快速入门:使用 Azure CLI 创建专用链接服务

  • 项目

开始创建引用你的服务的专用链接服务。 向专用链接授予对 Azure 标准负载均衡器后面部署的服务或资源的访问权限。 服务的用户具有从其虚拟网络进行专用访问的权限。

Diagram of resources created in private endpoint quickstart.

如果没有 Azure 试用版订阅,请在开始前创建一个试用版订阅

先决条件

  • 如需在本地运行 CLI 参考命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI

    • 如果使用的是本地安装,请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅使用 Azure CLI 登录

    • 出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息,请参阅使用 Azure CLI 的扩展

    • 运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade

  • 本快速入门需要 Azure CLI 2.0.28 或更高版本。

注意

在可以在由世纪互联运营的 Microsoft Azure 中使用 Azure CLI 之前,请先运行 az cloud set -n AzureChinaCloud 来更改云环境。 若要切换回 Azure 公有云,请再次运行 az cloud set -n AzureCloud

创建资源组

Azure 资源组是在其中部署和管理 Azure 资源的逻辑容器。

使用 az group create 创建资源组:

  • 命名为 test-rg

  • 在“chinaeast2”位置。

az group create \
    --name test-rg \
    --location chinaeast2

创建内部负载均衡器

在本部分中,创建一个虚拟网络和一个内部 Azure 负载均衡器。

虚拟网络

在本部分,创建虚拟网络和子网来托管访问专用链接服务的负载均衡器。

使用 az network vnet create 创建虚拟网络:

  • 命名为 vnet-1

  • 地址前缀为 10.0.0.0/16。

  • 命名为 subnet-1 的子网。

  • 子网前缀为 10.0.0.0/24。

  • test-rg 资源组中。

  • “chinaeast2”的位置。

  • 在子网上禁用专用链接服务的网络策略。

az network vnet create \
    --resource-group test-rg \
    --location chinaeast2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

创建标准负载均衡器

本部分详细介绍如何创建和配置负载均衡器的以下组件:

  • 前端 IP 池,用于在负载均衡器上接收传入网络流量。

  • 后端 IP 池,前端池将负载均衡的网络流量发送到此处。

  • 运行状况探测,用于确定后端 VM 实例的运行状况。

  • 负载均衡器规则,用于定义如何将流量分配给 VM。

创建负载均衡器资源

使用 az network lb create 创建公共负载均衡器:

  • 命名为 load-balancer

  • 前端池命名为 FrontEnd

  • 后端池命名为 backend-pool

  • 与虚拟网络 VNet-1 相关联。

  • 与后端子网 Subnet-1 相关联。

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

创建运行状况探测

运行状况探测会检查所有虚拟机实例,以确保它们可以发送网络流量。

从负载均衡器中删除未通过探测检查的虚拟机。 解决故障后,虚拟机将重新添加到负载均衡器中。

使用 az network lb probe create 创建运行状况探测:

  • 监视虚拟机的运行状况。

  • 命名为 health-probe

  • 协议为“TCP”。

  • 监视“端口 80”。

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

创建负载均衡器规则

负载均衡器规则定义:

  • 针对传入流量的前端 IP 配置。

  • 用于接收流量的后端 IP 池。

  • 所需的源和目标端口。

使用 az network lb rule create 创建负载均衡器规则:

  • 命名为 http-rule

  • 侦听前端池 frontend 中的端口 80

  • 使用端口 80 将负载均衡的网络流量发送到后端地址池 backend-pool

  • 使用运行状况探测 health-probe

  • 协议为“TCP”。

  • 空闲超时 15 分钟。

  • 启用 TCP 重置。

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

禁用网络策略

在虚拟网络中创建专用链接服务之前,必须禁用设置 privateLinkServiceNetworkPolicies

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

在本部分中,创建使用上一步中创建的 Azure 负载均衡器的专用链接服务。

使用 az network private-link-service create 通过标准负载均衡器前端 IP 配置创建专用链接服务:

  • 命名为 private-link-service

  • 在虚拟网络 vnet-1

  • 与标准负载均衡器 load-blancer 和前端配置 frontend 相关联。

  • 在“chinaeast2”位置。

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location chinaeast2

专用链接服务已创建,可接收流量。 若要查看流量流,请在标准负载均衡器后面配置应用程序。

创建专用终结点

在本部分中,你将专用链接服务映射到专用终结点。 虚拟网络包含用于专用链接服务的专用终结点。 此虚拟网络包含将访问专用链接服务的资源。

创建专用终结点虚拟网络

使用 az network vnet create 创建虚拟网络:

  • 命名为 vnet-pe

  • 地址前缀为 10.1.0.0/16。

  • 命名为 subnet-pe 的子网。

  • 子网前缀为 10.1.0.0/24。

  • test-rg 资源组中。

  • “chinaeast2”的位置。

az network vnet create \
    --resource-group test-rg \
    --location chinaeast2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

创建终结点和连接

  • 使用 az network private-link-service show 获取专用链接服务的资源 ID。 此命令将资源 ID 置于变量中以供以后使用。

  • 使用 az network private-endpoint create 在之前创建的虚拟网络中创建专用终结点。

  • 命名为 private-endpoint

  • test-rg 资源组中。

  • 连接名称 connection-1

  • “chinaeast2”的位置。

  • 在虚拟网络 vnet-pe 和子网 subnet-pe 中。

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe

清理资源

如果不再需要资源组、专用链接服务、负载均衡器和所有相关的资源,使用 az group delete 命令将它们删除。

az group delete \
    --name test-rg

后续步骤

在本快速入门中,请执行以下操作:

  • 创建了虚拟网络和内部 Azure 负载均衡器。

  • 创建了专用链接服务

若要详细了解 Azure 专用终结点,请继续学习:

快速入门:使用 Azure CLI 创建专用终结点