專業提供企業網絡專線 、MPLS VPN、SD-WAN、IPLC、IPLC、海外IDC、云專線等技術方案。
咨詢熱線:400-028-9798

IPLC

Azure PaaS的專用鏈接和虛擬網絡對等互聯

發布時間:2021-08-08 14:21:25來源:未知作者:大V閱讀:

[導讀]: 本文以Azure Functions為例,介紹如下內容: 1. Azure PaaS服務的專用鏈接創建; 2.虛擬網絡互聯的VNET B的虛擬機如何訪問互聯VNET A 的專用終結點; 當我們創建了一個默認的Azure Functions時,是...

本文以Azure Functions為例,介紹如下內容:

1. Azure PaaS服務的專用鏈接創建;

2.虛擬網絡互聯的VNET B的虛擬機如何訪問互聯VNET A 的專用終結點;

當我們創建了一個默認的Azure Functions時,是可以通過域名在公網進行訪問的,例如 通過https://myfunc01.azurewebsites.net訪問,可以看到如下頁面:

Azure PaaS的專用鏈接和虛擬網絡對等互聯

但有些場景下,我們只希望云端的虛擬機可以訪問Function,而公網的其他計算機無法訪問這個Function。

此時,我們就可以為Paas服務(本例中的Azure Functions )配置專用網絡鏈接以實現這個效果。

Private Link(專用終結點連接) 是Azure較新的功能。

通過Private Link,PaaS資源加入到Virtual Network里,并在Virtual Network上獲得一個專用的Private IP地址。

虛擬機的流量不會離開Virtual Network,直接訪問到PaaS資源的Private IP。

具體如下:

通過配置private link,可以實現如下效果:

1. 公網的計算機,例如圖中的 your laptop 無法通過域名訪問 Azure Functions;

2. 虛擬網絡VNET-001里的vm-in-vnet-001可以通過域名訪問Azure Functions;

3. 對等虛擬網絡VNET-002中的虛擬機vm-in-vnet-002可以通過域名訪問Azure Functions;

Azure PaaS的專用鏈接和虛擬網絡對等互聯

準備工作:

1. 創建兩個資源組,分別為rg-001和rg-002;

2. 在rg-001下創建虛擬網絡VNET-001,地址空間為 10.1.0.0/16,默認子網default,地址空間為10.1.0.0/24;

Azure PaaS的專用鏈接和虛擬網絡對等互聯

3. 在rg-002下創建虛擬網絡VENT-002,地址空間為10.2.0.0/16,默認子網default,地址空間為10.2.0.0/24;

Azure PaaS的專用鏈接和虛擬網絡對等互聯

4. 創建虛擬網絡對等互聯:

Azure PaaS的專用鏈接和虛擬網絡對等互聯

5. 在rg-001中創建Azure Functions,計劃類型為 高級計劃,其他配置參數見下圖:

Azure PaaS的專用鏈接和虛擬網絡對等互聯

注意計劃類型,選擇高級或者應用服務計劃。

消耗計劃不支持專用鏈接,可參照官網文檔:

https://docs.microsoft.com/zh-cn/azure/azure-functions/functions-networking-options?WT.mc_id=AZ-MVP-5003757#private-endpoint-connections

Azure PaaS的專用鏈接和虛擬網絡對等互聯

6. 為Azure Functions 配置專用鏈接Private Link

Azure PaaS的專用鏈接和虛擬網絡對等互聯

Azure PaaS的專用鏈接和虛擬網絡對等互聯

Azure PaaS的專用鏈接和虛擬網絡對等互聯

Azure PaaS的專用鏈接和虛擬網絡對等互聯

Azure PaaS的專用鏈接和虛擬網絡對等互聯

Azure PaaS的專用鏈接和虛擬網絡對等互聯

7. 在VNET-002 下創建vm-in-vnet-002并驗證對Azure Functions的訪問結果

vm創建信息如下:

資源組rg-002,VNET:VNET-002

Azure PaaS的專用鏈接和虛擬網絡對等互聯

待虛擬機創建完成,登錄虛擬機中嘗試通過域名 https://myfunc001.azurewebsites.net  訪問Azure Functions

結果如下:仍然無法訪問。

Azure PaaS的專用鏈接和虛擬網絡對等互聯

8.排查對等互聯VNET中虛擬機無法訪問Priviate Link 的問題

觀察專用DNS中的記錄,發現Function的 A記錄已經配置正確,

Azure PaaS的專用鏈接和虛擬網絡對等互聯

如下解析得出,訪問域名仍然解析到了Functions的公網IP 13.75.34.175上,

那么則可能是 虛擬機 vm-in-vnet-002中的DNS解析錯誤導致的。

Azure PaaS的專用鏈接和虛擬網絡對等互聯

檢查虛擬網絡鏈接,果然只有到VNET-001的鏈接,故而VNET-002的虛擬機無法使用 專用 DNS區域進行解析。

Azure PaaS的專用鏈接和虛擬網絡對等互聯

增加虛擬網絡VNET-002 和 專用DNS區域的綁定關系:

增加如下配置:

Azure PaaS的專用鏈接和虛擬網絡對等互聯

待生效后,重新測試成功:

如下圖,Azure Functions可以正常訪問,同時vm-in-vnet-002解析的IP地址也變成了10.0.0.4 的專用IP地址。

Azure PaaS的專用鏈接和虛擬網絡對等互聯

總結Private Link的主要支持場景:

允許通過VPN或ExpressRoute從本地DC訪問云端的PaaS服務的Private IP;

通過同一個Virtual Network里的Azure VM訪問Azure SQL/Functions/Cosmos DB 等,同時公網VM無法通過域名訪問PaaS;

通過VNet Peering的VNet進行訪問,比如VNet A里的VM,訪問Peering VNet B里的Functions 服務;

以上就是Azure PaaS的專用鏈接和虛擬網絡對等互聯的介紹。如果你還有其他問題,歡迎進行咨詢探討,希望VeCloud的專業的解決方案,可以解決你目前遇到的問題。Vecloud提供全球主機托管、服務器租用、mpls專線接入、SD-WAN組網等方面的專業服務,資源覆蓋全球。歡迎咨詢。

免責聲明:部分文章信息來源于網絡以及網友投稿,本網站只負責對文章進行整理、排版、編輯,是出于傳遞 更多信息之目的,并不意味著贊同其觀點或證實其內容的真實性,如本站文章和轉稿涉及版權等問題,請作者在及時聯系我們本站,我們會盡快處理。

標題:Azure PaaS的專用鏈接和虛擬網絡對等互聯

TAG標簽: 企業專線

地址:http://www.indiamait.com/hangyedongtai/333.html

常見問題