创建并使用专用终结点安全连接到 Azure Web 应用以开始使用 Azure 专用链接。
在本快速入门中,创建 Azure 应用服务 Web 应用的专用终结点,然后部署虚拟机 (VM) 以测试专用连接。
你可以为各种 Azure 服务(例如 Azure SQL 和 Azure 存储)创建专用终结点。
先决条件
具有活动订阅的 Azure 帐户。 如果还没有 Azure 帐户,请创建一个试用订阅。
Azure 应用 Services Web 应用,其基本、标准、PremiumV2、PremiumV3、IsolatedV2、Functions Premium (有时称为弹性高级计划)应用服务计划,部署在 Azure 订阅中。
有关详细信息及示例,请参阅快速入门:在 Azure 中创建 ASP.NET Core Web 应用。
本文中的示例 Web 应用名为 webapp-1。 请将示例名称替换为你自己的 Web 应用名称。
登录 Azure
登录 Azure 门户。
创建虚拟网络和 Azure Bastion 主机
以下过程创建包含资源子网、Azure Bastion 子网和 Bastion 主机的虚拟网络:
在门户中,搜索并选择“虚拟网络”。
在“虚拟网络”页面上,选择“+ 创建”。
在创建虚拟网络的基本信息选项卡上输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择“新建”。
输入 test-rg 作为名称。
选择“确定”。实例详细信息 名称 输入“vnet-1”。 区域 选择“(亚太)中国东部 2”。 
选择“下一步”,转到“安全性”选项卡。
在“Azure Bastion”部分,选择“启用 Bastion”。
Bastion 使用浏览器通过安全外壳 (SSH) 或远程桌面协议 (RDP),通过使用其专用 IP 地址连接虚拟网络中的虚拟机。 虚拟机不需要公共 IP 地址、客户端软件或特殊配置。 有关详细信息,请参阅什么是 Azure Bastion?。
在“Azure Bastion”中,输入或选择以下信息:
设置 值 Azure Bastion 主机名 输入“堡垒”。 Azure Bastion 公共 IP 地址 选择“创建公共 IP 地址”。
在“名称”中输入 public-ip-bastion。
选择“确定”。
选择下一步,转到IP 地址选项卡。
在“子网”的地址空间框中,选择“默认”子网。
在编辑子网中,输入或选择以下信息:
设置 值 子网详细信息 子网模板 保留默认值“默认”。 名称 输入“subnet-1”。 开始地址 保留默认值“10.0.0.0”。 子网大小 保留默认值“/24 (256 个地址)”。 
选择 添加 。
在窗口底部选择“查看 + 创建”。 验证通过后,选择“创建”。
创建专用终结点
接下来,为你在“先决条件”部分中创建的 Web 应用创建专用终结点。
重要
必须事先部署 Azure 应用服务 Web 应用才能继续执行本文中的步骤。 有关详细信息,请参阅先决条件。
在门户顶部的搜索框中,输入“专用终结点”。 选择“专用终结点”。
在“专用终结点”中选择“+ 创建”。
在“创建专用终结点”的“基本信息”选项卡中,输入或选择以下信息。
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择 test-rg 实例详细信息 名称 输入 private-endpoint。 网络接口名称 保留默认值 private-endpoint-nic。 区域 选择“(亚太)中国东部 2”。 在完成时选择“下一步:资源”。
在“资源”窗格中,输入或选择以下信息。
设置 值 连接方法 保留默认设置“连接到我的目录中的 Azure 资源”。 订阅 选择订阅。 资源类型 选择“Microsoft.Web/sites”。 资源 选择 webapp-1。 目标子资源 选择“站点”。 选择“下一步: 虚拟网络”。
在“虚拟网络”中,输入或选择以下信息。
设置 值 联网 虚拟网络 选择 vnet-1 (test-rg)。 子网 选择 subnet-1。 专用终结点的网络策略 选择“编辑”,为专用终结点应用网络策略。
在“编辑子网网络策略”中,在此子网中所有专用终结点的网络策略设置下拉菜单中选择“网络安全组”和“路由表”旁边的复选框。
选择“保存”。
有关详细信息,请参阅管理专用终结点的网络策略选择“下一步: DNS”。
在“DNS”中保留默认值。 依次选择“下一步: 标记”、“下一步: 查看 + 创建” 。
选择“创建”。
创建测试虚拟机
以下过程会在虚拟网络中创建一个名为 vm-1 的测试虚拟机 (VM)。
在门户中,搜索并选择“虚拟机”。
在“虚拟机”中,选择“+ 创建”。
在“创建虚拟机”的“基本信息”选项卡上,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择“test-rg”。 实例详细信息 虚拟机名称 输入“vm-1”。 区域 选择“中国东部 2”。 可用性选项 选择“无需基础结构冗余”。 安全类型 保留默认值标准。 映像 选择Windows Server 2022 Datacenter - x64 Gen2。 VM 架构 保留默认值“x64”。 大小 选择一个大小。 管理员帐户 身份验证类型 选择密码。 用户名 输入“azureuser”。 密码 输入密码。 确认密码 重新输入密码。 入站端口规则 公共入站端口 选择“无”。 选择页面顶部的“网络”选项卡。
在“网络”选项卡中,输入或选择以下信息:
设置 值 网络接口 虚拟网络 选择“vnet-1”。 子网 选择“subnet-1 (10.0.0.0/24)”。 公共 IP 选择“无”。 NIC 网络安全组 选择“高级”。 配置网络安全组 选择“新建”。
在“名称”中输入“nsg-1”。
将其余字段保留默认设置,然后选择“确定”。将其余设置保留为默认值,然后选择“查看 + 创建”。
检查设置,然后选择“创建”。
注意
虚拟网络中具有堡垒主机的虚拟机不需要公共 IP 地址。 Bastion 提供公共 IP,虚拟机使用专用 IP 在网络中进行通信。 可以从堡垒托管的虚拟网络的任何虚拟机中删除公共 IP。 有关详细信息,请参阅 将公共 IP 地址与 Azure VM 取消关联。
注意
Azure 会为未分配公共 IP 地址的 VM 或位于内部基本 Azure 负载均衡器的后端池中的 VM 提供默认出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。
发生以下事件之一时,将禁用默认出站访问 IP:
- 将公共 IP 地址分配给 VM。
- 虚拟机被放置在标准负载平衡器的后端池中,有无出站规则均可。
- 向 VM 的子网分配了 Azure NAT 网关资源。
在灵活业务流程模式下通过使用虚拟机规模集创建的 VM 没有默认的出站访问权限。
有关 Azure 中的出站连接的详细信息,请参阅 Azure 中的默认出站访问权限和使用用于出站连接的源网络地址转换 (SNAT)。
测试到专用终结点的连接
使用之前创建的虚拟机,通过专用终结点连接到 Web 应用。
在门户顶部的搜索框中,输入“虚拟机”。 选择“虚拟机”。
选择 vm-1。
在 vm-1 的“概述”页中,选择“连接”,然后选择“堡垒”选项卡。
选择“使用 Bastion”。
输入创建 VM 时使用的用户名和密码。
选择“连接”。
连接后,在服务器上打开 PowerShell。
输入
nslookup webapp-1.chinacloudsites.cn。 你会收到类似于以下示例的消息:Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: webapp-1.privatelink.chinacloudsites.cn Address: 10.0.0.10 Aliases: webapp-1.chinacloudsites.cn如果在前面的步骤中选择了静态 IP 地址,则会为 Web 应用程序名称返回专用 IP 地址 10.0.0.10。 此地址位于你之前创建的虚拟网络的子网中。
在与 vm-1 的堡垒连接中,打开 Web 浏览器。
输入 Web 应用的 URL,即
https://webapp-1.chinacloudsites.cn。如果你的 Web 应用尚未部署,你会看到以下默认 Web 应用页:
关闭到 vm-1 的连接。
清理资源
使用创建的资源之后,可以删除资源组及其所有资源:
在 Azure 门户中,搜索并选择“资源组”。
在“资源组”页上,选择“test-rg”资源组。
在“test-rg”页上,选择“删除资源组”。
在“输入资源组名称以确认删除”中输入“test-rg”,然后选择“删除”。
后续步骤
在本快速入门中,你已创建:
虚拟网络和堡垒主机
虚拟机
Azure Web 应用的专用终结点
你使用了 VM 测试跨专用终结点的 Web 应用的连接。
要详细了解支持专用终结点的服务,请参阅: