快速入门 - 创建 Azure 专用链接服务 - Azure CLI
开始创建引用你的服务的专用链接服务。 向专用链接授予对 Azure 标准负载均衡器后面部署的服务或资源的访问权限。 服务的用户具有从其虚拟网络进行专用访问的权限。
如果没有 Azure 帐户,请在开始前创建一个免费帐户。
先决条件
在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息,请参阅 Azure Cloud Shell 入门。
如需在本地运行 CLI 参考命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI。
如果使用的是本地安装,请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅 使用 Azure CLI 向 Azure 进行身份验证。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展的详细信息,请参阅 使用和管理 Azure CLI 中的扩展。
运行az version命令,以查看已安装的版本和依赖库。 若要升级到最新版本,请运行az upgrade。
本快速入门需要 Azure CLI 2.0.28 或更高版本。 如果使用 Azure Cloud Shell,则最新版本已安装。
创建资源组
Azure 资源组是在其中部署和管理 Azure 资源的逻辑容器。
使用 az group create 创建资源组:
命名为 test-rg。
在 eastus2 位置。
az group create \
--name test-rg \
--location eastus2
创建内部负载均衡器
在本部分中,创建一个虚拟网络和一个内部 Azure 负载均衡器。
虚拟网络
在本部分中,创建一个虚拟网络和子网来托管访问专用链接服务的负载均衡器。
使用 az network vnet create 创建虚拟网络:
命名为 vnet-1。
地址前缀为 10.0.0.0/16。
名为 subnet-1 的子网。
子网前缀为 10.0.0.0/24。
在 test-rg 资源组中。
eastus2 的位置。
请在子网中禁用私有链接服务的网络策略。
az network vnet create \
--resource-group test-rg \
--location eastus2 \
--name vnet-1 \
--address-prefixes 10.0.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.0.0.0/24
创建标准负载均衡器
本部分详细介绍如何创建和配置负载均衡器的以下组件:
一个前端 IP 池,用于接收负载均衡器上的传入网络流量。
后端 IP 池,前端池将负载均衡的网络流量发送到此处。
一个运行状况探测,用于确定后端 VM 实例的运行状况。
一个负载均衡器规则,用于定义如何将流量分发到 VM。
创建负载均衡器资源
使用 az network lb create 创建公共负载均衡器:
命名 负载均衡器。
前端池命名为 FrontEnd。
名为 backend-pool 的后端池。
与虚拟网络 vnet-1 相关联。
与后端子网 子网 1 相关联。
az network lb create \
--resource-group test-rg \
--name load-balancer \
--sku Standard \
--vnet-name vnet-1 \
--subnet subnet-1 \
--frontend-ip-name frontend \
--backend-pool-name backend-pool
创建运行状况探测
运行状况探测会检查所有虚拟机实例,以确保它们可以发送网络流量。
从负载均衡器中删除未通过探测检查的虚拟机。 解决故障后,虚拟机将重新添加到负载均衡器中。
使用 az network lb probe create 创建运行状况探测:
监视虚拟机的运行状况。
名为 health-probe。
协议为“TCP”。
监视 端口 80。
az network lb probe create \
--resource-group test-rg \
--lb-name load-balancer \
--name health-probe \
--protocol tcp \
--port 80
创建负载均衡器规则
负载均衡器规则定义:
针对传入流量的前端 IP 配置。
用于接收流量的后端 IP 池。
所需的源和目标端口。
使用 az network lb rule create 创建负载均衡器规则:
命名为 http-rule
对前端池“frontend”中的“端口 80”进行侦听。
使用端口 80 将负载均衡的网络流量发送到后端地址池backend-pool。
使用健康探测器health-probe。
协议为“TCP”。
空闲超时 15 分钟。
启用 TCP 重置。
az network lb rule create \
--resource-group test-rg \
--lb-name load-balancer \
--name http-rule \
--protocol tcp \
--frontend-port 80 \
--backend-port 80 \
--frontend-ip-name frontend \
--backend-pool-name backend-pool \
--probe-name health-probe \
--idle-timeout 15 \
--enable-tcp-reset true
禁用网络策略
在虚拟网络中创建专用链接服务之前,必须禁用 privateLinkServiceNetworkPolicies 设置。
使用 az network vnet subnet update 禁用网络策略。
az network vnet subnet update \
--name subnet-1 \
--vnet-name vnet-1 \
--resource-group test-rg \
--disable-private-link-service-network-policies yes
创建专用链接服务
在本部分中,创建一个专用链接服务,该服务使用在上一步中创建的 Azure 负载均衡器。
使用标准负载均衡器前端 IP 配置,创建专用链接服务:az network private-link-service create
名为 private-link-service。
在虚拟网络 vnet-1 中。
与标准负载均衡器和前端配置前端相关联。
在 eastus2 位置。
az network private-link-service create \
--resource-group test-rg \
--name private-link-service \
--vnet-name vnet-1 \
--subnet subnet-1 \
--lb-name load-balancer \
--lb-frontend-ip-configs frontend \
--location eastus2
专用链接服务已创建,可接收流量。 若要查看流量流,请在标准负载均衡器后面配置应用程序。
创建专用终结点
在本部分中,你将专用链接服务映射到专用终结点。 虚拟网络包含用于专用链接服务的专用终结点。 此虚拟网络包含访问专用链接服务的资源。
创建专用终结点虚拟网络
使用 az network vnet create 创建虚拟网络:
命名为 vnet-pe。
地址前缀 为 10.1.0.0/16。
名为 subnet-pe 的子网。
子网前缀 为 10.1.0.0/24。
在 test-rg 资源组中。
eastus2 的位置。
az network vnet create \
--resource-group test-rg \
--location eastus2 \
--name vnet-pe \
--address-prefixes 10.1.0.0/16 \
--subnet-name subnet-pe \
--subnet-prefixes 10.1.0.0/24
创建终结点和连接
使用 az network private-link-service show 获取专用链接服务的资源 ID。 该命令将资源 ID 放入变量中供以后使用。
使用 az network private-endpoint create 在之前创建的虚拟网络中创建专用终结点。
名为 private-endpoint。
在 test-rg 资源组中。
连接名称 connection-1。
eastus2 的位置。
在虚拟网络 vnet-pe 和子网 subnet-pe 中。
export resourceid=$(az network private-link-service show \
--name private-link-service \
--resource-group test-rg \
--query id \
--output tsv)
az network private-endpoint create \
--connection-name connection-1 \
--name private-endpoint \
--private-connection-resource-id $resourceid \
--resource-group test-rg \
--subnet subnet-pe \
--manual-request false \
--vnet-name vnet-pe
清理资源
如果不再需要资源组、专用链接服务、负载均衡器和所有相关的资源,使用 az group delete 命令将它们删除。
az group delete \
--name test-rg
后续步骤
在本快速入门中,请执行以下操作:
创建了虚拟网络和内部 Azure 负载均衡器。
创建了专用链接服务
若要详细了解 Azure 专用终结点,请继续学习:
快速入门:使用 Azure CLI 创建专用终结点