Integrare Inoltro di Azure con collegamento privato di Azure
Il servizio Collegamento privato di Azure consente di accedere ai servizi di Azure, come ad esempio a Inoltro di Azure, al bus di servizio di Azure, ad Hub eventi di Azure, ad Archiviazione di Azure e ad Azure Cosmos DB, nonché ai servizi di clienti/partner ospitati in Azure tramite un endpoint privato nella rete virtuale. Per altre informazioni, vedere Che cos'è Collegamento privato di Azure?.
Un endpoint privato è un'interfaccia di rete che consente ai carichi di lavoro in esecuzione in una rete virtuale di connettersi privatamente e in modo sicuro a un servizio che dispone di una risorsa di collegamento privato (ad esempio, uno spazio dei nomi di Inoltro). L'endpoint privato usa un indirizzo IP privato della rete virtuale, introducendo efficacemente il servizio nella rete virtuale. Tutto il traffico verso il servizio può essere instradato tramite l'endpoint privato, quindi non sono necessari gateway, dispositivi NAT, ExpressRoute, connessioni VPN oppure indirizzi IP pubblici. Il traffico tra la rete virtuale e il servizio attraversa la rete backbone Microsoft, impedendone l'esposizione alla rete Internet pubblica. È possibile fornire un livello di granularità nel controllo di accesso consentendo le connessioni a spazi dei nomi di Inoltro di Azure specifici.
Nota
Se si usa il listener di inoltro su un collegamento privato, aprire le porte 9400-9599 per le comunicazioni in uscita insieme alle porte di inoltro standard. Si noti che è necessario eseguire questo passaggio solo per il listener di inoltro.
Prerequisiti
Per integrare uno spazio dei nomi di Inoltro di Azure con collegamento privato di Azure, sono necessarie le entità o le autorizzazioni seguenti:
- Uno spazio dei nomi di Inoltro di Azure.
- Una rete virtuale di Azure.
- Una subnet nella rete virtuale.
- Autorizzazioni come proprietario o collaboratore sulla rete virtuale.
Aggiungere un endpoint privato con il portale di Azure
L'endpoint privato e la rete virtuale devono trovarsi nella stessa area. Quando si seleziona un'area per l'endpoint privato tramite il portale, verranno automaticamente filtrate solo le reti virtuali presenti in tale area. Lo spazio dei nomi può trovarsi in un'area diversa.
L'endpoint privato usa un indirizzo IP privato nella rete virtuale.
Configurare l'accesso privato per uno spazio dei nomi di inoltro
La procedura seguente fornisce istruzioni dettagliate per disabilitare l'accesso pubblico a uno spazio dei nomi di inoltro e quindi aggiungere un endpoint privato allo spazio dei nomi .
Accedere al portale di Azure.
Nella barra di ricerca, digitare Inoltri.
Selezionare nell'elenco lo spazio dei nomi in cui si vuole aggiungere un endpoint privato.
Nel menu a sinistra selezionare la scheda Rete in Impostazioni.
Nella pagina Networking, per Accesso alla rete pubblica, selezionare Disabilitato se si desidera che lo spazio dei nomi sia accessibile solo tramite endpoint privati.
Per Consenti ai servizi Microsoft attendibili di ignorare questo firewall, selezionare Sì se si desidera consentire ai servizi Microsoft attendibili di ignorare questo firewall.
Selezionare la scheda Connessioni endpoint privato nella parte superiore della pagina
Selezionare il pulsante + Endpoint privato nella parte superiore della pagina.
Nella pagina Informazioni di base seguire questa procedura:
Selezionare la sottoscrizione di Azure in cui creare l'endpoint privato.
Selezionare il gruppo di risorse per la risorsa endpoint privato.
Immettere un nome per l'endpoint privato.
Immettere un nome per l'interfaccia di rete.
Selezionare un'area per l'endpoint privato. L'endpoint privato deve trovarsi nella stessa area della rete virtuale, ma può trovarsi in un'area diversa dallo spazio dei nomi di Inoltro di Azure a cui ci si connette.
Selezionare il pulsante Avanti: Risorsa > nella parte inferiore della pagina.
Esaminare le impostazioni nella pagina Risorsa e selezionare Avanti: Rete virtuale.
Nella pagina Rete virtuale selezionare la rete virtuale e la subnet in cui si vuole distribuire l'endpoint privato. Nell'elenco a discesa sono elencate solo le reti virtuali nella sottoscrizione e nella località attualmente selezionate.
È possibile configurare se si vuole allocare dinamicamente un indirizzo IP o allocare staticamente un indirizzo IP all'endpoint privato
È anche possibile associare un gruppo di sicurezza delle applicazioni nuovo o esistente all'endpoint privato.
Selezionare Avanti: DNS per passare alla pagina DNS della procedura guidata. Nella pagina DNS l'impostazione Integrazione con zona DNZ privata è abilitata per impostazione predefinita (scelta consigliata). È possibile disabilitarla.
Per connettersi in privato con l'endpoint privato, è necessario un record DNS. È consigliabile integrare l'endpoint privato con una zona DNS privata. È anche possibile usare i propri server DNS o creare record DNS usando i file host delle macchine virtuali. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.
Selezionare Il pulsante Avanti: Tag > nella parte inferiore della pagina.
Nella pagina Tag, creare i tag (nomi e valori) da associare alla risorsa dell'endpoint privato e alla zona DNS privata, se è stata abilitata questa opzione. Selezionare quindi il pulsante Rivedi e crea nella parte inferiore della pagina.
In Rivedi e crea rivedere tutte le impostazioni e selezionare Crea per creare l'endpoint privato.
Nella pagina Endpoint privato è possibile visualizzare lo stato della connessione all'endpoint privato. Se si è il proprietario dello spazio dei nomi di inoltro o si dispone dell'accesso di gestione su di esso e si è selezionato Connetti a una risorsa di Azure nella directory per il metodo Connection, la connessione dell'endpoint deve essere approvata automaticamente. Se lo stato della connessione è In sospeso, vedere la sezione Gestire gli endpoint privati con il portale di Azure.
Tornare alla pagina Rete dello spazio dei nomi e passare alla scheda Connessioni endpoint privato. Verrà visualizzato l'endpoint privato creato.
Aggiungere un endpoint privato con PowerShell
L'esempio seguente illustra come usare Azure PowerShell per creare una connessione endpoint privato a uno spazio dei nomi di Inoltro di Azure.
L'endpoint privato e la rete virtuale devono trovarsi nella stessa area. Lo spazio dei nomi di Inoltro di Azure può trovarsi in un'area diversa. E l'endpoint privato usa un indirizzo IP privato nella rete virtuale.
$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"
# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation
# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $vnetlocation `
-Name $vnetName `
-AddressPrefix 10.0.0.0/16
# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name $subnetName `
-AddressPrefix 10.0.0.0/24 `
-PrivateEndpointNetworkPoliciesFlag "Disabled" `
-VirtualNetwork $virtualNetwork
# update virtual network
$virtualNetwork | Set-AzVirtualNetwork
# create a relay namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Properties @{} -ResourceType "Microsoft.Relay/namespaces"
# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $peConnectionName `
-PrivateLinkServiceId $namespaceResource.ResourceId `
-GroupId "namespace"
# get subnet object that you'll use in the next step
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
| Where-Object {$_.Name -eq $subnetName}
# now, create private endpoint
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName `
-Name $vnetName `
-Location $vnetlocation `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection
(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties
Gestire gli endpoint privati con il portale di Azure
Quando si crea un endpoint privato, la connessione deve essere approvata. Se la risorsa (spazio dei nomi di inoltro) per cui si sta creando un endpoint privato si trova nella directory, è possibile approvare la richiesta di connessione purché siano stati gestiti i privilegi sullo spazio dei nomi di inoltro. Se ci si sta connettendo a uno spazio dei nomi di Inoltro per cui non si dispone di un accesso di gestione, è necessario attendere che il proprietario della risorsa approvi la richiesta di connessione.
Sono disponibili quattro stati di provisioning:
| Azione del servizio | Stato dell'endpoint privato del consumer del servizio | Descrizione |
|---|---|---|
| Nessuna | In sospeso | La connessione viene creata manualmente ed è in attesa di approvazione dal proprietario dello spazio dei nomi di Inoltro di Azure. |
| Approvazione | Approvato | La connessione è stata approvata automaticamente o manualmente ed è pronta per essere usata. |
| Rifiuto | Rifiutato | La connessione è stata rifiutata dal proprietario dello spazio dei nomi di Inoltro di Azure. |
| Rimuovi | Disconnesso | La connessione è stata rimossa dal proprietario dello spazio dei nomi di Inoltro di Azure. L'endpoint privato diventa informativo e deve essere eliminato a scopo di pulizia. |
Approvare, rifiutare o rimuovere una connessione endpoint privato
- Accedere al portale di Azure.
- Nella barra di ricerca digitare Inoltro.
- Selezionare lo spazio dei nomi che si vuole gestire.
- Selezionare la scheda Rete.
- Passare a una delle sezioni seguenti in base all'operazione che si vuole eseguire: approvare, rifiutare o rimuovere.
Approvare una connessione endpoint privato
Se sono presenti connessioni in sospeso, è visualizzata una connessione elencata con In sospeso nello stato di provisioning.
Selezionare l'endpoint privato che si vuole approvare
Selezionare il pulsante Approva.
Nella pagina Approva la connessione immettere un commento facoltativo e selezionare Sì. Se si seleziona No, non accade nulla.
Si noterà che lo stato della connessione nell'elenco è diventato Approvata.
Rifiutare una connessione endpoint privato
Se sono presenti connessioni endpoint private che si desidera rifiutare, se si tratta di una richiesta in sospeso o di una connessione esistente approvata in precedenza, selezionare la connessione all'endpoint e selezionare il pulsante Rifiuta .
Nella pagina Rifiuta la connessione immettere un commento facoltativo e selezionare Sì. Se si seleziona No, non accade nulla.
Si noterà che lo stato della connessione nell'elenco è diventato Rifiutata.
Rimuovere una connessione endpoint privato
Per rimuovere una connessione endpoint privato, selezionarla nell'elenco e selezionare Rimuovi sulla barra degli strumenti.
Nella pagina Elimina connessione selezionare Sì per confermare l'eliminazione dell'endpoint privato. Se si seleziona No, non accade nulla.
Si noterà che lo stato è diventato Disconnessa L'endpoint non verrà quindi visualizzato nell'elenco.
Verificare il funzionamento della connessione di collegamento privato
È necessario verificare che le risorse all'interno della rete virtuale dell'endpoint privato si connettano allo spazio dei nomi dell'inoltro di Azure tramite il relativo indirizzo IP privato.
Per questo test, creare una macchina virtuale seguendo la procedura descritta nell'articolo Creare una macchina virtuale di Windows nel portale di Azure
Nella scheda Rete:
- Specificare Rete virtuale e Subnet. Selezionare il Rete virtuale in cui è stato distribuito l'endpoint privato.
- Specificare una risorsa IP pubblico.
- Per Gruppo di sicurezza di rete della scheda di interfaccia di rete selezionare Nessuno.
- Per Bilanciamento del carico selezionare No.
Connettersi alla macchina virtuale, aprire la riga di comando ed eseguire il comando seguente:
nslookup <your-relay-namespace-name>.servicebus.windows.net
Verrà visualizzato un risultato simile al seguente.
Non-authoritative answer:
Name: <namespace-name>.privatelink.servicebus.windows.net
Address: 10.0.0.4 (private IP address associated with the private endpoint)
Aliases: <namespace-name>.servicebus.windows.net
Limitazioni e considerazioni di progettazione
Considerazioni relative alla progettazione
- per informazioni sui prezzi, vedere Prezzi di Collegamento privato di Azure.
Limiti
- Numero massimo di endpoint privati per spazio dei nomi di Inoltro di Azure: 64.
- Numero massimo di spazi dei nomi di Inoltro di Azure con endpoint privati per sottoscrizione: 64.
- Le regole del gruppo di sicurezza di rete e le route definite dall'utente non si applicano all'endpoint privato. Per altre informazioni, vedere collegamento privato di Azure servizio: Limitazioni
Servizi Microsoft attendibili
Quando si abilita l'impostazione Consenti al servizi Microsoft attendibile di ignorare questa impostazione del firewall, ai servizi seguenti viene concesso l'accesso alle risorse di Inoltro di Azure:
| Servizio attendibile | Scenari di utilizzo supportati |
|---|---|
| Azure Machine Learning | Kubernetes AML usa Inoltro di Azure per facilitare la comunicazione tra i servizi AML e il cluster Kubernetes. Inoltro di Azure è un servizio completamente gestito che fornisce comunicazioni bidirezionali sicure tra applicazioni ospitate in reti diverse. Questa funzionalità lo rende ideale per l'uso in ambienti di collegamento privato, in cui la comunicazione tra le risorse di Azure e le risorse locali è limitata. |
| Azure Arc | I servizi abilitati per Azure Arc associati ai provider di risorse possono connettersi alle connessioni ibride nello spazio dei nomi di Inoltro di Azure come mittente senza essere bloccati dalle regole del firewall IP impostate nello spazio dei nomi inoltro di Azure. Microsoft.Hybridconnectivity il servizio crea le connessioni ibride nello spazio dei nomi di Inoltro di Azure e fornisce le informazioni di connessione al servizio Arc pertinente in base allo scenario. Questi servizi comunicano solo con lo spazio dei nomi di Inoltro di Azure se si usa Azure Arc con i servizi di Azure seguenti: - Azure Kubernetes - Azure Machine Learning - Microsoft Purview |
Gli altri servizi attendibili per Inoltro di Azure sono:
- Griglia di eventi di Azure
- Hub IoT di Azure
- Analisi di flusso di Azure
- Monitoraggio di Azure
- Gestione API di Azure
- Azure Synapse
- Esplora dati di Azure
- Azure IoT Central
- Servizi dati del settore sanitario di Azure
- Gemelli digitali di Azure
Nota
Nella versione 2021-11-01 o successiva di Microsoft Relay SDK, la proprietà "trustedServiceAccessEnabled" è disponibile nelle proprietà Microsoft.Relay/namespaces/networkRuleSets per abilitare l'accesso al servizio attendibile.
Per consentire servizi attendibili nei modelli di Azure Resource Manager, includere questa proprietà nel modello:
"trustedServiceAccessEnabled": "True"
Ad esempio, in base al modello di Resource Manager fornito, è possibile modificarlo in modo da includere questa proprietà Set di regole di rete per l'abilitazione di Servizi attendibili:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespaces_name": {
"defaultValue": "contosorelay0215",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.Relay/namespaces",
"apiVersion": "2021-11-01",
"name": "[parameters('namespaces_name')]",
"location": "East US",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": {}
},
{
"type": "Microsoft.Relay/namespaces/authorizationrules",
"apiVersion": "2021-11-01",
"name": "[concat(parameters('namespaces_sprelayns0215_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.Relay/namespaces/networkRuleSets",
"apiVersion": "2021-11-01",
"name": "[concat(parameters('namespaces_sprelayns0215_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
],
"properties": {
"trustedServiceAccessEnabled": "True",
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"ipRules": [
{
"ipMask": "172.72.157.204",
"action": "Allow"
},
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
}
]
}
}
]
}
Contenuto correlato
- Altre informazioni su Collegamento privato di Azure
- Altre informazioni sul servizio di inoltro di Azure