Freigeben über

Private Verknüpfung verwenden (Vorschau)

In diesem Artikel wird beschrieben, wie Sie mithilfe des privaten Links den Zugriff auf die Verwaltung von Ressourcen in Ihren Abonnements einschränken. Mithilfe privater Verbindungen können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-Dienste zugreifen. Dadurch wird verhindert, dass der Dienst dem öffentlichen Internet ausgesetzt wird.

In diesem Artikel wird der Einrichtungsprozess für private Links mithilfe des Azure-Portals beschrieben.

Von Bedeutung

Sie können dieses Feature auf Stufen für eine zusätzliche Gebühr aktivieren.

Hinweis

Die Möglichkeit, private Links mit Azure Notification Hubs zu verwenden, befindet sich derzeit in der Vorschau. Wenn Sie an dieser Funktion interessiert sind, wenden Sie sich an Ihren Kundenerfolgsmanager bei Microsoft, oder erstellen Sie ein Azure-Supportticket.

Erstellen eines privaten Endpunkts zusammen mit einem neuen Benachrichtigungshub im Portal

Das folgende Verfahren erstellt einen privaten Endpunkt zusammen mit einem neuen Benachrichtigungshub mithilfe des Azure-Portals:

  1. Erstellen Sie einen neuen Benachrichtigungshub, und wählen Sie die Registerkarte "Netzwerk " aus.

  2. Wählen Sie "Privater Zugriff" und dann " Erstellen" aus.

    Screenshot der Seite zum Erstellen des Benachrichtigungshubs im Portal mit der Option für private Links.

  3. Geben Sie das Abonnement, die Ressourcengruppe, den Standort und einen Namen für den neuen privaten Endpunkt ein. Wählen Sie ein virtuelles Netzwerk und ein Subnetz aus. Wählen Sie in "In private DNS-Zone integrieren" " Ja " aus, und geben Sie "privatelink.notificationhub.windows.net " in das Feld "Private DNS-Zone " ein.

    Screenshot der Seite zum Erstellen von privaten Endpunkten des Benachrichtigungshubs.

  4. Wählen Sie "OK" aus, um die Bestätigung der Namespace- und Huberstellung mit einem privaten Endpunkt anzuzeigen.

  5. Wählen Sie "Erstellen" aus, um den Benachrichtigungshub mit einer privaten Endpunktverbindung zu erstellen.

    Screenshot der Bestätigungsseite des Benachrichtigungshubs für private Endpunkte.

Erstellen eines privaten Endpunkts für einen vorhandenen Benachrichtigungshub im Portal

  1. Wählen Sie im Portal auf der linken Seite unter dem Abschnitt "Sicherheit + Netzwerk " die Option "Benachrichtigungshubs" und dann "Netzwerk" aus.

  2. Wählen Sie die Registerkarte "Privater Zugriff" aus .

    Screenshot der Registerkarte

  3. Geben Sie das Abonnement, die Ressourcengruppe, den Standort und einen Namen für den neuen privaten Endpunkt ein. Wählen Sie ein virtuelles Netzwerk und ein Subnetz aus. Wählen Sie "Erstellen" aus.

    Screenshot der Eigenschaften für die Erstellung privater Links.

Erstellen eines privaten Endpunkts mit CLI

  1. Melden Sie sich bei Azure CLI an, und legen Sie ein Abonnement fest:

    az login
az account set --subscription <azure_subscription_id>

  2. Erstellen sie eine neue Ressourcengruppe:

    az group create -n <resource_group_name> -l <azure_region>

  3. Registrieren Sie Microsoft.NotificationHubs als Anbieter:

    az provider register -n Microsoft.NotificationHubs

  4. Erstellen Sie einen neuen Notification Hubs-Namespace und einen Hub:

    az notification-hub namespace create 
     --name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>
     --sku "Standard"

 az notification-hub create 
     --name <notification_hub_name>
     --namespace-name <namespace_name>
     --resource-group <resource_group_name>
     --location <azure_region>

  5. Erstellen eines virtuellen Netzwerks mit einem Subnetz:

    az network vnet create
     --resource-group <resource_group_name>
     --name <vNet name>
     --location <azure_region>

az network vnet subnet create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --name <subnet_name>
     --address-prefixes <address_prefix>

  6. Deaktivieren von Richtlinien für virtuelle Netzwerke:

    az network vnet subnet update
     --name <subnet_name>
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --disable-private-endpoint-network-policies true

  7. Fügen Sie private DNS-Zonen hinzu, und verknüpfen Sie sie mit einem virtuellen Netzwerk:

    az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.servicebus.windows.net

az network private-dns zone create
     --resource-group <resource_group_name>
     --name privatelink.notificationhub.windows.net

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.servicebus.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

az network private-dns link vnet create
     --resource-group <resource_group_name>
     --virtual-network <vNet_name>
     --zone-name privatelink.notificationhub.windows.net 
     --name <dns_zone_link_name>
     --registration-enabled true

  8. Erstellen eines privaten Endpunkts (automatisch genehmigt):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vNet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>  
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace 
     --connection-name <private_link_connection_name>
     --location <azure-region>

  9. Erstellen eines privaten Endpunkts (mit manueller Anforderungsgenehmigung):

    az network private-endpoint create
     --resource-group <resource_group_name>
     --vnet-name <vnet_name>
     --subnet <subnet_name>
     --name <private_endpoint_name>
     --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" 
     --group-ids namespace
     --connection-name <private_link_connection_name>
     --location <azure-region>
     --manual-request

  10. Verbindungsstatus anzeigen:

    az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>

Verwalten privater Endpunkte mithilfe des Portals

Wenn Sie einen privaten Endpunkt erstellen, muss die Verbindung genehmigt werden. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet, können Sie die Verbindungsanforderung genehmigen, sofern Sie über ausreichende Berechtigungen verfügen. Wenn Sie eine Verbindung mit einer Azure-Ressource in einem anderen Verzeichnis herstellen, müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt hat.

Es gibt vier Bereitstellungszustände.

Servicemaßnahme Zustand des privaten Endpunkts des Dienstnutzers BESCHREIBUNG
Nichts Ausstehend Die Verbindung wird manuell erstellt und wartet auf die Genehmigung durch den Besitzer der Private-Link-Ressource.
Genehmigen genehmigt Die Verbindung wurde automatisch oder manuell genehmigt und ist zur Verwendung bereit.
Ablehnen Zurückgewiesen Die Verbindung wurde vom Besitzer der Private Link-Ressource abgelehnt.
Entfernen Getrennt Die Verbindung wurde vom Besitzer der Private Link-Ressource entfernt. Der private Endpunkt dient nur noch Informationszwecken und sollte zur Bereinigung gelöscht werden.

Genehmigen, ablehnen oder entfernen Sie eine private Endpunktverbindung.

  1. Melden Sie sich beim Azure-Portal an.
  2. Geben Sie in der Suchleiste Benachrichtigungshubs ein.
  3. Wählen Sie den Namespace aus, den Sie verwalten möchten.
  4. Wählen Sie die Registerkarte "Netzwerk " aus.
  5. Wechseln Sie zu dem entsprechenden Abschnitt basierend auf dem Vorgang, den Sie genehmigen, ablehnen oder entfernen möchten.

Genehmigen einer Verbindung mit einem privaten Endpunkt

  1. Wenn Verbindungen ausstehen, wird eine Verbindung mit " Ausstehend " im Bereitstellungsstatus angezeigt.

  2. Wählen Sie den privaten Endpunkt aus, den Sie genehmigen möchten.

  3. Wählen Sie "Genehmigen" aus.

    Screenshot mit der Registerkarte

  4. Geben Sie auf der Seite " Verbindung genehmigen " einen optionalen Kommentar ein, und wählen Sie dann "Ja" aus. Wenn Sie "Nein" auswählen, geschieht nichts.

    Screenshot mit der Seite

  5. Der Status der Verbindung in der Liste sollte in "Genehmigt" geändert werden.

Ablehnen einer Verbindung mit einem privaten Endpunkt

  1. Wenn private Endpunktverbindungen vorhanden sind, die Sie ablehnen möchten, unabhängig davon, ob es sich um eine ausstehende Anforderung oder eine vorhandene Verbindung handelt, die zuvor genehmigt wurde, wählen Sie das Endpunktverbindungssymbol aus, und wählen Sie "Ablehnen" aus.

    Screenshot mit der Option

  2. Geben Sie auf der Seite "Verbindung ablehnen " einen optionalen Kommentar ein, und wählen Sie dann "Ja" aus. Wenn Sie "Nein" auswählen, geschieht nichts.

  3. Der Status der Verbindung in der Liste sollte in "Abgelehnt" geändert werden.

Entfernen einer Verbindung mit einem privaten Endpunkt

  1. Um eine private Endpunktverbindung zu entfernen, wählen Sie sie in der Liste aus, und wählen Sie auf der Symbolleiste "Entfernen" aus:

    Screenshot: Seite „Verbindung entfernen“

  2. Wählen Sie auf der Seite " Verbindung löschen " "Ja " aus, um das Löschen des privaten Endpunkts zu bestätigen. Wenn Sie "Nein" auswählen, geschieht nichts.

  3. Der Status der Verbindung in der Liste sollte in "Getrennt" geändert werden. Der Endpunkt verschwindet dann aus der Liste.

Sie sollten überprüfen, ob Ressourcen innerhalb des virtuellen Netzwerks des privaten Endpunkts eine Verbindung mit Ihrem Notification Hubs-Namespace über eine private IP-Adresse herstellen und dass sie über die richtige private DNS-Zonenintegration verfügen.

Erstellen Sie zunächst einen virtuellen Computer, indem Sie die Schritte unter Erstellen eines virtuellen Windows-Computers im Azure-Portal ausführen.

Gehen Sie auf der Registerkarte Netzwerk wie folgt vor:

  1. Geben Sie das virtuelle Netzwerk und das Subnetz an. Sie müssen das virtuelle Netzwerk auswählen, in dem Sie den privaten Endpunkt bereitgestellt haben.
  2. Geben Sie eine öffentliche IP-Ressource an.
  3. Wählen Sie für die NIC-Netzwerksicherheitsgruppe"Keine" aus.
  4. Wählen Sie für den Lastenausgleich"Nein" aus.

Stellen Sie eine Verbindung mit dem virtuellen Computer her, öffnen Sie eine Befehlszeile, und führen Sie den folgenden Befehl aus:

Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net

Wenn der Befehl von der VM ausgeführt wird, gibt er die IP-Adresse der privaten Endpunktverbindung zurück. Wenn sie aus einem externen Netzwerk ausgeführt wird, wird die öffentliche IP-Adresse eines der Notification Hubs-Cluster zurückgegeben.

Einschränkungen und Entwurfsaspekte

Einschränkungen: Dieses Feature ist in allen öffentlichen Azure-Regionen verfügbar. Maximale Anzahl privater Endpunkte pro Notification Hubs-Namespace: 200

Weitere Informationen finden Sie unter Azure Private Link Service: Einschränkungen.

Nächste Schritte

  • Last updated on