Nejčastější dotazy ke službě Azure Private Link

  • Privátní koncový bod Azure: Privátní koncový bod Azure je síťové rozhraní, které vás soukromě a bezpečně připojuje ke službě využívající Službu Azure Private Link. Privátní koncové body můžete použít k připojení ke službě Azure PaaS, která podporuje službu Private Link nebo vlastní službu Private Link.
  • Služba Azure Private Link: Služba Azure Private Link je služba vytvořená poskytovatelem služeb. V současné době je možné službu Private Link připojit ke konfiguraci front-endové IP adresy load Balanceru úrovně Standard.

Provoz se odesílá soukromě pomocí páteřní sítě Microsoftu. Neprochází internetem. Azure Private Link neukládá zákaznická data.

Jaký je rozdíl mezi koncovými body služby a privátními koncovými body?

  • Privátní koncové body udělují síťovému přístupu ke konkrétním prostředkům za danou službou podrobné segmentace. Provoz se může dostat k prostředku služby z místního prostředí bez použití veřejných koncových bodů.
  • Koncový bod služby zůstává veřejně směrovatelnou IP adresou. Privátní koncový bod je privátní IP adresa v adresní prostoru virtuální sítě, kde je nakonfigurovaný privátní koncový bod.

Přístup prostřednictvím privátních koncových bodů podporuje více typů prostředků privátního propojení. Mezi prostředky patří služby Azure PaaS a vaše vlastní služba Private Link. Jedná se o relaci 1:N.

Služba Private Link přijímá připojení z několika privátních koncových bodů. Privátní koncový bod se připojí k jedné službě Private Link.

Ano. Služba Private Link potřebuje zakázat správné fungování zásad sítě.

Můžu použít pouze trasy definované uživatelem, jenom skupiny zabezpečení sítě nebo obojí pro privátní koncový bod?

Ano. Pokud chcete využívat zásady, jako jsou trasy definované uživatelem a skupiny zabezpečení sítě, musíte povolit zásady sítě pro podsíť ve virtuální síti pro privátní koncový bod. Toto nastavení má vliv na všechny privátní koncové body v rámci podsítě.

Privátní koncový bod

Můžu ve stejné virtuální síti vytvořit více privátních koncových bodů? Mohou se připojit k různým službám?

Ano. Ve stejné virtuální síti nebo podsíti můžete mít více privátních koncových bodů. Můžou se připojit k různým službám.

Potřebuji vyhrazenou podsíť pro privátní koncové body?

Č. Pro privátní koncové body nevyžadujete vyhrazenou podsíť. Ip adresu privátního koncového bodu můžete zvolit z libovolné podsítě z virtuální sítě, ve které je vaše služba nasazená.

Ano. Privátní koncové body se můžou připojit ke službám Private Link nebo k Azure PaaS napříč tenanty Microsoft Entra. Privátní koncové body napříč tenanty vyžadují ruční schválení žádosti.

Může se privátní koncový bod připojit k prostředkům Azure PaaS napříč oblastmi Azure?

Ano. Privátní koncové body se můžou připojit k prostředkům Azure PaaS napříč oblastmi Azure.

Můžu upravit kartu síťového rozhraní privátního koncového bodu?

Když se vytvoří privátní koncový bod, přiřadí se síťová karta jen pro čtení. Síťovou kartu nejde upravit a zůstane pro životní cyklus privátního koncového bodu.

Návody dosáhnout dostupnosti při používání privátního koncového bodu, pokud dojde k selhání oblastí?

Privátní koncové body jsou vysoce dostupné prostředky se smlouvou SLA podle smlouvy SLA pro Azure Private Link. Vzhledem k tomu, že se jedná o regionální prostředky, může mít jakýkoli výpadek oblasti Azure vliv na dostupnost. Pokud chcete dosáhnout dostupnosti v případě selhání oblastí, může být v různých oblastech nasazeno více počítačů připojených ke stejnému cílovému prostředku. Pokud dojde k výpadku jedné oblasti, můžete dál směrovat provoz pro scénáře obnovení prostřednictvím prostředí PE v jiné oblasti pro přístup k cílovému prostředku. Informace o tom, jak se místní selhání zpracovávají na straně cílové služby, najdete v dokumentaci ke službě týkající se převzetí služeb při selhání a obnovení. Provoz Private Link se řídí překladem Azure DNS pro cílový koncový bod.

Návody dosáhnout dostupnosti při používání privátních koncových bodů, pokud dojde k selhání zóny dostupnosti?

Privátní koncové body jsou vysoce dostupné prostředky se smlouvou SLA podle smlouvy SLA pro Azure Private Link. Privátní koncové body jsou nezávislé na zóně: Selhání zóny dostupnosti v oblasti privátního koncového bodu neovlivní dostupnost privátního koncového bodu.

Podporují privátní koncové body provoz ICMP?

Přenosy TCP a UDP jsou podporovány pouze pro privátní koncový bod. Další informace najdete v tématu Omezení služby Private Link.

Služba privátního propojení

Back-endy služeb by měly být ve virtuální síti a za Load Balancerem úrovně Standard.

Službu Private Link můžete škálovat několika různými způsoby:

  • Přidání back-endových virtuálních počítačů do fondu za Load Balancerem úrovně Standard
  • Přidejte IP adresu do služby Private Link. Povolujeme až 8 IP adres na službu Private Link.
  • Přidejte novou službu Private Link do Load Balanceru úrovně Standard. Umožňujeme až osm služeb Private Link na Load Balancer úrovně Standard.
  • Konfigurace IP adresy překladu adres (NAT) zajišťuje, že zdrojový (příjemce) a cílový adresní prostor (poskytovatel služeb) nemají konflikty IP adres. Konfigurace poskytuje zdrojový překlad adres (NAT) pro provoz privátního propojení pro cíl. IP adresa překladu adres (NAT) se zobrazí jako zdrojová IP adresa pro všechny pakety přijaté vaší službou a cílovou IP adresou pro všechny pakety odeslané vaší službou. IP adresu překladu adres (NAT) je možné vybrat z libovolné podsítě ve virtuální síti poskytovatele služeb.
  • Každá IP adresa překladu adres (NAT) poskytuje 64k připojení TCP (64k portů) na virtuální počítač za Load Balancerem úrovně Standard. Pokud chcete škálovat a přidávat další připojení, můžete přidat nové IP adresy PROT nebo přidat další virtuální počítače za Load Balancer úrovně Standard. Tím se škáluje dostupnost portů a umožníte více připojení. Připojení se distribuují mezi IP adresy NAT a virtuální počítače za Load Balancerem úrovně Standard.

Můžu připojit svou službu k několika privátním koncovým bodům?

Ano. Jedna služba Private Link může přijímat připojení z několika privátních koncových bodů. Jeden privátní koncový bod se ale může připojit jenom k jedné službě Private Link.

Vystavení můžete řídit pomocí konfigurace viditelnosti ve službě Private Link. Viditelnost podporuje tři nastavení:

  • Žádné – Službu můžou najít jenom předplatná s přístupem na základě role.
  • Omezující – Službu můžou najít pouze předplatná schválená a s přístupem na základě role.
  • Vše – službu můžou najít všichni.

Č. Služba Private Link přes Load Balancer úrovně Basic se nepodporuje.

Č. Pro službu Private Link se nevyžaduje vyhrazená podsíť. Můžete zvolit libovolnou podsíť ve vaší virtuální síti, ve které je vaše služba nasazená.

Č. Azure Private Link poskytuje tuto funkci za vás. Nemusíte mít nepřekrývající se adresní prostor s adresními prostory zákazníka.

Další kroky