通过创建和使用专用终结点安全地连接到 Azure Web 应用,开始使用 Azure Private Link。
在本快速入门中,为Azure App服务 Web 应用创建专用终结点,然后创建和部署虚拟机(VM)以测试专用连接。
可以为各种Azure服务(例如Azure SQL和Azure Storage)创建专用终结点。
先决条件
具有活动订阅的Azure帐户。 如果还没有Azure帐户,创建试用订阅。
Azure App Service 中的 Web 应用,采用基本、标准、PremiumV2、PremiumV3、IsolatedV2 或 Functions Premium(有时称为弹性高级计划)应用服务计划,并部署在您的 Azure 订阅中。
有关详细信息和示例,请参阅
Quickstart:在 Azure0 中创建 ASP.NET Core Web 应用。 本文中的示例 Web 应用名为 webapp-1。 请将示例名称替换为你自己的 Web 应用名称。
登录到 Azure
登录到 Azure 门户。
创建资源组
在门户中,搜索并选择“资源组”。
选择+ 新建。
在“创建资源组”的“基本信息”选项卡中,输入或选择以下信息:
设置 值 订阅 选择订阅。 资源组 输入 test-rg。 区域 选择“中国东部 2”。 选择“查看 + 创建”。
选择 创建。
创建虚拟网络
下面的过程创建虚拟网络及资源子网。
在门户中,搜索并选择“虚拟网络”。
在“虚拟网络”页面上,选择“+ 创建”。
在“创建虚拟网络”的“基本信息”选项卡上,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择 test-rg。 实例详细信息 名称 输入“vnet-1”。 区域 选择“中国东部 2”。 选择下一步,转到安全性选项卡。
选择下一步,转到IP 地址选项卡。
在“子网”的地址空间框中,选择“默认”子网。
在编辑子网中,输入或选择以下信息:
设置 值 子网详细信息 子网模板 保留默认值“默认”。 名称 输入subnet-1。 开始地址 保留默认值“10.0.0.0”。 子网大小 保留默认值“/24 (256 个地址)”。 选择“保存”。
选择屏幕底部的“查看 + 创建”,然后在验证通过时选择“创建”。
部署Azure Bastion
Azure Bastion 使用您的浏览器,通过虚拟网络中的专用 IP 地址,以安全外壳协议(SSH)或远程桌面协议(RDP)连接到虚拟机(VM)。 虚拟机不需要公共 IP 地址、客户端软件或特殊配置。 有关Azure Bastion的详细信息,请参阅 Azure Bastion。
注意
每小时定价从部署 Bastion 的时刻开始计算,无论出站数据的使用情况如何。 有关详细信息,请参阅 定价 和 SKU。 如果要将 Bastion 部署为教程或测试的一部分,建议在使用完此资源后将其删除。
在门户顶部的搜索框中,输入“堡垒”。 在搜索结果中选择 Bastions 。
选择+ 新建。
在“创建 Bastion”的“基本”选项卡中,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择 test-rg。 实例详细信息 名称 输入 堡垒。 区域 选择“中国东部 2”。 级 选择基本。 配置虚拟网络 虚拟网络 选择“vnet-1”。 选择“查看 + 创建”。
选择 创建。
创建专用终结点
接下来,为你在“先决条件”部分中创建的 Web 应用创建专用终结点。
重要
必须事先部署Azure App服务 Web 应用才能继续执行本文中的步骤。 有关详细信息,请参阅先决条件。
在门户顶部的搜索框中,输入“专用端点”。 选择 专用终结点。
在“专用终结点”中选择+ 创建。
在“创建专用终结点”的“基本信息”选项卡中,输入或选择以下信息。
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择 test-rg 实例详细信息 名称 输入 private-endpoint。 网络接口名称 保留默认值 private-endpoint-nic。 区域 选择“(亚太)中国东部 2”。 选择 “下一步:资源”。
在 “资源 ”窗格中,输入或选择以下信息。
设置 值 连接方法 将默认设置保持为 连接到我租户中的 Azure 资源。 订阅 选择订阅。 资源类型 选择“Microsoft.Web/sites”。 资源 选择 webapp-1。 目标子资源 选择站点。 选择 Next: Virtual Network。
在 Virtual Network 中,输入或选择以下信息。
设置 值 网络 虚拟网络 选择 vnet-1 (test-rg)。 子网 选择 subnet-1。 专用终结点的网络策略 选择“编辑”,为专用终结点应用网络策略。
在“编辑子网网络策略”中,在此子网中所有专用终结点的网络策略设置下拉菜单中,选中网络安全组和路由表旁边的复选框。
选择“保存”。
有关详细信息,请参阅 管理专用终结点的网络策略选择 “下一步:DNS”。
在“DNS”中保留默认值。 选择 “下一步:标记”,然后选择 “下一步:查看 + 创建”。
选择 创建。
创建测试虚拟机
以下过程会在虚拟网络中创建一个名为 vm-1 的测试虚拟机 (VM)。
在门户中,搜索并选择“虚拟机”。
在“虚拟机”中,选择“+ 创建”。
在“创建虚拟机”的“基本信息”选项卡上,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择 test-rg。 实例详细信息 虚拟机名称 输入“vm-1”。 区域 选择“中国东部 2”。 可用性选项 选择“无需基础结构冗余”。 安全类型 保留默认值 “标准”。 图像 选择 Windows Server 2022 Datacenter - x64 Gen2。 VM 架构 保留默认值 x64。 大小 选择一个大小。 管理员帐户 身份验证类型 选择密码。 用户名 输入“azureuser”。 密码 输入密码。 确认密码 重新输入密码。 入站端口规则 公共入站端口 选择 “无”。 选择页面顶部的“网络”选项卡。
在“网络”选项卡中,输入或选择以下信息:
设置 值 网络接口 虚拟网络 选择“vnet-1”。 子网 选择“subnet-1 (10.0.0.0/24)”。 公共 IP 选择 “无”。 NIC 网络安全组 选择 “高级”。 配置网络安全组 选择“新建”。
在“名称”中输入“nsg-1”。
将其余选项保留为默认设置,然后选择确定。将其余设置保留为默认值,然后选择“查看 + 创建”。
检查设置,然后选择“创建”。
注意
虚拟网络中具有堡垒主机的虚拟机不需要公共 IP 地址。 Bastion 提供公共 IP,虚拟机使用专用 IP 在网络中进行通信。 可以从堡垒托管的虚拟网络的任何虚拟机中删除公共 IP。 ** 有关详细信息,请参阅 解除 Azure VM 的公共 IP 地址关联。
注意
Azure为未分配公共 IP 地址的 VM 提供默认的出站访问 IP,或者位于内部基本Azure负载均衡器的后端池中。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。
发生以下事件之一时,将禁用默认出站访问 IP:
- 将公共 IP 地址分配给 VM。
- 虚拟机被放置在标准负载均衡器的后端池中,有无出站规则均可。
- Azure NAT Gateway 资源分配给 VM 的子网。
在灵活业务流程模式下通过使用虚拟机规模集创建的 VM 没有默认的出站访问权限。
有关 Azure 中的出站连接的详细信息,请参阅 Azure 中的默认出站访问 以及 使用源网络地址转换(SNAT)进行出站连接。
测试专用终结点的连接性
使用之前创建的虚拟机,通过专用终结点连接到 Web 应用。
在门户顶部的搜索框中,输入 虚拟机。 选择“虚拟机”。
选择 vm-1。
在 vm-1 的“概述”页中,选择“连接”,然后选择“堡垒”选项卡。
选择使用Bastion。
输入创建 VM 时使用的用户名和密码。
选择 连接。
连接后,在服务器上打开 PowerShell。
输入
nslookup webapp-1.chinacloudsites.cn。 你会收到类似于以下示例的消息:Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: webapp-1.privatelink.chinacloudsites.cn Address: 10.0.0.10 Aliases: webapp-1.chinacloudsites.cn如果在前面的步骤中选择了静态 IP 地址,则会为 Web 应用程序名称返回专用 IP 地址 10.0.0.10。 此地址位于你之前创建的虚拟网络的子网中。
与 vm-1 进行堡垒连接时,打开 Web 浏览器。
输入 Web 应用的 URL,即
https://webapp-1.chinacloudsites.cn。如果你的 Web 应用尚未部署,你会看到以下默认 Web 应用页:
关闭到 vm-1 的连接。
清理资源
使用创建的资源之后,可以删除资源组及其所有资源:
在Azure门户中,搜索并选择Resource 组。
在“资源组”页上,选择“test-rg”资源组。
在“test-rg”页上,选择“删除资源组”。
在“输入资源组名称以确认删除”中输入“test-rg”,然后选择“删除”。
后续步骤
在本快速入门中,你已创建:
虚拟网络和堡垒主机
虚拟机
Azure Web 应用的专用终结点
你使用虚拟机来测试通过专用终结点与 Web 应用的连接。
要详细了解支持专用终结点的服务,请参阅: