Sdílet prostřednictvím


Co je privátní koncový bod?

Privátní koncový bod je síťové rozhraní, které používá privátní IP adresu z vaší virtuální sítě. Toto síťové rozhraní vás privátně a zabezpečeně připojí ke službě využívající službu Azure Private Link. Povolením privátního koncového bodu přenesete tu službu do své virtuální sítě.

Služba může být služba Azure, například:

  • Azure Storage
  • Azure Cosmos DB
  • Azure SQL Database
  • Vlastní služba využívající službu Private Link.

Vlastnosti privátního koncového bodu

Privátní koncový bod určuje následující vlastnosti:

Vlastnost Popis
Name Jedinečný název v rámci skupiny prostředků
Podsíť Podsíť, která se má nasadit, kde je přiřazená privátní IP adresa. Požadavky na podsíť najdete v části Omezení dále v tomto článku.
Prostředek private-link Prostředek privátního propojení, který se má připojit pomocí ID nebo aliasu prostředku, ze seznamu dostupných typů. Pro veškerý provoz odesílaný do tohoto prostředku se vygeneruje jedinečný identifikátor sítě.
Cílový podsourc Podsourc, který se má připojit. Každý typ prostředku privátního propojení má různé možnosti výběru na základě preference.
Metoda schválení připojení Automatické nebo ruční. V závislosti na oprávněních řízení přístupu na základě role v Azure je možné privátní koncový bod schválit automaticky. Pokud se připojujete k prostředku privátního propojení bez oprávnění založených na rolích Azure, pomocí ruční metody povolte vlastníkovi prostředku schválení připojení.
Žádost o zprávu Můžete zadat zprávu pro požadovaná připojení, která se mají schválit ručně. Tuto zprávu lze použít k identifikaci konkrétního požadavku.
Stav připojení Vlastnost jen pro čtení, která určuje, jestli je privátní koncový bod aktivní. K odesílání provozu je možné použít pouze privátní koncové body ve schváleném stavu. Další dostupné stavy:
  • Schváleno: Připojení bylo automaticky nebo ručně schváleno a je připravené k použití.
  • Čekání: Připojení bylo vytvořeno ručně a čeká na schválení vlastníkem prostředku private-link.
  • Odmítnuto: Připojení odmítl vlastník prostředku private-link.
  • Odpojeno: Připojení odebral vlastník prostředku private-link. Privátní koncový bod se stane informativním a měl by být odstraněn pro vyčištění.
  • Při vytváření privátních koncových bodů zvažte následující:

    • Privátní koncové body umožňují připojení mezi zákazníky ze stejného:

      • Virtuální síť
      • Virtuální sítě v místním partnerském vztahu
      • Virtuální sítě v globálním partnerském vztahu
      • Místní prostředí, která používají vpn nebo ExpressRoute
      • Služby, které využívají službu Private Link
    • Síťová připojení můžou iniciovat jenom klienti, kteří se připojují k privátnímu koncovému bodu. Poskytovatelé služeb nemají konfiguraci směrování pro vytváření připojení k zákazníkům služeb. Připojení je možné navázat pouze jedním směrem.

    • Síťové rozhraní jen pro čtení se automaticky vytvoří pro životní cyklus privátního koncového bodu. Rozhraní má přiřazenou dynamickou privátní IP adresu z podsítě, která se mapuje na prostředek privátního propojení. Hodnota privátní IP adresy zůstává beze změny pro celý životní cyklus privátního koncového bodu.

    • Privátní koncový bod musí být nasazen ve stejné oblasti a předplatném jako virtuální síť.

    • Prostředek private-link je možné nasadit v jiné oblasti, než je prostředek privátní sítě a privátního koncového bodu.

    • Pomocí stejného prostředku private-link je možné vytvořit několik privátních koncových bodů. Pro jednu síť, která používá společnou konfiguraci serveru DNS, doporučujeme použít jeden privátní koncový bod pro zadaný prostředek privátního propojení. Tento postup použijte, pokud se chcete vyhnout duplicitním položkám nebo konfliktům v překladu DNS.

    • Ve stejné nebo jiné podsíti ve stejné virtuální síti je možné vytvořit několik privátních koncových bodů. Počet privátních koncových bodů, které můžete vytvořit v předplatném, je omezené. Další informace najdete v tématu Omezení Azure.

    • Předplatné, které obsahuje prostředek privátního propojení, musí být zaregistrované u poskytovatele síťových prostředků Microsoftu. Předplatné, které obsahuje privátní koncový bod, musí být také zaregistrované u poskytovatele síťových prostředků Microsoftu. Další informace najdete v tématu Poskytovatelé prostředků Azure.

    Prostředek privátního propojení je cílovým cílem zadaného privátního koncového bodu. Následující tabulka uvádí dostupné prostředky, které podporují privátní koncový bod:

    Název prostředku private-link Typ prostředku Dílčí prostředky
    Application Gateway Microsoft.Network/applicationgateways Název konfigurace front-endové IP adresy
    Azure AI Vyhledávač Microsoft.Search/searchServices searchService
    Služby Azure AI Microsoft.CognitiveServices/accounts account
    Azure API for FHIR (prostředky rychlé interoperability pro zdravotnictví) Microsoft.HealthcareApis/services fhir
    Azure API Management Microsoft.ApiManagement/service Brána
    Azure App Configuration Microsoft.Appconfiguration/configurationStores configurationStores
    Azure App Service Microsoft.Web/hostingEnvironments hostitelské prostředí
    Azure App Service Microsoft.Web/sites internetové stránky
    Azure Attestation Service Microsoft.Attestation/attestationProviders standard
    Azure Automation Microsoft.Automation/automationAccounts Webhook, DSCAndHybridWorker
    Azure Backup Microsoft.RecoveryServices/vaults AzureBackup, AzureSiteRecovery
    Azure Batch Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Azure Cache for Redis Microsoft.Cache/Redis redisCache
    Azure Cache for Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure Container Registry Microsoft.ContainerRegistry/registry registr
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Table
    Virtuální jádro Azure Cosmos DB for MongoDB Microsoft.DocumentDb/mongoClusters MongoCluster
    Azure Cosmos DB for PostgreSQL Microsoft.DBforPostgreSQL/serverGroupsv2 koordinátor
    Průzkumník dat Azure Microsoft.Kusto/clustery cluster
    Azure Data Factory Microsoft.DataFactory/factory dataFactory
    Azure Database for MariaDB Microsoft.DBforMariaDB/servery mariadbServer
    Flexibilní server Azure Database for MySQL Microsoft.DBforMySQL/flexibleServers mysqlServer
    Azure Database for MySQL – Jeden server Microsoft.DBforMySQL/servery mysqlServer
    Flexibilní server Azure Database for PostgreSQL Microsoft.DBforPostgreSQL/flexibleServers postgresqlServer
    Azure Database for PostgreSQL – Jednoúčelový server Microsoft.DBforPostgreSQL/servery postgresqlServer
    Azure Databricks Microsoft.Databricks/workspaces databricks_ui_api, browser_authentication
    Služba Azure Device Provisioning Microsoft.Devices/provisioningServices iotDps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances rozhraní API
    Azure Event Grid Microsoft.EventGrid/domains domain
    Azure Event Grid Microsoft.EventGrid/topics topic
    Azure Event Hub Microsoft.EventHub/namespaces namespace
    Synchronizace souborů Azure Microsoft.StorageSync/storageSyncServices služba Synchronizace souborů
    Azure HDInsight Microsoft.HDInsight/clustery cluster
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Azure IoT Hub Microsoft.Devices/IotHubs iotHub
    Azure Key Vault Microsoft.KeyVault/vaults Trezor
    Modul hardwarového zabezpečení služby Azure Key Vault (modul hardwarového zabezpečení) Microsoft.Keyvault/managedHSMs Modul hardwarového zabezpečení (HSM)
    Azure Kubernetes Service – Rozhraní KUBERNEtes API Microsoft.ContainerService/managedClusters správa
    Azure Machine Learning Microsoft.MachineLearningServices/registry amlregistry
    Azure Machine Learning Microsoft.MachineLearningServices/workspaces amlworkspace
    Spravované disky Azure Microsoft.Compute/diskAccesses spravovaný disk
    Azure Media Services Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint
    Azure Migrate Microsoft.Migrate/assessmentProjects projekt
    Rozsah služby Private Link služby Azure Monitor Microsoft.Insights/privatelinkscopes azuremonitor
    Azure Relay Microsoft.Relay/namespaces namespace
    Azure Service Bus Microsoft.ServiceBus/namespaces namespace
    Azure SignalR Service Microsoft.SignalRService/SignalR signalr
    Azure SignalR Service Microsoft.SignalRService/webPubSub webpubsub
    Azure SQL Database Microsoft.Sql/servers SQL Server (sqlServer)
    Azure SQL Managed Instance Microsoft.Sql/managedInstances managedInstance
    Azure Static Web Apps Microsoft.Web/staticSites statické weby
    Azure Storage Microsoft.Storage/storageAccounts Objekt blob (objekt blob, blob_secondary)
    Tabulka (tabulka, table_secondary)
    Fronta (fronta, queue_secondary)
    Soubor (soubor, file_secondary)
    Web (web, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure Synapse Microsoft.Synapse/privateLinkHubs web
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Dev
    Azure Virtual Desktop – fondy hostitelů Microsoft.DesktopVirtualization/hostpools připojení
    Azure Virtual Desktop – pracovní prostory Microsoft.DesktopVirtualization/workspaces feed
    globální
    Aktualizace zařízení pro IoT Hub Microsoft.DeviceUpdate/accounts DeviceUpdate
    Účet integrace (Premium) Microsoft.Logic/integrationAccounts integrationAccount
    Microsoft Purview Microsoft.Purview/accounts account
    Microsoft Purview Microsoft.Purview/accounts portál
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Služba Private Link (vaše vlastní služba) Microsoft.Network/privateLinkServices empty
    Privátní propojení správy prostředků Microsoft.Authorization/resourceManagementPrivateLinks ResourceManagement

    Poznámka:

    Privátní koncové body můžete vytvářet jenom v účtu úložiště pro obecné účely verze 2 (GPv2).

    Zabezpečení sítě privátních koncových bodů

    Když používáte privátní koncové body, provoz je zabezpečený pro prostředek privátního propojení. Platforma ověřuje síťová připojení, což umožňuje pouze ty, které se dostanou k zadanému prostředku privátního propojení. Pro přístup k více podsourcům ve stejné službě Azure se vyžaduje více privátních koncových bodů s odpovídajícími cíli. V případě Azure Storage byste například potřebovali samostatné privátní koncové body pro přístup k souboru a podsourcům objektů blob .

    Privátní koncové body poskytují privátní IP adresu pro službu Azure, ale nemusí k ní nutně omezovat přístup k veřejné síti. Všechny ostatní služby Azure ale vyžadují další řízení přístupu. Tyto ovládací prvky poskytují vašim prostředkům další vrstvu zabezpečení sítě, která pomáhá zabránit přístupu ke službě Azure přidružené k prostředku privátního propojení.

    Privátní koncové body podporují zásady sítě. Zásady sítě umožňují podporu skupin zabezpečení sítě (NSG), tras definovaných uživatelem (UDR) a skupin zabezpečení aplikací (ASG). Další informace o povolení zásad sítě pro privátní koncový bod najdete v tématu Správa zásad sítě pro privátní koncové body. Pokud chcete používat ASG s privátním koncovým bodem, přečtěte si téma Konfigurace skupiny zabezpečení aplikací (ASG) s privátním koncovým bodem.

    K prostředku privátního propojení se můžete připojit pomocí následujících metod schválení připojení:

    • Automatické schválení: Tuto metodu použijte, pokud vlastníte nebo máte oprávnění ke konkrétnímu prostředku privátního propojení. Požadovaná oprávnění jsou založená na typu prostředku privátního propojení v následujícím formátu:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Ruční požadavek: Tuto metodu použijte, pokud nemáte požadovaná oprávnění a chcete požádat o přístup. Zahájí se pracovní postup schválení. Privátní koncový bod a novější připojení privátního koncového bodu se vytvoří ve stavu Čeká na vyřízení . Vlastník prostředku private-link je zodpovědný za schválení připojení. Po schválení je privátní koncový bod povolený tak, aby normálně odesílal provoz, jak je znázorněno v následujícím diagramu pracovního postupu schválení:

    Diagram procesu schvalování pracovního postupu

    Prostřednictvím připojení privátního koncového bodu může vlastník prostředku private-link:

    • Zkontrolujte všechny podrobnosti připojení privátního koncového bodu.
    • Schválení připojení privátního koncového bodu Odpovídající privátní koncový bod je povolený k odesílání provozu do prostředku privátního propojení.
    • Odmítne připojení privátního koncového bodu. Odpovídající privátní koncový bod se aktualizuje tak, aby odrážel stav.
    • Odstraňte připojení privátního koncového bodu v libovolném stavu. Odpovídající privátní koncový bod se aktualizuje o odpojený stav, aby odrážel akci. Vlastník privátního koncového bodu může v tuto chvíli odstranit pouze prostředek.

    Poznámka:

    Provoz do zadaného prostředku privátního propojení můžou odesílat pouze privátní koncové body ve schváleném stavu.

    Připojení pomocí aliasu

    Alias je jedinečný moniker, který se generuje, když vlastník služby vytvoří službu privátního propojení za standardním nástrojem pro vyrovnávání zatížení. Vlastníci služeb můžou tento alias sdílet offline s uživateli vaší služby.

    Příjemci mohou požádat o připojení ke službě private-link pomocí identifikátoru URI prostředku nebo aliasu. Pokud se chcete připojit pomocí aliasu, vytvořte privátní koncový bod pomocí metody ručního schválení připojení. Pokud chcete použít metodu ručního schválení připojení, nastavte parametr ručního požadavku na Hodnotu True během toku vytvoření privátního koncového bodu. Další informace najdete v tématu New-AzPrivateEndpoint a az network private-endpoint create.

    Poznámka:

    Tato ruční žádost se dá automaticky schválit, pokud je předplatné uživatele na straně poskytovatele povolené. Další informace najdete v tématu Řízení přístupu ke službě.

    Konfigurace DNS

    Nastavení DNS, které používáte pro připojení k prostředku privátního propojení, jsou důležitá. Stávající služby Azure už můžou mít konfiguraci DNS, kterou můžete použít při připojování přes veřejný koncový bod. Pokud se chcete připojit ke stejné službě přes privátní koncový bod, vyžadují se samostatná nastavení DNS, často nakonfigurovaná prostřednictvím privátních zón DNS. Ujistěte se, že je nastavení DNS správné, pokud pro připojení použijete plně kvalifikovaný název domény (FQDN). Nastavení se musí přeložit na privátní IP adresu privátního koncového bodu.

    Síťové rozhraní přidružené k privátnímu koncovému bodu obsahuje informace potřebné ke konfiguraci vašeho DNS. Informace zahrnují plně kvalifikovaný název domény a privátní IP adresu prostředku privátního propojení.

    Úplné podrobné informace o doporučeních ke konfiguraci DNS pro privátní koncové body najdete v tématu Konfigurace DNS privátního koncového bodu.

    Omezení

    Následující informace uvádějí známá omezení použití privátních koncových bodů:

    Statická IP adresa

    Omezení Popis
    Konfigurace statických IP adres aktuálně není podporována. Azure Kubernetes Service (AKS)
    Aplikace Azure lication Gateway
    HD Insight
    Recovery Services – trezory

    služby Private Link třetích stran

    Skupina zabezpečení sítě

    Omezení Popis
    Efektivní trasy a pravidla zabezpečení nejsou pro síťové rozhraní privátního koncového bodu k dispozici. Efektivní trasy a pravidla zabezpečení se na webu Azure Portal nezobrazí pro síťové rozhraní privátního koncového bodu.
    Protokoly toku NSG nejsou podporované. Protokoly toku NSG nejsou dostupné pro příchozí provoz určený pro privátní koncový bod.
    Ve skupině zabezpečení aplikace není více než 50 členů. Padesát je počet konfigurací PROTOKOLU IP, které je možné svázat s každou příslušnou skupinou ASG, která je svázaná se skupinou zabezpečení sítě v podsíti privátního koncového bodu. K selhání připojení může dojít u více než 50 členů.
    Rozsahy cílových portů podporované až do 250 K. Rozsahy cílových portů se podporují jako násobení SourceAddressPrefixes, DestinationAddressPrefixes a DestinationPortRanges.

    Příklad příchozího pravidla:
    Jeden zdroj * jeden cíl * 4K portRanges = 4K Platné
    10 zdrojů * 10 cílů * 10 portRanges = 1 K Platné
    50 zdrojů * 50 cílů * 50 cílů * 50 portRanges = 125 K Valid
    50 zdrojů * 50 cílů * 100 portRanges = 250 K Platné
    100 zdrojů * 100 cílů * 100 portRanges = 1M Neplatný, NSG má příliš mnoho zdrojů/cílů/portů.
    Filtrování zdrojových portů se interpretuje jako * Filtrování zdrojových portů se aktivně nepoužívá jako platný scénář filtrování provozu pro provoz směřující do privátního koncového bodu.
    Funkce není dostupná ve vybraných oblastech. V současné době není k dispozici v následujících oblastech:
    Austrálie – západ
    Austrálie – střed 2
    Jižní Afrika – západ Brazílie – jihovýchod – všechny

    oblasti státní správy – všechny oblasti
    Čína

    Další důležité informace o skupině zabezpečení sítě

    • Odchozí provoz odepřený z privátního koncového bodu není platným scénářem, protože poskytovatel služeb nemůže pocházet z provozu.

    • Následující služby můžou vyžadovat otevření všech cílových portů při použití privátního koncového bodu a přidání filtrů zabezpečení NSG:

      • Azure Cosmos DB – Další informace najdete v tématu Rozsahy portů služby.

    UDR

    Omezení Popis
    SNAT se doporučuje vždy. Vzhledem k proměnlivé povaze roviny dat privátního koncového bodu se doporučuje provoz SNAT určený do privátního koncového bodu, aby se zajistilo, že se bude respektovat návratový provoz.
    Funkce není dostupná ve vybraných oblastech. Momentálně není k dispozici v následujících oblastech:
    Západní Indie
    Austrálie – střed 2
    Jižní Afrika
    – jihovýchod Brazílie – jihovýchod

    Skupina zabezpečení aplikace

    Omezení Popis
    Funkce není dostupná ve vybraných oblastech. Momentálně není k dispozici v následujících oblastech:
    Západní Indie
    Austrálie – střed 2
    Jižní Afrika
    – jihovýchod Brazílie – jihovýchod

    Další kroky