Freigeben über

Tutorial: Erstellen einer privaten Endpunkt-DNS-Infrastruktur mit Azure Private Resolver für eine On-Premises-Workload

Wenn ein privater Azure-Endpunkt erstellt wird, verwendet er für die Namensauflösung standardmäßig private Azure DNS-Zonen. Damit lokale Workloads auf den Endpunkt zugreifen konnten, waren eine Weiterleitung zu einem virtuellen Computer in Azure, der DNS hostet, oder lokale DNS-Datensätze für den privaten Endpunkt erforderlich. Dank Azure Private DNS Resolver ist es nicht erforderlich, einen virtuellen Computer in Azure für DNS bereitzustellen oder die DNS-Einträge des privaten Endpunkts auf einem lokalen DNS-Server zu verwalten.

Diagramm der im Tutorial erstellten Azure-Ressourcen.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen Sie ein virtuelles Azure-Netzwerk für das Cloudnetzwerk und ein simuliertes lokales Netzwerk mit Peering virtueller Netzwerke.
  • Erstellen Sie eine Azure-Web-App, um eine Cloudressource zu simulieren.
  • Erstellen Sie im virtuellen Azure-Netzwerk einen privaten Azure-Endpunkt für die Web-App.
  • Erstellen Sie einen Azure Private Resolver im Cloudnetzwerk.
  • Erstellen Sie im simulierten lokalen Netzwerk einen virtuellen Azure-Computer, um die DNS-Auflösung für die Web-App zu testen.

Hinweis

Ein virtuelles Azure-Netzwerk mit Peering wird für die Zwecke dieses Tutorials zur Simulation eines lokalen Netzwerks verwendet. In einem Produktionsszenario ist eine ExpressRoute- oder Site-to-Site-VPN-Verbindung erforderlich, um für den Zugriff auf den privaten Endpunkt eine Verbindung mit dem virtuellen Azure-Netzwerk herzustellen.

Das simulierte Netzwerk wird mit Azure DNS Private Resolver als DNS-Server des virtuellen Netzwerks konfiguriert. In einem Produktionsszenario verwenden die lokalen Ressourcen einen lokalen DNS-Server zur Namensauflösung. Eine bedingte Weiterleitung an den Azure Private Resolver wird auf dem lokalen DNS-Server verwendet, um die DNS-Einträge des privaten Endpunkts aufzulösen. Weitere Informationen zur Konfiguration bedingter Weiterleitungen für Ihren DNS-Server finden Sie in der Dokumentation Ihres Anbieters.

Voraussetzungen

Anmelden bei Azure

Melden Sie sich mit Ihrem Azure-Konto beim Azure-Portal an.

Überblick

Für die Ressourcen im Tutorial werden ein virtuelles Netzwerk für die Azure-Web-App und ein simuliertes lokales Netzwerk verwendet. Sie erstellen zwei virtuelle Netzwerke und richten ein Peering für sie ein, um eine ExpressRoute- oder VPN-Verbindung zwischen der lokalen Umgebung und Azure zu simulieren. Ein Azure Bastion-Host wird im simulierten lokalen Netzwerk bereitgestellt, um eine Verbindung mit der Test-VM herzustellen. Die Test-VM wird verwendet, um die Verbindung des privaten Endpunkts mit der Web-App und die DNS-Auflösung zu testen.

In diesem Tutorial werden die folgenden Ressourcen verwendet, um eine lokale und eine Cloudnetzwerkinfrastruktur zu simulieren:

Ressource Name Beschreibung
Simuliertes lokales virtuelles Netzwerk vnet-1 Das virtuelle Netzwerk, das ein lokales Netzwerk simuliert.
Virtuelles Cloudnetzwerk vnet-2 Das virtuelle Netzwerk, in dem die Azure-Web-App bereitgestellt wird.
Bastionhost Bastion Bastion-Host, der zum Herstellen einer Verbindung mit dem virtuellen Computer im simulierten lokalen Netzwerk verwendet wird.
Test virtuelle Maschine vm-1 Virtuelle Maschine, die zum Testen der Verbindung des privaten Endpunkts mit der Web-App und der DNS-Auflösung verwendet wird.
Virtueller Netzwerk-Peer vnet-1-to-vnet-2 Virtueller Netzwerk-Peer zwischen dem simulierten lokalen Netzwerk und dem virtuellen Cloudnetzwerk.
Virtueller Netzwerk-Peer vnet-2-to-vnet-1 Virtueller Netzwerk-Peer zwischen dem virtuellen Cloudnetzwerk und dem simulierten lokalen Netzwerk.

Erstellen einer Ressourcengruppe

Eine Ressourcengruppe ist ein logischer Container für Azure-Ressourcen. Mit diesem Verfahren wird eine Ressourcengruppe für alle ressourcen erstellt, die in diesem Lernprogramm verwendet werden.

  1. Suchen Sie im Portal nach Ressourcengruppen, und wählen Sie die Option aus.

  2. Wählen Sie auf der Seite Ressourcengruppen+ Erstellen aus.

  3. Geben Sie auf der Registerkarte " Grundlagen " die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Abonnement Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Geben Sie test-rg ein.
    Details zur Ressource
    Region Wählen Sie USA, Osten 2 aus.

  4. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

Erstellen eines virtuellen Netzwerks

Mit dem folgenden Verfahren wird ein virtuelles Netzwerk mit einem Ressourcensubnetz erstellt.

  1. Suchen Sie im Portal nach der Option Virtuelle Netzwerke und wählen Sie sie aus.

  2. Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.

  3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Abonnement Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie vnet-1 ein.
    Region Wählen Sie USA, Osten 2 aus.

  4. Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu gelangen.

  5. Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu gelangen.

  6. Wählen Sie im Feld für den Adressraum unter Subnetze das Standardsubnetz aus.

  7. Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Subnetzdetails
    Subnetzvorlage Belassen Sie den Standard Default.
    Name Geben Sie subnet-1 ein.
    Startadresse Lassen Sie den Standardwert 10.0.0.0.
    Subnetzgröße Übernehmen Sie den Standardwert: /24 (256 Adressen).

  8. Wählen Sie Speichern.

  9. Wählen Sie am unteren Bildschirmrand Überprüfen + erstellen aus, und wenn die Validierung erfolgreich ist, wählen Sie Erstellen aus.

Bereitstellen von Azure Bastion

Azure Bastion verwendet Ihren Browser, um mithilfe der privaten IP-Adressen eine Verbindung mit VMs in Ihrem virtuellen Netzwerk über Secure Shell (SSH) oder das Remotedesktopprotokoll (RDP) herzustellen. Die VMs benötigen keine öffentlichen IP-Adressen, keine Clientsoftware und keine spezielle Konfiguration. Weitere Informationen zu Azure Bastion finden Sie unter Azure Bastion.

Hinweis

Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.

  1. Geben Sie am oberen Rand des Portals den Suchbegriff Bastion in das Suchfeld ein. Wählen Sie Bastionen in den Suchergebnissen aus.

  2. Wählen Sie + Erstellen aus.

  3. Geben Sie auf der Registerkarte " Grundlagen " von " Bastion erstellen" die folgenden Informationen ein, oder wählen Sie die folgenden Informationen aus:

    Einstellung Wert
    Projektdetails
    Abonnement Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie bastion ein.
    Region Wählen Sie USA, Osten 2 aus.
    Tarif Wählen Sie Entwickler aus.
    Konfigurieren virtueller Netzwerke
    Virtuelles Netzwerk Wählen Sie vnet-1 aus.

  4. Klicken Sie auf Überprüfen + erstellen.

  5. Klicken Sie auf Erstellen.

Es dauert einige Minuten, bis die Bereitstellung des Bastionhosts abgeschlossen ist. Der Bastionhost wird im weiteren Verlauf des Tutorials verwendet, um zum Testen des privaten Endpunkts eine Verbindung mit dem „lokalen“ virtuellen Computer herzustellen. Sobald das virtuelle Netzwerk erstellt ist, können Sie mit den nächsten Schritten fortfahren.

Erstellen eines virtuellen Netzwerks in der Cloud

Wiederholen Sie die vorherigen Schritte, um ein virtuelles Cloudnetzwerk für den privaten Azure Web-App-Endpunkt zu erstellen. Ersetzen Sie die Werte durch die folgenden Werte für das virtuelle Cloudnetzwerk:

Hinweis

Der Abschnitt „Azure Bastion-Bereitstellung“ kann für das virtuelle Cloudnetzwerk übersprungen werden. Der Bastion-Host ist nur für das simulierte lokale Netzwerk erforderlich.

Einstellung Wert
Name vnet-2
Standort USA (Ost) 2
Adressraum 10.1.0.0/16
Subnetzname subnet-1
Subnetzadressbereich 10.1.0.0/24

Erstellen eines virtuellen Netzwerkpeers

Führen Sie die folgenden Schritte aus, um einen bidirektionalen Netzwerkpeer zwischen vnet1 und vnet2 zu erstellen.

  1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

  2. Wählen Sie vnet-1 aus.

  3. Wählen Sie unter Einstellungen die Option Peerings aus.

  4. Klicken Sie auf + Hinzufügen.

  5. Geben Sie unter Peering hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Zusammenfassung zu Remoten virtuellen Netzwerken
    Name des Peeringlinks Geben Sie vnet-2-to-vnet-1 ein.
    Bereitstellungsmodell für das virtuelle Netzwerk Belassen Sie den Standardwert von Ressourcen-Manager.
    Abonnement Wählen Sie Ihr Abonnement aus.
    Virtuelles Netzwerk Wählen Sie vnet-2 aus.
    Einstellungen für das Peering virtueller Remotenetzwerke
    Erlauben Sie „vnet-2“ den Zugriff auf „vnet-1“ Belassen Sie die aktuelle Standardeinstellung bei „Ausgewählt“.
    „vnet-2“ ermöglichen, weitergeleiteten Datenverkehr von „vnet-1“ zu empfangen Aktivieren Sie das Kontrollkästchen.
    Gateway oder Routenserver in „vnet-2“ ermöglichen, Datenverkehr an „vnet-1“ weiterzuleiten Belassen Sie den Standardwert von „gelöscht“.
    „vnet-2“ die Verwendung des Remotegateways oder Routenservers von „vnet-1“ ermöglichen Belassen Sie den Standardwert von „gelöscht“.
    Zusammenfassung des Peerings lokaler virtueller Netzwerke
    Name des Peeringlinks Geben Sie vnet-1-to-vnet-2 ein.
    Einstellungen für das Peering lokaler virtueller Netzwerke
    Erlaube 'vnet-1', auf 'vnet-2' zuzugreifen Belassen Sie die aktuelle Standardeinstellung bei „Ausgewählt“.
    Zulassen, dass „vnet-1“ weitergeleiteten Datenverkehr von „vnet-2“ empfangen kann Aktivieren Sie das Kontrollkästchen.
    Erlauben Sie dem Gateway oder Routenserver in „vnet-1“, den Datenverkehr an „vnet-2“ weiterzuleiten. Belassen Sie den Standardwert von „gelöscht“.
    Ermöglichen Sie „vnet-1“, das Remotegateway oder den Routenserver von „vnet-2“ zu verwenden Belassen Sie den Standardwert von „gelöscht“.

    Screenshot von „Peering hinzufügen“ im Azure-Portal.

  6. Wählen Sie Hinzufügen aus.

Erstellen einer Web-App

  1. Geben Sie oben im Portal in das Suchfeld App Service ein. Wählen Sie in den Suchergebnissen App Services aus.

  2. Wählen Sie + Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundlagen von Web-App erstellen die folgenden Informationen ein, bzw. wählen Sie sie aus.

    Einstellung Wert
    Projektdetails
    Abonnement Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie einen eindeutigen Namen für die Web-App ein. Der Name webapp8675 wird für die Beispiele in diesem Tutorial verwendet.
    Veröffentlichen Wählen Sie Code aus.
    Laufzeitstapel Wählen Sie .NET 6 (LTS) aus.
    Betriebssystem Wählen Sie Windows aus.
    Region Wählen Sie USA, Osten 2 aus.
    Tarife
    Windows-Plan (Westliches USA 2) Belassen Sie den Standardnamen.
    Preisplan Wählen Sie Größe ändern aus.

  4. Wählen Sie in Spec PickerProduktion als Workload aus.

  5. Wählen Sie unter Empfohlene Tarife die Option P1V2 aus.

  6. Wählen Sie Übernehmen.

  7. Wählen Sie Weiter: Bereitstellung aus.

  8. Klicken Sie auf Weiter: Netzwerk.

  9. Ändern Sie „Öffentlichen Zugriff aktivieren“ in „false“.

  10. Klicken Sie auf Überprüfen + erstellen.

  11. Klicken Sie auf Erstellen.

Erstellen eines privaten Endpunkts

Ein privater Azure-Endpunkt erstellt eine Netzwerkschnittstelle für einen unterstützten Azure-Dienst in Ihrem virtuellen Netzwerk. Der private Endpunkt ermöglicht den Zugriff auf den Azure-Dienst über eine private Verbindung in Ihrem virtuellen Azure- oder lokalen Netzwerk.

Sie erstellen einen privaten Endpunkt für die zuvor von Ihnen erstellte Web-App.

  1. Geben Sie im oberen Bereich des Portals den Suchbegriff Privater Endpunkt in das Suchfeld ein. Wählen Sie Private Endpunkte in den Suchergebnissen aus.

  2. Wählen Sie + Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundlagen von Privaten Endpunkt erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Abonnement Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie private-endpoint ein.
    Name der Netzwerkschnittstelle Belassen Sie den Standardnamen.
    Region Wählen Sie USA, Osten 2 aus.

  4. Klicken Sie auf Weiter: Ressource.

  5. Geben Sie auf der Registerkarte Ressource die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Verbindungsmethode Wählen Sie Mit einer Azure-Ressource in meinem Verzeichnis verbinden aus.
    Abonnement Wählen Sie Ihr Abonnement aus.
    Ressourcentyp Wählen Sie Microsoft.Web/sites aus.
    Ressource Wählen Sie Ihre Web-App aus. Der Name webapp8675 wird für die Beispiele in diesem Tutorial verwendet.
    Unterressource des Ziels Wählen Sie Sites aus.

  6. Wählen Sie Weiter: Virtuelles Netzwerk aus.

  7. Geben Sie auf der Registerkarte Virtuelles Netzwerk die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Netzwerk
    Virtuelles Netzwerk Wählen Sie vnet-2 (test-rg) aus.
    Teilnetz Wählen Sie subnet-1 aus.
    Netzwerkrichtlinie für private Endpunkte Lassen Sie die Standardeinstellung Deaktiviert.
    Konfiguration der privaten IP-Adresse Wählen Sie statisch zugewiesene IP-Adresse aus.
    Name Geben Sie ipconfig-1 ein.
    Private IP-Adresse Geben Sie 10.1.0.10 ein.

  8. Wählen Sie Weiter: DNS aus.

  9. Lassen Sie die Standardwerte in der Registerkarte DNS.

  10. Wählen Sie Weiter: Tags und dann Weiter: Überprüfen + erstellen aus.

  11. Klicken Sie auf Erstellen.

Erstellen eines privaten Resolvers

Sie erstellen einen privaten Resolver im virtuellen Netzwerk, in dem sich der private Endpunkt befindet. Der Resolver empfängt DNS-Anforderungen von der simulierten lokalen Workload. Diese Anforderungen werden an das von Azure bereitgestellte DNS weitergeleitet. Das von Azure bereitgestellte DNS löst die Azure Privates DNS-Zone für den privaten Endpunkt auf und gibt die IP-Adresse an die lokale Workload zurück.

  1. Geben Sie oben im Portal den Suchbegriff DNS Private Resolver in das Suchfeld ein. Wählen Sie in den Suchergebnissen DNS Private Resolver aus.

  2. Wählen Sie + Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundlagen unter DNS Private Resolver erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Abonnement Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie private-resolver ein.
    Region Wählen Sie (USA) Ost US 2 aus.
    Virtuelles Netzwerk
    Virtual Network Wählen Sie vnet-2 aus.

  4. Wählen Sie Weiter: Eingehende Endpunkte aus.

  5. Wählen Sie in Eingehende Endpunkte die Option + Endpunkt hinzufügen aus.

  6. Geben Sie unter Eingehenden Endpunkt hinzufügen die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Endpunktname Geben Sie inbound-endpoint ein.
    Teilnetz Wählen Sie Neu erstellen.
    Geben Sie subnet-resolver in Name ein.
    Belassen Sie den Standard-Subnetzadressbereich.
    Wählen Sie Erstellen aus.

  7. Wählen Sie Speichern.

  8. Klicken Sie auf Überprüfen + erstellen.

  9. Klicken Sie auf Erstellen.

Wenn die Bereitstellung des privaten Resolvers abgeschlossen ist, fahren Sie mit den nächsten Schritten fort.

Einrichten von DNS für das simulierte Netzwerk

Mit den folgenden Schritten wird der private Resolver als primärer DNS-Server für das simulierte lokale Netzwerk vnet-1 festgelegt.

In einer Produktionsumgebung sind diese Schritte nicht erforderlich und dienen nur dazu, die DNS-Auflösung für den privaten Endpunkt zu simulieren. Ihr lokaler DNS-Server verfügt über eine bedingte Weiterleitung an diese IP-Adresse, um die DNS-Einträge des privaten Endpunkts im lokalen Netzwerk aufzulösen.

  1. Geben Sie oben im Portal den Suchbegriff DNS Private Resolver in das Suchfeld ein. Wählen Sie in den Suchergebnissen DNS Private Resolver aus.

  2. Wählen Sie private-resolver aus.

  3. Wählen Sie unter Einstellungen die Option Eingehende Endpunkte aus.

  4. Notieren Sie sich die IP-Adresse des Endpunkts namens inbound-endpoint. Im Beispiel für dieses Tutorial lautet die IP-Adresse 10.1.1.4.

  5. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

  6. Wählen Sie vnet-1 aus.

  7. Wählen Sie unter Einstellungen die Option DNS-Server aus.

  8. Wählen Sie unter DNS-Server die Option Benutzerdefiniert aus.

  9. Geben Sie die IP-Adresse ein, die Sie zuvor notiert haben. Im Beispiel für dieses Tutorial lautet die IP-Adresse 10.1.1.4.

  10. Wählen Sie Speichern.

Erstellen eines virtuellen Testcomputers

Mit dem folgenden Verfahren wird im virtuellen Netzwerk eine Test-VM mit dem Namen vm-1 erstellt.

  1. Suchen Sie im Portal nach Virtuelle Computer, und klicken Sie darauf.

  2. Wählen Sie unter VM die Option + Erstellen und dann Azure-VM aus.

  3. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Abonnement Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie test-rg aus.
    Instanzendetails
    Name des virtuellen Computers Geben Sie vm-1 ein.
    Region Wählen Sie USA, Osten 2 aus.
    Verfügbarkeitsoptionen Wählen Sie die Option Keine Infrastrukturredundanz erforderlich aus.
    Sicherheitstyp Lassen Sie den Standardwert Standard.
    Bild Wählen Sie Windows Server 2022 Datacenter – x64 Gen2 aus.
    VM-Architektur Übernehmen Sie den Standardwert x64.
    Größe Wählen Sie eine Größe aus.
    Administratorkonto
    Authentifizierungsart Wählen Sie Kennwort aus.
    Username Geben Sie azureuser ein.
    Kennwort Geben Sie ein Kennwort ein.
    Kennwort bestätigen Geben Sie das Kennwort erneut ein.
    Regeln für eingehende Ports
    Öffentliche Eingangsports Wählen Sie Keine.

  4. Wählen Sie oben auf der Seite die Registerkarte Netzwerk aus.

  5. Geben Sie auf der Registerkarte Netzwerk die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Netzwerkschnittstelle
    Virtuelles Netzwerk Wählen Sie vnet-1 aus.
    Teilnetz Wählen Sie Subnetz-1 (10.0.0.0/24) aus.
    Öffentliche IP-Adresse Wählen Sie Keine.
    NIC-Netzwerksicherheitsgruppe Wählen Sie Erweitertaus.
    Konfigurieren von Netzwerksicherheitsgruppen Wählen Sie Neu erstellen.
    Geben Sie nsg-1 für Name ein.
    Behalten Sie für den Rest die Standards bei, und wählen Sie OK aus.

  6. Behalten Sie für die restlichen Einstellungen die Standards bei, und wählen Sie dann Überprüfen + erstellen aus.

  7. Überprüfen Sie die Einstellungen, und wählen Sie Erstellen aus.

Hinweis

VMs in einem virtuellen Netzwerk mit einem Bastionhost benötigen keine öffentlichen IP-Adressen. Bastion stellt die öffentliche IP-Adresse bereit und die VMs verwenden private IP-Adressen für die Kommunikation innerhalb des Netzwerks. Sie können die öffentlichen IP-Adressen von allen VMs in von Bastion gehosteten virtuellen Netzwerken entfernen. Weitere Informationen finden Sie unter Trennen einer öffentlichen IP-Adresse von einer Azure-VM.

Hinweis

Azure stellt eine ausgehende Standardzugriffs-IP für VMs bereit, denen keine öffentliche IP-Adresse zugewiesen ist oder die sich im Backendpool eines internen grundlegenden Azure-Lastenausgleichs befinden. Der Mechanismus für Standard-IP-Adressen für den ausgehenden Zugriff stellt eine ausgehende IP-Adresse bereit, die nicht konfigurierbar ist.

Die Standard-IP-Adresse für ausgehenden Zugriff ist deaktiviert, wenn eines der folgenden Ereignisse auftritt:

  • Dem virtuellen Computer wird eine öffentliche IP-Adresse zugewiesen.
  • Die VM wird im Back-End-Pool eines Standardlastenausgleichs platziert (mit oder ohne Ausgangsregeln).
  • Dem Subnetz der VM wird eine Azure NAT Gateway-Ressource zugewiesen.

VMs, die Sie mithilfe von VM-Skalierungsgruppen im Orchestrierungsmodus „Flexibel“ erstellen, haben keinen ausgehenden Standardzugriff.

Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter Standardzugriff in ausgehender Richtung in Azure und Verwenden von SNAT (Source Network Address Translation) für ausgehende Verbindungen.

Testen der Verbindung mit dem privaten Endpunkt

In diesem Abschnitt verwenden Sie die VM, die Sie im vorherigen Schritt erstellt haben, um über den privaten Endpunkt eine Verbindung mit der Web-App herzustellen.

  1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

  2. Wählen Sie vm-1 aus.

  3. Wählen Sie in der Übersicht für vm-1 die Option Verbinden und dann Bastion aus.

  4. Geben Sie Benutzernamen und Kennwort ein, die Sie beim Erstellen des virtuellen Computers festgelegt haben.

  5. Wählen Sie die Schaltfläche Verbinden aus.

  6. Öffnen Sie Windows PowerShell auf dem Server, nachdem Sie eine Verbindung hergestellt haben.

  7. Geben Sie nslookup <webapp-name>.azurewebsites.net ein. Ersetzen Sie <webapp-name> durch den Namen der Web-App, die Sie in den vorherigen Schritten erstellt haben. Sie erhalten eine Meldung ähnlich der folgenden Ausgabe:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    webapp.privatelink.azurewebsites.net
Address:  10.1.0.10
Aliases:  webapp.azurewebsites.net

    Als Name der Web-App wird die private IP-Adresse 10.1.0.10 zurückgegeben. Diese Adresse befindet sich im Subnetz subnet-1 des virtuellen Netzwerks vnet-2, das Sie zuvor erstellt haben.

  8. Öffnen Sie Microsoft Edge, und geben Sie die URL Ihrer Web-App ein: https://<webapp-name>.azurewebsites.net.

  9. Vergewissern Sie sich, dass die Standardseite der Web-App angezeigt wird.

  10. Trennen Sie die Verbindung mit vm-1.

  11. Öffnen Sie einen Webbrowser auf Ihrem lokalen Computer, und geben Sie die URL Ihrer Web-App ein, https://<webapp-name>.azurewebsites.net.

  12. Vergewissern Sie sich, dass eine 403-Fehlerseite angezeigt wird. Diese Seite zeigt an, dass nicht von extern auf die Web-App zugegriffen werden kann.

Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen.

  1. Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.

  2. Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.

  3. Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.

  4. Geben Sie test-rg unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen und wählen Sie dann Löschen aus.

Nächste Schritte

In diesem Tutorial haben Sie erfahren, wie Sie einen privaten Resolver und privaten Endpunkt bereitstellen. Sie haben die Verbindung mit dem privaten Endpunkt in einem simulierten lokalen Netzwerk getestet.

Fahren Sie mit dem nächsten Artikel fort, und lernen Sie das...

Herstellen einer Verbindung mit einem Azure SQL-Server über einen privaten Azure-Endpunkt

  • Last updated on