ما هي خدمة Azure Private Link؟
Azure Private Link هو المرجع إلى خدمتك التي يتم تشغيلها بواسطة Azure Private Link. يمكن تمكين الخدمة التي تعمل خلف موازن الحمل القياسي من Azure للوصول إلى خدمة Private Link بحيث يمكن لمستهلكي خدمتك الوصول إليها بشكل خاص من شبكاتهم الظاهرية. يمكن للعملاء إنشاء نقطة نهاية خاصة داخل الشبكات الظاهرية الخاصة بهم وتعيينها إلى هذه الخدمة. تشرح هذه المقالة المفاهيم المتعلقة بجانب مقدم الخدمة.
الشكل: خدمة Azure Private Link.
سير العمل
الشكل: سير عمل خدمة Azure Private Link.
إنشاء خدمة Private Link
قم بتكوين التطبيق الخاص بك للعمل خلف موازن تحميل قياسي في شبكتك الظاهرية. إذا كان تطبيقك قد تم تكوينه بالفعل خلف موازن تحميل قياسي، يمكنك تخطي هذه الخطوة.
قم بإنشاء خدمة Private Link تشير إلى موازن التحميل أعلاه. في عملية اختيار موازن التحميل، اختر تكوين IP للواجهة الأمامية حيث تريد استقبال نسبة استخدام الشبكة. اختر شبكة فرعية لعناوين IP لـ NAT لخدمة Private Link. يوصى بتوفير ثمانية عناوين IP NAT على الأقل في الشبكة الفرعية. ستظهر كل نسب استخدام الشبكات للمستهلكين وكأنها تنشأ من مجموعة عناوين IP الخاصة هذه إلى موفر الخدمة. اختر الخصائص/الإعدادات المناسبة لخدمة Private Link.
إشعار
يتم دعم خدمة Azure Private Link فقط على موازن التحميل القياسي.
شارك خدمتك
بعد إنشاء خدمة Private Link، سيقوم Azure بإنشاء لقب فريد عالميا يسمى الاسم المستعار استنادا إلى الاسم الذي تقدمه للخدمة الخاصة بك. يمكنك مشاركة الاسم المستعار أو مورد URI الخاص بالخدمة مع العملاء دون اتصال. يمكن للمستهلكين بدء اتصال Private Link باستخدام الاسم المستعار أو URI للمورد.
إدارة طلبات الاتصال
بعد أن يبدأ المستهلك الاتصال، يمكن لمزود الخدمة قبول طلب الاتصال أو رفضه. سيتم إدراج جميع طلبات الاتصال ضمن خاصية privateendpointconnections في خدمة Private Link.
حذف الخدمة
إذا لم تعد خدمة Private Link قيد الاستخدام، يمكنك حذفها. ومع ذلك، قبل حذف الخدمة، تأكد من عدم وجود أية اتصالات نقطة نهاية خاصة مقترنة بها. يمكنك رفض كافة الاتصالات وحذف الخدمة.
خصائص
تحدد خدمة Private Link الخصائص التالية:
| الخاصية | الشرح |
|---|---|
| حالة التوفير (provisioningState) | خاصية للقراءة فقط تسرد حالة التوفير الحالية لخدمة Private Link. حالات التوفير القابلة للتطبيق هي: حذف، فشل، نجاح،*تحديث. عند نجاح حالة التوفير، نجحت في توفير خدمة Private Link. |
| الاسم المستعار (alias) | الاسم المستعار هو سلسلة فريدة للقراءة فقط لخدمتك. يساعدك على إخفاء بيانات العميل لخدمتك وفي الوقت نفسه إنشاء اسم سهل المشاركة لخدمتك. عند إنشاء خدمة Private Link، يقوم Azure بإنشاء الاسم المستعار للخدمة التي يمكنك مشاركته مع العملاء. يمكن للعملاء استخدام هذا الاسم المستعار لطلب اتصال بالخدمة. |
| الرؤية (visibility) | الرؤية هي الخاصية التي تتحكم في إعدادات التعرض لخدمة Private Link. يمكن لموفري الخدمة اختيار الحد من التعرض لخدمتهم للاشتراكات التي لها أذونات التحكم في الوصول المستندة إلى دور Azure. يمكن أيضا استخدام مجموعة مقيدة من الاشتراكات للحد من التعرض. |
| الموافقة التلقائية (autoApproval) | تتحكم الموافقة التلقائية في الوصول التلقائي إلى خدمة Private Link. تتم الموافقة تلقائيًا على الاشتراكات المحددة في قائمة الموافقة التلقائية عند طلب اتصال من نقاط النهاية الخاصة في تلك الاشتراكات. |
| تكوين IP للواجهة الأمامية لموازن التحميل (تكوينات loadBalancerFrontendIp) | ترتبط خدمة Private Link بعنوان IP للواجهة الأمامية لموازن التحميل القياسي. جميع نسبة استخدام الشبكة الموجهة للخدمة ستصل إلى الواجهة الأمامية لـ SLB. يمكنك تكوين قواعد SLB لتوجيه نسبة استخدام الشبكة هذه إلى تجمعات الواجهة الخلفية المناسبة حيث يتم تشغيل تطبيقاتك. تكوينات IP للواجهة الأمامية لموازن التحميل تختلف عن تكوينات IP لـ NAT. |
| تكوين NAT IP (تكوينات ip) | تشير هذه الخاصية إلى تكوين IP لـ NAT (ترجمة عناوين الشبكة) لخدمة Private Link. يمكن اختيار بروتوكول الإنترنت NAT من أي شبكة فرعية في الشبكة الظاهرية لموفر الخدمة. تقوم خدمة Private Link بتنفيذ ترجمة عناوين الشبكة (NAT) على جانب الوجهة على نسبة استخدام الشبكة لخدمة Private Link. تضمن NAT هذه عدم وجود تعارض في IP بين مساحة عنوان المصدر (جانب المستهلك) والوجهة (موفر الخدمة). على جانب الوجهة أو موفر الخدمة، يعرض عنوان NAT IP ك IP مصدر لجميع الحزم التي تتلقاها خدمتك. يتم عرض عنوان IP الوجهة لجميع الحزم المرسلة بواسطة خدمتك. |
| اتصالات نقطة النهاية الخاصة (privateEndpointConnections) | تسرد هذه الخاصية نقاط النهاية الخاصة المتصلة بخدمة Private Link. يمكن لنقاط النهاية الخاصة المتعددة الاتصال بنفس خدمة Private Link، ويمكن لمزود الخدمة التحكم في حالة نقاط النهاية الخاصة الفردية. |
| وكيل TCP V2 (EnableProxyProtocol) | تتيح هذه الخاصية لموفر الخدمة استخدام وكيل tcp v2 لاسترداد معلومات الاتصال حول مستهلك الخدمة. موفر الخدمة مسؤول عن إعداد تكوينات جهاز الاستقبال ليتمكن من تحليل رأس بروتوكول الوكيل v2. |
التفاصيل
يمكن الوصول إلى خدمة Private Link من نقاط النهاية الخاصة المعتمدة في أي منطقة عامة. يمكن الوصول إلى نقطة النهاية الخاصة من نفس الشبكة الظاهرية والشبكات الظاهرية المتناظرة إقليميا. يمكن الوصول إلى نقطة النهاية الخاصة من الشبكات الظاهرية النظيرة عالميا وفي أماكن العمل باستخدام اتصالات VPN أو ExpressRoute الخاصة.
عند إنشاء خدمة Private Link، يتم إنشاء واجهة شبكة لدورة حياة المورد. هذه الواجهة غير قابلة للإدارة من قبل العميل.
يجب توزيع خدمة Private Link في نفس المنطقة، مثل شبكة الاتصال الظاهرية وموازن التحميل القياسي.
يمكن الوصول إلى خدمة ارتباط خاص واحدة من نقاط نهاية خاصة متعددة تنتمي إلى شبكات ظاهرية مختلفة واشتراكات و/أو مستأجري Active Directory. يتم تأسيس الاتصال من خلال سير عمل اتصال.
يمكن إنشاء خدمات Private Link متعددة على موازن التحميل القياسي نفسه باستخدام تكوينات IP للواجهة الأمامية المختلفة. هناك حدود لعدد خدمات Private Link التي يمكنك إنشاؤها لكل موازن تحميل قياسي وكل اشتراك. للحصول على التفاصيل، راجع حدود Azure.
يمكن أن تحتوي خدمة Private Link على أكثر من تكوينات NAT IP مرتبطة بها. يمكن أن يساعد اختيار أكثر من تكوينات NAT IP موفري الخدمة على التوسع. اليوم، يمكن لموفري الخدمات تعيين ما يصل إلى ثمانية عناوين بروتوكول الإنترنت NAT لكل خدمة Private Link. باستخدام كل عنوان IP لـ NAT، يمكنك تعيين المزيد من المنافذ لاتصالات TCP الخاصة بك وبالتالي توسيع نطاقها. بعد إضافة عدة عناوين NAT IP لخدمة Private Link، لا يمكنك حذف عناوين NAT IP. هذا التقييد موجود لضمان عدم تأثر الاتصالات النشطة أثناء حذف عناوين IP NAT.
الاسم المستعار
الاسم المستعار هو اسم فريد عالميًا لخدمتك. يساعدك على إخفاء بيانات العميل لخدمتك وفي الوقت نفسه إنشاء اسم سهل المشاركة لخدمتك. عند إنشاء خدمة Private Link، يقوم Azure بإنشاء اسم مستعار للخدمة التي يمكنك مشاركتها مع العملاء. يمكن للعملاء استخدام هذا الاسم المستعار لطلب اتصال بالخدمة.
يتكون الاسم المستعار من ثلاثة أجزاء: بادئة.المعرف الفريد العمومي.لاحقة
البادئة هي اسم الخدمة. يمكنك اختيار البادئة الخاصة بك. بعد إنشاء "الاسم المستعار"، لا يمكنك تغييره، لذا حدد البادئة بشكل مناسب.
سيتم توفير المعرف الفريد العمومي من خلال النظام الأساسي. يجعل هذا المعرف الفريد العمومي (GUID) الاسم فريدا عالميا.
يتم إلحاق اللاحقة بواسطة Azure: المنطقة.azure.privatelinkservice
الاسم المستعار الكامل: بادئة. {GUID}.المنطقة.azure.privatelinkservice
التحكم في التعرض للخدمة
توفر لك خدمة Private Link ثلاثة خيارات في إعداد الرؤية للتحكم في تعرض الخدمة. يحدد إعداد الرؤية ما إذا كان بإمكان المستهلك الاتصال بالخدمة. فيما يلي خيارات إعداد الرؤية، من الأكثر تقييدًا إلى الأقل تقييدًا:
التحكم في الوصول المستند إلى الدور فقط: إذا كانت خدمتك للاستهلاك الخاص من الشبكات الظاهرية المختلفة التي تملكها، فاستخدم التحكم في الوصول المستند إلى الدور داخل الاشتراكات المقترنة بنفس مستأجر Active Directory. يسمح بالرؤية عبر المستأجرين من خلال التحكم في الوصول المستند إلى الدور.
التقييد حسب الاشتراك:إذا كانت الخدمة الخاصة بك سوف تُستهلك من خلال مستأجرين مختلفين، يمكنك تقييد التعرض لمجموعة محدودة من الاشتراكات التي تثق بها. يمكن الموافقة المسبقة على التخويلات.
أي شخص يحمل الاسم المستعار الخاص بك: إذا كنت تريد جعل خدمتك عامة والسماح لأي شخص لديه الاسم المستعار لخدمة Private Link بطلب اتصال، فحدد هذا الخيار.
التحكم في الوصول إلى الخدمة
يمكن للمستهلكين الذين يخضعون للتعرض للتحكم في إعداد الرؤية لخدمة Private Link إنشاء نقطة نهاية خاصة في شبكاتهم الظاهرية وطلب اتصال بخدمة Private Link. سيتم إنشاء اتصال نقطة النهاية الخاصة في حالة معلقة على كائن خدمة Private Link. يكون موفر الخدمة مسؤولاً عن العمل بناء على طلب الاتصال. يمكنك إما الموافقة على الاتصال أو رفض الاتصال أو حذف الاتصال. يمكن فقط للاتصالات التي تمت الموافقة عليها إرسال نسبة استخدام الشبكة إلى خدمة Private Link.
يمكن أتمتة إجراء الموافقة على الاتصالات باستخدام خاصية الموافقة التلقائية في خدمة Private Link. الموافقة التلقائية هي قدرة لمقدمي الخدمة على الموافقة المسبقة على مجموعة من الاشتراكات للوصول الآلي إلى خدمتهم. سيحتاج العملاء إلى مشاركة اشتراكاتهم دون اتصال لموفري الخدمات لإضافتها إلى قائمة الموافقة التلقائية. الاعتماد التلقائي هو مجموعة فرعية من صفيف الرؤية.
تتحكم الرؤية في إعدادات التعريض الضوئي، بينما تتحكم الموافقة التلقائية في إعدادات الموافقة على الخدمة. إذا طلب عميل اتصالا من اشتراك في قائمة الموافقة التلقائية، تتم الموافقة على الاتصال تلقائيا، ويتم إنشاء الاتصال. لا يحتاج موفرو الخدمة إلى الموافقة على الطلب يدويا. إذا طلب عميل اتصالا من اشتراك في صفيف الرؤية وليس في صفيف الموافقة التلقائية، فسيصل الطلب إلى موفر الخدمة. يجب أن يوافق موفر الخدمة يدويا على الاتصالات.
الحصول على معلومات الاتصال باستخدام وكيل TCP v2
في خدمة الارتباط الخاص، عنوان IP المصدر للحزم القادمة من نقطة النهاية الخاصة هو عنوان الشبكة المترجم (NAT) على جانب موفر الخدمة باستخدام عنوان IP NAT المخصص من الشبكة الظاهرية للموفر. تتلقى التطبيقات عنوان NAT IP المخصص بدلا من عنوان IP المصدر الفعلي لمستهلكي الخدمة. إذا كان التطبيق الخاص بك يحتاج إلى عنوان IP مصدر فعلي من جانب المستهلك، يمكنك تمكين بروتوكول الوكيل على خدمتك واسترداد المعلومات من رأس بروتوكول الوكيل. بالإضافة إلى عنوان IP المصدر، يحمل رأس بروتوكول الوكيل أيضًا LinkID لنقطة النهاية الخاصة. يمكن أن يساعد الجمع بين عنوان IP المصدر وLinkID موفري الخدمات في تحديد مستهلكيهم بشكل فريد.
لمزيد من المعلومات حول بروتوكول الوكيل، تفضل بزيارة هنا.
يتم ترميز هذه المعلومات باستخدام متجه مخصص Type-Length-Value (TLV) كما يلي:
تفاصيل TLV المخصصة:
| الحقل | الطول (الثمانيات) | الوصف |
|---|---|---|
| النوع | 1 | PP2_TYPE_AZURE (0xEE) |
| الطول | 2 | طول القيمة |
| القيمة | 1 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
| 4 | UINT32 (4 بايت) تمثل LINKID لنقطة النهاية الخاصة. مشفرة بتنسيق little endian. |
إشعار
موفر الخدمة مسؤول عن التأكد من تكوين الخدمة خلف موازن التحميل القياسي لتحليل رأس بروتوكول الوكيل وفقا للمواصفات عند تمكين بروتوكول الوكيل على خدمة الارتباط الخاص. سيفشل الطلب إذا تم تمكين إعداد بروتوكول الوكيل على خدمة الارتباط الخاص ولكن لم يتم تكوين خدمة موفر الخدمة لتحليل العنوان. سيفشل الطلب إذا كانت خدمة موفر الخدمة تتوقع رأس بروتوكول وكيل بينما لم يتم تمكين الإعداد على خدمة الارتباط الخاص. بمجرد تمكين إعداد بروتوكول الوكيل، سيتم أيضا تضمين عنوان بروتوكول الوكيل في تحقيقات صحة HTTP/TCP من المضيف إلى الأجهزة الظاهرية الخلفية. معلومات العميل غير مضمنة في العنوان.
يمكن العثور على المطابقة LINKID التي تعد جزءا من بروتوكول PROXYv2 (TLV) في كخاصية PrivateEndpointConnectionlinkIdentifier.
لمزيد من المعلومات، راجع Private Link Services API.
القيود
فيما يلي القيود المعروفة عند استخدام خدمة Private Link:
معتمد فقط على موازن التحميل القياسي. غير معتمد على موازن التحميل الأساسي.
مدعوم فقط على موازن التحميل القياسي حيث يتم تكوين تجمع الخلفية بواسطة NIC. غير مدعوم على موازن التحميل القياسي حيث يتم تكوين تجمع الواجهة الخلفية بواسطة عنوان IP.
يدعم نسبة استخدام الشبكة IPv4 فقط
يدعم نسبة استخدام الشبكة TCP وUDP فقط
تحتوي خدمة Private Link Service على مهلة خامدة تبلغ حوالي 5 دقائق (300 ثانية). لتجنب الوصول إلى هذا الحد، يجب أن تستخدم التطبيقات التي تتصل من خلال Private Link Service TCP Keepalives أقل من ذلك الوقت.
بالنسبة لقاعدة NAT الواردة مع تعيين النوع إلى تجمع الواجهة الخلفية للعمل مع Azure Private Link Service، يجب تكوين قاعدة موازنة التحميل.