera anslutningen från samma virtuella nätverk

I det här exemplet verifierar vi anslutningen till Azure SQL Database från en virtuell Ubuntu-dator med MS SQL-verktyg installerade. Det första steget är att verifiera att DNS-matchningen fungerar och att Azure SQL Database fullständigt kvalificerade domännamnet matchas till en privat IP-adress i samma virtuella nätverk där den privata slutpunkten har distribuerats (10.1.3.0/24):

$ nslookup wantest.database.windows.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

Som du ser i föregående utdata mappas FQDN wantest.database.windows.net till wantest.privatelink.database.windows.net, att den privata DNS-zonen som skapas längs den privata slutpunkten matchar den privata IP-adressen 10.1.3.228. Om du tittar på den privata DNS-zonen bekräftas att det finns en A-post för den privata slutpunkten som är mappad till den privata IP-adressen:

DNS zone

När du har verifierat rätt DNS-matchning kan vi försöka ansluta till databasen:

$ query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
$ sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.3.75

Som du ser använder vi en särskild SQL fråga som ger oss den käll-IP-adress som SQL servern ser från klienten. I det här fallet ser servern klienten med sin privata IP-adress (10.1.3.75), vilket innebär att trafiken går från det virtuella nätverket direkt till den privata slutpunkten.

Observera att du måste ange variablerna username och password matcha autentiseringsuppgifterna som definierats i Azure SQL Database för att exemplen i den här guiden ska fungera.

Anslut från ett annat virtuellt nätverk

Nu när ett virtuellt nätverk i Azure Virtual WAN har anslutning till den privata slutpunkten kan alla andra virtuella nätverk och grenar som är anslutna till Virtual WAN också ha åtkomst till den. Du måste tillhandahålla anslutning via någon av de modeller som stöds av Azure Virtual WAN, till exempel scenariot Alla-till-alla eller VNet-scenariot för delade tjänster, för att nämna två exempel.

När du har en anslutning mellan det virtuella nätverket eller grenen till det virtuella nätverk där den privata slutpunkten har distribuerats måste du konfigurera DNS-matchning:

  • Om du ansluter till den privata slutpunkten från ett virtuellt nätverk kan du använda samma privata zon som skapades med Azure SQL Database.
  • Om du ansluter till den privata slutpunkten från en gren (plats-till-plats-VPN, punkt-till-plats-VPN eller ExpressRoute) måste du använda lokal DNS-matchning.

I det här exemplet ansluter vi från ett annat virtuellt nätverk, så först kopplar vi den privata DNS-zonen till det nya virtuella nätverket så att dess arbetsbelastningar kan matcha Azure SQL Database fullständigt kvalificerade domännamnet till den privata IP-adressen. Detta görs genom att länka den privata DNS-zonen till det nya virtuella nätverket:

DNS link

Nu ska alla virtuella datorer i det anslutna virtuella nätverket matcha Azure SQL Database FQDN till den privata länkens privata IP-adress:

$ nslookup wantest.database.windows.net
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
wantest.database.windows.net    canonical name = wantest.privatelink.database.windows.net.
Name:   wantest.privatelink.database.windows.net
Address: 10.1.3.228

För att kontrollera att det här virtuella nätverket (10.1.1.0/24) har anslutning till det ursprungliga virtuella nätverket där den privata slutpunkten har konfigurerats (10.1.3.0/24) kan du verifiera den effektiva routningstabellen på alla virtuella datorer i det virtuella nätverket:

effective routes

Som du ser finns det en väg som pekar på det VNet 10.1.3.0/24 som matas in av Virtual Network Gateways i Azure Virtual WAN. Nu kan vi äntligen testa anslutningen till databasen:

$ query="SELECT CONVERT(char(15), CONNECTIONPROPERTY('client_net_address'));"
$ sqlcmd -S wantest.database.windows.net -U $username -P $password -Q "$query"

10.1.1.75

I det här exemplet har vi sett hur du skapar en privat slutpunkt i ett av de virtuella nätverk som är kopplade till en Virtual WAN ger anslutning till resten av de virtuella nätverken och grenarna i Virtual WAN.

Nästa steg

Mer information om Virtual WAN finns i Vanliga frågor och svar.