快速入门:使用 Azure 门户创建专用终结点

创建并使用专用终结点安全连接到 Azure Web 应用以开始使用 Azure 专用链接。

在本快速入门中,你将创建 Azure Web 应用的专用终结点,然后部署虚拟机 (VM) 以测试专用连接。

你可以为各种 Azure 服务(例如 Azure SQL 和 Azure 存储)创建专用终结点。

先决条件

创建虚拟网络和堡垒主机

首先创建虚拟网络、子网和堡垒主机。

使用堡垒主机安全地连接到 VM,以便测试专用终结点。

  1. 登录 Azure 门户

  2. 选择左上方的“创建资源”。

  3. 在左侧窗格中,选择“网络”,然后选择“虚拟网络”。

  4. 在“创建虚拟网络”窗格中,选择“基本”选项卡,然后输入以下值:

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择“新建”。
    输入 CreatePrivateEndpointQS-rg。
    选择“确定”。
    实例详细信息
    名称 输入 myVNet
    区域 选择“中国东部 2”
  5. 选择“IP 地址”选项卡。

  6. 在“IP 地址”窗格中,输入此值:

    设置
    IPv4 地址空间 输入 10.1.0.0/16。
  7. 在“子网名称”下,选择“添加子网”链接。

  8. 在“编辑子网”右窗格中,输入以下值:

    设置
    子网名称 输入 mySubnet
    子网地址范围 输入 10.1.0.0/24。
  9. 选择 添加

  10. 选择“安全”选项卡。

  11. 选择“启用”BastionHost,然后输入以下值:

    设置
    Bastion 名称 输入“myBastionHost”。
    AzureBastionSubnet 地址空间 输入 10.1.1.0/24。
    公共 IP 地址 依次选择“新建”,输入 myBastionIP 作为名称,然后选择“确定”。
  12. 选择“查看 + 创建” 选项卡。

  13. 选择“创建” 。

创建测试虚拟机

接下来,创建可用于测试专用终结点的 VM。

  1. 在门户的左上角,选择“创建资源”,在“新建”页的搜索筛选器中键入“Windows Server 2019 Datacenter”,然后在搜索结果中选择“Windows Server 2019 Datacenter”,接着选择“创建” 。

  2. 在“创建虚拟机”中,在“基本信息”选项卡中键入或选择值:

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择“CreatePrivateEndpointQS-rg”。
    实例详细信息
    虚拟机名称 输入“myVM”。
    区域 选择“(亚太)中国东部 2”。
    可用性选项 选择“无需基础结构冗余”。
    映像 选择“Windows Server 2019 Datacenter - Gen1”。
    大小 选择 VM 大小或使用默认设置。
    管理员帐户
    用户名 输入用户名。
    Password 输入密码。
    确认密码 重新输入密码。
  3. 选择“网络”选项卡。

  4. 在“网络”窗格中,输入以下值:

    设置
    网络接口
    虚拟网络 输入 myVNet
    子网 输入 mySubnet
    公共 IP 选择“无”。
    NIC 网络安全组 选择“基本”。
    公共入站端口 选择“无”。
  5. 选择“查看 + 创建”。

  6. 检查设置,然后选择“创建”。

注意

Azure 会为未获得公共 IP 地址的或位于内部基本 Azure 负载均衡器的后端池中的 Azure 虚拟机提供默认出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。

有关默认出站访问的详细信息,请参阅 Azure 中的默认出站访问

在将公共 IP 地址分配到虚拟机时,或者在将虚拟机置于具有或不具有出站规则的标准负载均衡器的后端池中时,会禁用默认出站访问 IP。 如果向虚拟机的子网分配 Azure 虚拟网络 NAT 网关资源,则会禁用默认出站访问 IP。

在灵活业务流程模式下由虚拟机规模集创建的虚拟机没有默认的出站访问权限。

有关 Azure 中出站连接的详细信息,请参阅为出站连接使用源网络地址转换 (SNAT)

创建专用终结点

下一步,你要为“先决条件”部分中创建的 Web 应用创建专用终结点。

  1. 在门户的屏幕顶部,在搜索筛选器中键入“专用链接”,然后在服务列表中选择专用链接。

  2. 在“专用链接中心”中,选择左侧窗格中的“专用终结点”。

  3. 在“专用终结点”窗格中,选择“创建”。

  4. 在“创建专用终结点”窗格中,选择“基本”选项卡,然后输入以下值:

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择“CreatePrivateEndpointQS-rg”。 你已在前面的部分中创建了此资源组。
    实例详细信息
    名称 输入“myPrivateEndpoint”
    区域 选择“中国东部 2”
  5. 选择“资源”选项卡。

  6. 在“资源”窗格中,输入以下值:

    设置
    连接方法 选择“连接到我的目录中的 Azure 资源”。
    订阅 选择订阅。
    资源类型 选择“Microsoft.Web/sites”。
    资源 选择“<your-web-app-name>”。
    选择在“先决条件”部分中创建的 Web 应用的名称。
    目标子资源 选择“站点”。
  7. 单击“虚拟网络”选项卡的“下一步”。

  8. 在“虚拟网络”窗格中,输入以下值:

    设置
    网络
    虚拟网络 选择“myVNet”。
    子网 选择“mySubnet”
    专用 DNS 集成
    与专用 DNS 区域集成 保留默认值“是”。
    订阅 选择订阅。
    资源组 选择资源组 CreatePrivateEndpointQS-rg。
    专用 DNS 区域 保留默认值“(新)privatelink.chinacloudsites.cn”。
  9. 依次单击“下一步”和“查看 + 创建”。

  10. 选择“创建” 。

测试到专用终结点的连接

使用之前创建的 VM,通过专用终结点连接到 Web 应用。

  1. 在 Azure 门户的左侧窗格中,选择“资源组”。

  2. 选择“CreatePrivateEndpointQS-rg”。

  3. 选择“myVM”。

  4. 在 myVM 的“概述”页上,选择“连接”,然后选择“堡垒”。

  5. 选择蓝色的“使用堡垒”按钮。

  6. 输入创建 VM 时使用的用户名和密码。

  7. 连接后,在服务器上打开 PowerShell。

  8. 输入 nslookup <your-webapp-name>.chinacloudsites.cn,将 <你的 Web 应用名称> 替换为之前创建的 Web 应用名称。 你将收到如下所示的消息:

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    mywebapp8675.privatelink.chinacloudsites.cn
    Address:  10.1.0.5
    Aliases:  mywebapp8675.chinacloudsites.cn
    

    将为 Web 应用名称返回专用 IP 地址 10.1.0.5。 此地址位于你之前创建的虚拟网络的子网中。

  9. 在与 myVM 的堡垒连接中,打开网页浏览器。

  10. 输入 Web 应用的 URL:https://<your-webapp-name>.chinacloudsites.cn。

    如果你的 Web 应用尚未部署,你将获得以下默认 Web 应用页:

    Screenshot of the default web app page on a browser.

  11. 关闭到 myVM 的连接。

清理资源

如果你不打算继续使用此 Web 应用,请按以下步骤删除虚拟网络、虚拟机和 Web 应用:

  1. 在左窗格中,选择“资源组”。

  2. 选择“CreatePrivateEndpointQS-rg”。

  3. 选择“删除资源组”

  4. 在“输入资源组名称”中输入 CreatePrivateEndpointQS-rg。

  5. 选择“删除”。

已了解的内容

在本快速入门中,你已创建:

  • 虚拟网络和堡垒主机
  • 虚拟机
  • Azure Web 应用的专用终结点

你使用了 VM 测试跨专用终结点的 Web 应用的连接。

后续步骤

要详细了解支持专用终结点的服务,请参阅: