Co je privátní koncový bod?
Privátní koncový bod je síťové rozhraní, které používá privátní IP adresu z vaší virtuální sítě. Toto síťové rozhraní vás privátně a zabezpečeně připojí ke službě využívající službu Azure Private Link. Povolením privátního koncového bodu přenesete tu službu do své virtuální sítě.
Služba může být služba Azure, například:
- Azure Storage
- Azure Cosmos DB
- Azure SQL Database
- Vlastní služba využívající službu Private Link.
Vlastnosti privátního koncového bodu
Privátní koncový bod určuje následující vlastnosti:
| Vlastnost | Popis |
|---|---|
| Name | Jedinečný název v rámci skupiny prostředků |
| Podsíť | Podsíť, která se má nasadit, kde je přiřazená privátní IP adresa. Požadavky na podsíť najdete v části Omezení dále v tomto článku. |
| Prostředek private-link | Prostředek privátního propojení, který se má připojit pomocí ID nebo aliasu prostředku, ze seznamu dostupných typů. Pro veškerý provoz odesílaný do tohoto prostředku se vygeneruje jedinečný identifikátor sítě. |
| Cílový podsourc | Podsourc, který se má připojit. Každý typ prostředku privátního propojení má různé možnosti výběru na základě preference. |
| metoda schválení Připojení ion | Automatické nebo ruční. V závislosti na oprávněních řízení přístupu na základě role v Azure je možné privátní koncový bod schválit automaticky. Pokud se připojujete k prostředku privátního propojení bez oprávnění založených na rolích Azure, pomocí ruční metody povolte vlastníkovi prostředku schválení připojení. |
| Žádost o zprávu | Můžete zadat zprávu pro požadovaná připojení, která se mají schválit ručně. Tuto zprávu lze použít k identifikaci konkrétního požadavku. |
| Stav připojení | Vlastnost jen pro čtení, která určuje, jestli je privátní koncový bod aktivní. K odesílání provozu je možné použít pouze privátní koncové body ve schváleném stavu. Další dostupné stavy: |
Při vytváření privátních koncových bodů zvažte následující:
Privátní koncové body umožňují připojení mezi zákazníky ze stejného:
- Virtuální síť
- Virtuální sítě v místním partnerském vztahu
- Virtuální sítě v globálním partnerském vztahu
- Místní prostředí, která používají vpn nebo ExpressRoute
- Služby, které využívají službu Private Link
Síťová připojení můžou iniciovat jenom klienti, kteří se připojují k privátnímu koncovému bodu. Poskytovatelé služeb nemají konfiguraci směrování pro vytváření připojení k zákazníkům služeb. Připojení iony lze navázat pouze jedním směrem.
Síťové rozhraní jen pro čtení se automaticky vytvoří pro životní cyklus privátního koncového bodu. Rozhraní má přiřazenou dynamickou privátní IP adresu z podsítě, která se mapuje na prostředek privátního propojení. Hodnota privátní IP adresy zůstává beze změny pro celý životní cyklus privátního koncového bodu.
Privátní koncový bod musí být nasazen ve stejné oblasti a předplatném jako virtuální síť.
Prostředek private-link je možné nasadit v jiné oblasti, než je prostředek privátní sítě a privátního koncového bodu.
Pomocí stejného prostředku private-link je možné vytvořit několik privátních koncových bodů. Pro jednu síť, která používá společnou konfiguraci serveru DNS, doporučujeme použít jeden privátní koncový bod pro zadaný prostředek privátního propojení. Tento postup použijte, pokud se chcete vyhnout duplicitním položkám nebo konfliktům v překladu DNS.
Ve stejné nebo jiné podsíti ve stejné virtuální síti je možné vytvořit několik privátních koncových bodů. Počet privátních koncových bodů, které můžete vytvořit v předplatném, je omezené. Další informace najdete v tématu Omezení Azure.
Předplatné, které obsahuje prostředek privátního propojení, musí být zaregistrované u poskytovatele síťových prostředků Microsoftu. Předplatné, které obsahuje privátní koncový bod, musí být také zaregistrované u poskytovatele síťových prostředků Microsoftu. Další informace najdete v tématu Poskytovatelé prostředků Azure.
Prostředek private-link
Prostředek privátního propojení je cílovým cílem zadaného privátního koncového bodu. Následující tabulka uvádí dostupné prostředky, které podporují privátní koncový bod:
| Název prostředku private-link | Typ prostředku | Dílčí prostředky |
|---|---|---|
| Application Gateway | Microsoft.Network/applicationgateways | Název konfigurace front-endové IP adresy |
| Služby Azure AI | Microsoft.CognitiveServices/accounts | account |
| Azure API for FHIR (prostředky rychlé interoperability pro zdravotnictví) | Microsoft.HealthcareApis/services | fhir |
| Azure App Configuration | Microsoft.Appconfiguration/configurationStores | configurationStores |
| Azure App Service | Microsoft.Web/hostingEnvironments | hostitelské prostředí |
| Azure App Service | Microsoft.Web/sites | Stránky |
| Azure Automation | Microsoft.Automation/automationAccounts | Webhook, DSCAndHybridWorker |
| Azure Backup | Microsoft.RecoveryServices/vaults | AzureBackup, AzureSiteRecovery |
| Azure Batch | Microsoft.Batch/batchAccounts | batchAccount, nodeManagement |
| Azure Cache for Redis | Microsoft.Cache/Redis | redisCache |
| Azure Cache for Redis Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
| Azure AI Vyhledávač | Microsoft.Search/searchServices | searchService |
| Azure Container Registry | Microsoft.ContainerRegistry/registry | Registru |
| Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | SQL, MongoDB, Cassandra, Gremlin, Table |
| Azure Cosmos DB for PostgreSQL | Microsoft.DBforPostgreSQL/serverGroupsv2 | Koordinátor |
| Virtuální jádro Azure Cosmos DB for MongoDB | Microsoft.DocumentDb/mongoClusters | MongoCluster |
| Průzkumník dat Azure | Microsoft.Kusto/clustery | cluster |
| Azure Data Factory | Microsoft.DataFactory/factory | dataFactory |
| Azure Database for MariaDB | Microsoft.DBforMariaDB/servery | mariadbServer |
| Azure Database for MySQL – Jeden server | Microsoft.DBforMySQL/servery | mysqlServer |
| Flexibilní server Azure Database for MySQL | Microsoft.DBforMySQL/flexibleServers | mysqlServer |
| Azure Database for PostgreSQL – Jednoúčelový server | Microsoft.DBforPostgreSQL/servery | postgresqlServer |
| Azure Databricks | Microsoft.Databricks/workspaces | databricks_ui_api, browser_authentication |
| Služba Azure Device Provisioning | Microsoft.Devices/provisioningServices | iotDps |
| Azure Digital Twins | Microsoft.DigitalTwins/digitalTwinsInstances | rozhraní API |
| Azure Event Grid | Microsoft.EventGrid/domains | domain |
| Azure Event Grid | Microsoft.EventGrid/topics | topic |
| Azure Event Hub | Microsoft.EventHub/namespaces | namespace |
| Synchronizace souborů Azure | Microsoft.StorageSync/storageSyncServices | služba Synchronizace souborů |
| Azure HDInsight | Microsoft.HDInsight/clustery | cluster |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps | IoTApps |
| Azure IoT Hub | Microsoft.Devices/IotHubs | iotHub |
| Azure Key Vault | Microsoft.KeyVault/vaults | Trezor |
| Modul hardwarového zabezpečení služby Azure Key Vault (modul hardwarového zabezpečení) | Microsoft.Keyvault/managedHSMs | Modul hardwarového zabezpečení (HSM) |
| Azure Kubernetes Service – Rozhraní KUBERNEtes API | Microsoft.ContainerService/managedClusters | správa |
| Azure Machine Learning | Microsoft.Machine Učení Services/registry | amlregistry |
| Azure Machine Learning | Microsoft.Machine Učení Services/workspaces | amlworkspace |
| Spravované disky Azure | Microsoft.Compute/diskAccesses | spravovaný disk |
| Azure Media Services | Microsoft.Media/mediaservices | keydelivery, liveevent, streamingendpoint |
| Azure Migrate | Microsoft.Migrate/assessmentProjects | projekt |
| Rozsah služby Private Link služby Azure Monitor | Microsoft. Přehledy/privatelinkscopes | azuremonitor |
| Azure Relay | Microsoft.Relay/namespaces | namespace |
| Azure Service Bus | Microsoft.ServiceBus/namespaces | namespace |
| Azure SignalR Service | Microsoft.SignalRService/SignalR | signalr |
| Azure SignalR Service | Microsoft.SignalRService/webPubSub | webpubsub |
| Azure SQL Database | Microsoft.Sql/servers | SQL Server (sqlServer) |
| Azure SQL Managed Instance | Microsoft.Sql/managedInstances | managedInstance |
| Azure Static Web Apps | Microsoft.Web/staticSites | statické weby |
| Azure Storage | Microsoft.Storage/storageAccounts | Objekt blob (objekt blob, blob_secondary) Tabulka (tabulka, table_secondary) Fronta (fronta, queue_secondary) Soubor (soubor, file_secondary) Web (web, web_secondary) Dfs (dfs, dfs_secondary) |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | web |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Sql, SqlOnDemand, Dev |
| Azure Virtual Desktop – fondy hostitelů | Microsoft.DesktopVirtualization/hostpools | připojení |
| Azure Virtual Desktop – pracovní prostory | Microsoft.DesktopVirtualization/workspaces | feed globální |
| Aktualizace zařízení pro IoT Hub | Microsoft.DeviceUpdate/accounts | DeviceUpdate |
| Microsoft Purview | Microsoft.Purview/accounts | account |
| Microsoft Purview | Microsoft.Purview/accounts | portál |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| Služba Private Link (vaše vlastní služba) | Microsoft.Network/privateLinkServices | empty |
| Privátní propojení správy prostředků | Microsoft.Authorization/resourceManagementPrivateLinks | ResourceManagement |
Poznámka:
Privátní koncové body můžete vytvářet jenom v účtu úložiště pro obecné účely verze 2 (GPv2).
Zabezpečení sítě privátních koncových bodů
Když používáte privátní koncové body, provoz je zabezpečený pro prostředek privátního propojení. Platforma ověřuje síťová připojení, což umožňuje pouze ty, které se dostanou k zadanému prostředku privátního propojení. Pro přístup k více podsourcům ve stejné službě Azure se vyžaduje více privátních koncových bodů s odpovídajícími cíli. V případě Azure Storage byste například potřebovali samostatné privátní koncové body pro přístup k souboru a podsourcům objektů blob .
Privátní koncové body poskytují privátní IP adresu pro službu Azure, ale nemusí k ní nutně omezovat přístup k veřejné síti. Všechny ostatní služby Azure ale vyžadují další řízení přístupu. Tyto ovládací prvky poskytují vašim prostředkům další vrstvu zabezpečení sítě, která pomáhá zabránit přístupu ke službě Azure přidružené k prostředku privátního propojení.
Privátní koncové body podporují zásady sítě. Zásady sítě umožňují podporu skupin zabezpečení sítě (NSG), tras definovaných uživatelem (UDR) a skupin zabezpečení aplikací (ASG). Další informace o povolení zásad sítě pro privátní koncový bod najdete v tématu Správa zásad sítě pro privátní koncové body. Pokud chcete používat ASG s privátním koncovým bodem, přečtěte si téma Konfigurace skupiny zabezpečení aplikací (ASG) s privátním koncovým bodem.
Přístup k prostředku privátního propojení pomocí pracovního postupu schválení
K prostředku privátního propojení se můžete připojit pomocí následujících metod schválení připojení:
Automatické schválení: Tuto metodu použijte, pokud vlastníte nebo máte oprávnění ke konkrétnímu prostředku privátního propojení. Požadovaná oprávnění jsou založená na typu prostředku privátního propojení v následujícím formátu:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/actionRuční požadavek: Tuto metodu použijte, pokud nemáte požadovaná oprávnění a chcete požádat o přístup. Zahájí se pracovní postup schválení. Privátní koncový bod a novější připojení privátního koncového bodu se vytvoří ve stavu Čeká na vyřízení . Vlastník prostředku private-link je zodpovědný za schválení připojení. Po schválení je privátní koncový bod povolený tak, aby normálně odesílal provoz, jak je znázorněno v následujícím diagramu pracovního postupu schválení:
Prostřednictvím připojení privátního koncového bodu může vlastník prostředku private-link:
- Zkontrolujte všechny podrobnosti připojení privátního koncového bodu.
- Schválení připojení privátního koncového bodu Odpovídající privátní koncový bod je povolený k odesílání provozu do prostředku privátního propojení.
- Odmítne připojení privátního koncového bodu. Odpovídající privátní koncový bod se aktualizuje tak, aby odrážel stav.
- Odstraňte připojení privátního koncového bodu v libovolném stavu. Odpovídající privátní koncový bod se aktualizuje o odpojený stav, aby odrážel akci. Vlastník privátního koncového bodu může v tuto chvíli odstranit pouze prostředek.
Poznámka:
Provoz do zadaného prostředku privátního propojení můžou odesílat pouze privátní koncové body ve schváleném stavu.
Připojení pomocí aliasu
Alias je jedinečný moniker, který se generuje, když vlastník služby vytvoří službu privátního propojení za standardním nástrojem pro vyrovnávání zatížení. Vlastníci služeb můžou tento alias sdílet offline s uživateli vaší služby.
Příjemci mohou požádat o připojení ke službě private-link pomocí identifikátoru URI prostředku nebo aliasu. Pokud se chcete připojit pomocí aliasu, vytvořte privátní koncový bod pomocí metody ručního schválení připojení. Pokud chcete použít metodu ručního schválení připojení, nastavte parametr ručního požadavku na Hodnotu True během toku vytvoření privátního koncového bodu. Další informace najdete v tématu New-AzPrivateEndpoint a az network private-endpoint create.
Poznámka:
Tato ruční žádost se dá automaticky schválit, pokud je předplatné uživatele na straně poskytovatele povolené. Další informace najdete v tématu Řízení přístupu ke službě.
Konfigurace DNS
Nastavení DNS, které používáte pro připojení k prostředku privátního propojení, jsou důležitá. Stávající služby Azure už můžou mít konfiguraci DNS, kterou můžete použít při připojování přes veřejný koncový bod. Pokud se chcete připojit ke stejné službě přes privátní koncový bod, vyžadují se samostatná nastavení DNS, často nakonfigurovaná prostřednictvím privátních zón DNS. Ujistěte se, že je nastavení DNS správné, pokud pro připojení použijete plně kvalifikovaný název domény (FQDN). Nastavení se musí přeložit na privátní IP adresu privátního koncového bodu.
Síťové rozhraní přidružené k privátnímu koncovému bodu obsahuje informace potřebné ke konfiguraci vašeho DNS. Informace zahrnují plně kvalifikovaný název domény a privátní IP adresu prostředku privátního propojení.
Úplné podrobné informace o doporučeních ke konfiguraci DNS pro privátní koncové body najdete v tématu Konfigurace DNS privátního koncového bodu.
Omezení
Následující informace uvádějí známá omezení použití privátních koncových bodů:
Statická IP adresa
| Omezení | Popis |
|---|---|
| Konfigurace statických IP adres aktuálně není podporována. | Azure Kubernetes Service (AKS)Aplikace Azure GatewayHD InsightRecovery Services – trezoryslužby Private Link třetích stran |
Skupina zabezpečení sítě
| Omezení | Popis |
|---|---|
| Efektivní trasy a pravidla zabezpečení nejsou pro síťové rozhraní privátního koncového bodu k dispozici. | Efektivní trasy a pravidla zabezpečení se na webu Azure Portal nezobrazí pro síťové rozhraní privátního koncového bodu. |
| Protokoly toku NSG nejsou podporované. | Protokoly toku NSG nejsou dostupné pro příchozí provoz určený pro privátní koncový bod. |
| Ve skupině zabezpečení aplikace není více než 50 členů. | Padesát je počet konfigurací PROTOKOLU IP, které je možné svázat s každou příslušnou skupinou ASG, která je svázaná se skupinou zabezpečení sítě v podsíti privátního koncového bodu. Připojení selhání může dojít u více než 50 členů. |
| Rozsahy cílových portů podporované až do 250 K. | Rozsahy cílových portů se podporují jako násobení SourceAddressPrefixes, DestinationAddressPrefixes a DestinationPortRanges. Příklad příchozího pravidla: Jeden zdroj * jeden cíl * 4K portRanges = 4K Platné 10 zdrojů * 10 cílů * 10 portRanges = 1 K Platné 50 zdrojů * 50 cílů * 50 cílů * 50 portRanges = 125 K Valid 50 zdrojů * 50 cílů * 100 portRanges = 250 K Platné 100 zdrojů * 100 cílů * 100 portRanges = 1M Neplatný, NSG má příliš mnoho zdrojů/cílů/portů. |
| Filtrování zdrojových portů se interpretuje jako * | Filtrování zdrojových portů se aktivně nepoužívá jako platný scénář filtrování provozu pro provoz směřující do privátního koncového bodu. |
| Funkce není dostupná ve vybraných oblastech. | V současné době není k dispozici v následujících oblastech: Austrálie – západ Austrálie – střed 2 Jižní Afrika – západ Brazílie – jihovýchod – všechny oblasti státní správy – všechny oblasti Čína |
Další důležité informace o skupině zabezpečení sítě
Odchozí provoz odepřený z privátního koncového bodu není platným scénářem, protože poskytovatel služeb nemůže pocházet z provozu.
Následující služby můžou vyžadovat otevření všech cílových portů při použití privátního koncového bodu a přidání filtrů zabezpečení NSG:
- Azure Cosmos DB – Další informace najdete v tématu Rozsahy portů služby.
UDR
| Omezení | Popis |
|---|---|
| SNAT se doporučuje vždy. | Vzhledem k proměnlivé povaze roviny dat privátního koncového bodu se doporučuje provoz SNAT určený do privátního koncového bodu, aby se zajistilo, že se bude respektovat návratový provoz. |
| Funkce není dostupná ve vybraných oblastech. | Momentálně není k dispozici v následujících oblastech: Západní Indie Austrálie – střed 2 Jižní Afrika – jihovýchod Brazílie – jihovýchod |
Skupina zabezpečení aplikace
| Omezení | Popis |
|---|---|
| Funkce není dostupná ve vybraných oblastech. | Momentálně není k dispozici v následujících oblastech: Západní Indie Austrálie – střed 2 Jižní Afrika – jihovýchod Brazílie – jihovýchod |
Další kroky
Další informace o privátních koncových bodech a službě Private Link najdete v tématu Co je Azure Private Link?.
Pokud chcete začít s vytvářením privátního koncového bodu pro webovou aplikaci, přečtěte si rychlý start: Vytvoření privátního koncového bodu pomocí webu Azure Portal.