你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:使用 Azure 专用终结点连接到 Web 应用
Azure 专用终结点是 Azure 中专用链接的构建基块。 它使 Azure 资源(例如虚拟机 (VM))能够以私密且安全的方式来与 Web 应用等专用链接资源通信。
在本教程中,你将了解如何执行以下操作:
- 创建虚拟网络和 Bastion 主机。
- 创建虚拟机。
- 创建 Web 应用。
- 创建专用终结点。
- 测试到 Web 应用专用终结点的连接。
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
注意
专用终结点可在公共区域中用于高级 V2 层级、高级 V3 层级 Windows Web 应用、Linux Web 应用和 Azure Functions 高级计划(有时被称为弹性高级计划)。
必备条件
- Azure 订阅
登录 Azure
登录 Azure 门户。
创建虚拟网络和堡垒主机
在本部分中,你将创建虚拟网络、子网和堡垒主机。
堡垒主机将用于安全地连接到虚拟机,以测试专用终结点。
在屏幕的左上方选择“创建资源”>“网络”>“虚拟网络”,或者在搜索框中搜索“虚拟网络”。
在“创建虚拟网络” 的“基本信息”选项卡中输入或选择以下信息 :
设置 值 项目详细信息 订阅 选择 Azure 订阅。 资源组 选择“新建”。 对于“名称”,请输入“myResourceGroup”。 选择“确定”。 实例详细信息 名称 输入 myVNet。 区域 选择“美国东部”。 选择“IP 地址”选项卡 ,或选择页面底部的“下一步: IP 地址”按钮。
在“IP 地址” 选项卡上,输入以下信息:
设置 值 IPv4 地址空间 输入 10.1.0.0/16。 在“子网名称”下,选择词语“默认”。
在“编辑子网”中输入以下信息:
设置 值 子网名称 输入 mySubnet。 子网地址范围 输入 10.1.0.0/24。 选择“保存” 。
选择“安全”选项卡。
在“BastionHost”下,选择“启用” 。 输入此信息:
设置 值 Bastion 名称 输入“myBastionHost”。 AzureBastionSubnet 地址空间 输入 10.1.1.0/24。 公共 IP 地址 选择“新建”。 对于“名称”,请输入“myBastionIP”。 选择“确定”。 选择“查看 + 创建”选项卡,或选择“查看 + 创建”按钮。
选择“创建”。
创建虚拟机
在本部分中,你将创建将用来测试专用终结点的虚拟机。
在门户的左上方,选择“创建资源”>“计算”>“虚拟机”,或者在搜索框中搜索“虚拟机”。
在“创建虚拟机”中,在“基本信息”选项卡中键入或选择值:
设置 值 项目详细信息 订阅 选择 Azure 订阅。 资源组 选择“myResourceGroup”。 实例详细信息 虚拟机名称 输入“myVM”。 区域 选择“(US)美国东部”。 可用性选项 选择“无需基础结构冗余”。 安全类型 选择“标准”。 映像 选择“Windows Server 2019 Datacenter - Gen2”。 Azure Spot 实例 请选择“否”。 大小 选择 VM 大小或采用默认设置。 管理员帐户 用户名 输入用户名。 Password 输入密码。 确认密码 重新输入密码。 选择“网络”选项卡,或选择“下一步: 磁盘”,然后选择“下一步: 网络”。
在“网络”选项卡中,选择以下信息:
设置 值 网络接口 虚拟网络 选择“myVNet”。 子网 选择“mySubnet”。 公共 IP 选择“无”。 NIC 网络安全组 选择“基本”。 公共入站端口 选择“无”。 选择“查看 + 创建”。
检查设置,然后选择“创建”。
注意
Azure 会为未分配公共 IP 地址的 VM 或位于内部基本 Azure 负载均衡器的后端池中的 VM 提供默认出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。
有关详细信息,请参阅 Azure 中的默认出站访问。
在将公共 IP 地址分配到 VM 或者将 VM 置于具有或不具有出站规则的标准负载均衡器的后端池中时,会禁用默认出站访问 IP。 如果向虚拟机的子网分配 Azure 虚拟网络网络地址转换 (NAT) 网关资源,则会禁用默认出站访问 IP。
在灵活业务流程模式下由虚拟机规模集创建的 VM 没有默认的出站访问权限。
有关 Azure 中出站连接的详细信息,请参阅使用出站连接的源网络地址转换 (SNAT)。
创建 Web 应用
在本部分中,你将创建一个 Web 应用。
在左侧菜单中,选择“创建资源”>“Web”>“Web 应用”,或者在搜索框中搜索“Web 应用”。
在“创建 Web 应用”的“基本信息”选项卡中,输入或选择以下信息 :
设置 值 项目详细信息 订阅 选择 Azure 订阅。 资源组 选择“myResourceGroup”。 实例详细信息 名称 输入 mywebapp。 如果该名称不可用,请输入一个唯一的名称。 发布 选择“代码”。 运行时堆栈 选择“.NET Core 3.1 (LTS)”。 操作系统 选择“Windows”。 区域 选择“美国东部”。 应用服务计划 Windows 计划(美国东部) 选择“新建”。 在“名称”中输入 myServicePlan。 选择“确定”。 SKU 和大小 选择“更改大小”。 在“规格选取器”页中选择“P2V2”。 选择“应用”。 区域冗余 区域冗余 选择“已禁用”。 选择“查看 + 创建”。
选择“创建”。
创建专用终结点
在左侧菜单中,选择“所有资源”>“mywebapp”或在 Web 应用创建过程中选择的名称。
在 Web 应用概述中,选择“设置”>“网络” 。
在“网络”中,选择“专用终结点”。
在“专用终结点连接”页中选择“+ 添加”。
在“添加专用终结点”页中输入或选择以下信息:
设置 Value 名称 输入 mywebappendpoint。 订阅 选择 Azure 订阅。 虚拟网络 选择“myVNet”。 子网 选择“mySubnet”。 与专用 DNS 区域集成 请选择“是”。 选择“确定” 。
测试到专用终结点的连接
在本部分中,你将使用在上一步骤中创建的虚拟机通过专用终结点连接到 Web 应用。
在左侧导航窗格中选择“资源组”。
选择“myResourceGroup”。
选择“myVM”。
在 myVM的“概述”页上,选择“连接”,然后选择“堡垒”。
输入在创建虚拟机期间输入的用户名和密码。
选择“连接”按钮。
连接后,在服务器上打开 Windows PowerShell。
输入
nslookup <webapp-name>.azurewebsites.net。 将 <webapp-name> 替换为在之前的步骤中创建的 Web 应用的名称。 你将收到类似于以下所示内容的消息:Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: mywebapp.privatelink.azurewebsites.net Address: 10.1.0.5 Aliases: mywebapp.azurewebsites.net将为 Web 应用名称返回专用 IP 地址 10.1.0.5。 此地址在前面创建的 myVNet 虚拟网络的 mySubnet 子网中。
打开 Internet Explorer,然后输入 Web 应用的 URL,即
https://<webapp-name>.azurewebsites.net。验证是否收到默认 Web 应用页面。
关闭到 myVM 的连接。
在本地计算机上打开 Web 浏览器并输入 Web 应用的 URL,即
https://<webapp-name>.azurewebsites.net。验证是否收到 403 页面。 此页面指示无法从外部访问 Web 应用。
清理资源
如果你不打算继续使用此应用程序,请按以下步骤删除虚拟网络、虚拟机和 Web 应用:
从左侧菜单中,选择“资源组”。
选择“myResourceGroup”。
选择“删除资源组”。
在“键入资源组名称”中输入“myResourceGroup”。
选择“删除” 。
后续步骤
了解如何使用 Azure 专用终结点连接到 Azure SQL Server: