管理 Azure 专用终结点

项目
02/26/2024

Azure 专用终结点有多个选项用于管理其配置和部署。

可以通过查询 Azure 专用链接资源来确定 GroupId 和 MemberName 值。在创建过程中，需要 GroupId 和 MemberName 值来为专用终结点配置静态 IP 地址。

专用终结点有两个自定义属性：静态 IP 地址和网络接口名称。在创建专用终结点时必须设置这些属性。

通过服务提供商和使用者部署专用链接，连接的审批程序已经到位。

确定 GroupID 和 MemberName

使用 Azure PowerShell 和 Azure CLI 创建专用终结点期间，可能需要专用终结点资源的 GroupId 和 MemberName 值。

GroupId 是专用终结点的子资源。
MemberName 是终结点专用 IP 地址的唯一标记。

有关专用终结点子资源及其值的详细信息，请参阅专用链接资源。

若要确定专用终结点资源的 GroupId 和 MemberName 的值，请使用以下命令。 MemberName 包含在 RequiredMembers 属性中。

PowerShell
Azure CLI

Azure Web 应用用作示例专用终结点资源。使用 Get-AzPrivateLinkResource 来确定 GroupId 和 MemberName 的值。

## Place the previously created webapp into a variable. ##
$webapp = 
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

$resource = 
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID

应会收到与以下示例类似的输出。

Screenshot that shows the PowerShell output of the command.

Azure Web 应用用作示例专用终结点资源。使用 az network private-link-resource list 来确定 GroupId 和 MemberName。参数 --type 需要专用链接资源的命名空间。对于此示例中使用的 Web 应用，命名空间为 Microsoft.Web/sites。若要确定专用链接资源的命名空间，请参阅 Azure 服务 DNS 区域配置。

az network private-link-resource list \
    --resource-group MyResourceGroup \
    --name myWebApp1979 \
    --type Microsoft.Web/sites

应会收到与以下示例类似的输出。

Screenshot that shows the PowerShell output of command.

自定义属性

网络接口重命名和静态 IP 地址分配是可以在创建期间在专用终结点上设置的自定义属性。

网络接口重命名

默认情况下，在创建某个专用终结点时，将为该专用终结点关联的网络接口指定一个随机名称。必须在创建专用终结点时为该网络接口命名。不支持重命名现有专用终结点的网络接口。

创建专用终结点以重命名网络接口时，请使用以下命令。

PowerShell
Azure CLI

若要在创建专用终结点时重命名网络接口，请使用 -CustomNetworkInterfaceName 参数。以下示例使用 Azure PowerShell 命令创建 Azure Web 应用的专用终结点。有关详细信息，请参阅 New-AzPrivateEndpoint。

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'chinaeast2'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe

若要在创建专用终结点时重命名网络接口，请使用 --nic-name 参数。以下示例使用 Azure PowerShell 命令创建 Azure Web 应用的专用终结点。有关详细信息，请参阅 az network private-endpoint create。

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --group-id sites \
    --nic-name myPrivateEndpointNIC \
    --vnet-name myVNet

静态 IP 地址

默认情况下，创建专用终结点时，会自动分配终结点的 IP 地址。该 IP 是从为专用终结点配置的虚拟网络的 IP 范围内分配的。当专用终结点需要静态 IP 地址时，可能会出现问题。必须在创建专用终结点时分配静态 IP 地址。目前不支持为现有专用终结点配置静态 IP 地址。

有关在创建专用终结点时配置静态 IP 地址的过程，请参阅使用 Azure PowerShell 创建专用终结点和使用 Azure CLI 创建专用终结点。

专用终结点连接

专用链接基于一个审批模型工作，其中，专用链接使用者可以请求连接到服务提供商以使用该服务。

然后，服务提供商可以决定是否允许使用者进行连接。专用链接支持服务提供商管理其资源上的专用终结点连接。

Diagram that shows Private Link approval methods.

专用链接使用者可以从两种连接审批方法中进行选择：

自动：如果服务使用者对服务提供商资源具有 Azure 基于角色的访问控制 (RBAC) 权限，则使用者可以选择自动审批方法。当请求到达服务提供商资源时，服务提供程序不需要执行任何操作，并且将自动批准连接。
手动：如果服务使用者对服务提供商资源没有 RBAC 权限，则使用者可以选择手动审批方法。连接请求会以“挂起”状态出现在服务资源上。服务提供商必须手动批准请求，然后才能建立连接。

在手动情况下，服务使用者还可以指定包含请求的消息来向服务提供商提供更多上下文。服务提供商可以为所有专用终结点连接选择以下选项：批准、拒绝和移除。

重要

若要批准与单独订阅或租户中的专用终结点的连接，请确保提供商订阅或租户已注册 Microsoft.Network。使用者订阅或租户还应该注册目标资源的资源提供程序。

下表显示了专用终结点的各种服务提供商操作和产生的连接状态。服务提供商可在稍后更改连接状态，且无需使用者干预。此操作更新使用者端的终结点状态。

服务提供商操作	服务使用者专用终结点状态	说明
无	挂起	连接是手动创建的，正等待专用链接资源所有者审批。
审批	已审核	连接自动或手动批准，随时可供使用。
拒绝	已拒绝	专用链接资源所有者拒绝连接。
删除	已断开连接	专用链接资源所有者删除连接，导致专用终结点断开连接，应将其删除以进行清理。

管理 Azure PaaS 资源上的专用终结点连接

在 Azure 门户中使用以下步骤管理专用终结点连接。

登录 Azure 门户。
在门户顶部的搜索框中，输入“专用链接”。在搜索结果中，选择“专用链接”。
在“专用链接中心”中，选择“专用终结点”或“专用链接服务”。
对于每个终结点，可以查看与其关联的专用终结点连接数。你可以根据需要筛选资源。
选择专用终结点。在列出的连接下，选择要管理的连接。
可以通过从顶部的选项中进行选择来更改连接的状态。

管理客户或合作伙伴拥有的专用链接服务上的专用终结点连接

使用以下 PowerShell 和 Azure CLI 命令管理 Azure 合作伙伴服务或客户拥有的服务上的专用终结点连接。

PowerShell
Azure CLI

可以使用以下 PowerShell 命令来管理专用终结点连接。

获取专用链接连接状态

使用 Get-AzPrivateEndpointConnection 可获取专用终结点连接及其状态。

$get = @{
    Name = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get

批准专用终结点连接

使用 Approve-AzPrivateEndpointConnection 可批准专用终结点连接。

$approve = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve

拒绝专用终结点连接

使用 Deny-AzPrivateEndpointConnection 可拒绝专用终结点连接。

$deny = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection  @deny

删除专用终结点连接

使用 Remove-AzPrivateEndpointConnection 可删除专用终结点连接。

$remove = @{
    Name = 'myPrivateEndpointConnection'
    ServiceName = 'myPrivateLinkService'
    ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove

使用以下 Azure CLI 命令管理专用终结点连接。

获取专用链接连接状态

使用 az network private-endpoint-connection show 可获取专用终结点连接及其状态。

  az network private-endpoint-connection show \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

批准专用终结点连接

使用 az network private-endpoint-connection approve 可批准专用终结点连接。

  az network private-endpoint-connection approve \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

拒绝专用终结点连接

使用 az network private-endpoint-connection reject 可拒绝专用终结点连接。

  az network private-endpoint-connection reject \
    --name myPrivateEndpointConnection  \
    --resource-group myResourceGroup

删除专用终结点连接

使用 az network private-endpoint-connection delete 可删除专用终结点连接。

  az network private-endpoint-connection delete \
    --name myPrivateEndpointConnection \
    --resource-group myResourceGroup

注意

以前拒绝的连接无法获得批准。必须删除该连接，然后创建一个新的连接。

后续步骤

了解专用终结点

通过

管理 Azure 专用终结点

确定 GroupID 和 MemberName

自定义属性

网络接口重命名

静态 IP 地址

专用终结点连接

管理 Azure PaaS 资源上的专用终结点连接

管理客户或合作伙伴拥有的专用链接服务上的专用终结点连接

获取专用链接连接状态

批准专用终结点连接

拒绝专用终结点连接

删除专用终结点连接

后续步骤

其他资源