Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Služba Azure Private Link je odkazem na vaši vlastní službu, která využívá Službu Azure Private Link. Vaše služba, která běží za Službou Azure Standard Load Balancer , může být povolená pro přístup ke službě Private Link, aby k ní uživatelé mohli přistupovat soukromě ze svých vlastních virtuálních sítí. Vaši zákazníci můžou ve své virtuální síti vytvořit privátní koncový bod a namapovat ho na tuto službu. Tento článek vysvětluje koncepty související s stranou poskytovatele služeb.
Obrázek: Služba Azure Private Link
Důležité
Funkce Private Link Service Direct Connect, která umožňuje připojit se k jakékoli privátní směrovatelné cílové IP adrese, je nyní ve verzi Public Preview. Další informace a známá omezení najdete v tématu Private Link Service Direct Connect
Workflow
Obrázek: Pracovní postup služby Azure Private Link
Vytvoření služby Private Link
Nakonfigurujte aplikaci tak, aby běžela za standardním nástrojem pro vyrovnávání zatížení ve vaší virtuální síti. Pokud už máte aplikaci nakonfigurovanou za standardním nástrojem pro vyrovnávání zatížení, můžete tento krok přeskočit.
Vytvořte službu Private Link odkazující na výše uvedený nástroj pro vyrovnávání zatížení. V procesu výběru nástroje pro vyrovnávání zatížení zvolte konfiguraci front-endové IP adresy, ve které chcete přijímat provoz. Zvolte podsíť pro IP adresy překladu síťových adres (NAT) pro službu „Private Link“. Doporučuje se mít v podsíti k dispozici aspoň osm IP adres NAT. Zdá se, že veškerý uživatelský provoz pochází z tohoto fondu privátních IP adres poskytovateli služeb. Zvolte vhodné vlastnosti a nastavení pro službu Private Link.
Poznámka:
Služba Azure Private Link se podporuje jenom v Load Balanceru úrovně Standard.
Sdílení služby
Po vytvoření služby Private Link vygeneruje Azure globálně jedinečný pojmenovaný moniker s názvem alias na základě vámi zadaného názvu služby. Své zákazníky můžete offline obeznámit buď s aliasem, nebo s URI prostředku služby. Zákazníci mohou zahájit připojení Private Link pomocí aliasu nebo identifikátoru URI prostředku.
Správa žádostí o připojení
Jakmile příjemce zahájí připojení, poskytovatel služeb může žádost o připojení přijmout nebo odmítnout. Všechny požadavky na připojení budou uvedené ve vlastnosti privateendpointconnections ve službě Private Link.
Smažte svou službu
Pokud se služba Private Link už nepoužívá, můžete ji odstranit. Než ale službu odstraníte, ujistěte se, že k ní nejsou přidružená žádná připojení privátního koncového bodu. Všechna připojení můžete odmítnout a službu odstranit.
Vlastnosti
Služba Private Link určuje následující vlastnosti:
| Vlastnost | Vysvětlení |
|---|---|
| Stav zřizování (provisioningState) | Vlastnost určená jen pro čtení, která uvádí aktuální stav zřizování pro službu Private Link. Platné stavy zřizování jsou: Mazání, Selhání, Dokončeno, Aktualizace. Pokud je stav zřizování úspěšný, úspěšně jste zřídili službu Private Link. |
| Alias (alias) | Alias je globálně jedinečný řetězec jen pro čtení pro vaši službu. Pomáhá maskovat zákaznická data pro vaši službu a zároveň vytvoří pro vaši službu snadno sdílený název. Když vytvoříte službu Private Link, Azure vygeneruje alias pro vaši službu, kterou můžete sdílet se zákazníky. Vaši zákazníci můžou tento alias použít k vyžádání připojení k vaší službě. |
| Viditelnost (viditelnost) | Viditelnost je vlastnost, která řídí nastavení expozice pro vaši službu Private Link. Poskytovatelé služeb se můžou rozhodnout omezit vystavení své službě předplatným s oprávněními řízení přístupu na základě role v Azure. K omezení expozice je možné použít také omezenou sadu předplatných. |
| Automatické schválení (autoApproval) | Automatické schvalování řídí automatický přístup ke službě Private Link. Předplatná zadaná v seznamu automatického schvalování se automaticky schvalují při vyžádání připojení z privátních koncových bodů v těchto předplatných. |
| Konfigurace front-endových IP adres nástroje pro vyrovnávání zatížení (loadBalancerFrontendIpConfigurations) | Služba Private Link je svázaná s front-endovou IP adresou Load Balanceru úrovně Standard. Veškerý provoz určený pro službu se dostane do front-endu SLB. Pravidla SLB můžete nakonfigurovat tak, aby tento provoz směrovali do příslušných back-endových fondů, ve kterých běží vaše aplikace. Konfigurace front-endových IP adres nástroje pro vyrovnávání zatížení se liší od konfigurací IP adres NAT. |
| Konfigurace NAT IP (ipConfigurations) | Tato vlastnost se týká NAT (překladu síťových adres) IP konfigurace pro službu Private Link. IP adresu NAT můžete vybrat z libovolné podsítě ve virtuální síti poskytovatele služeb. Služba Private Link provádí překlad adres (NAT) na straně cíle u provozu služby Private Link. Tento překlad adres (NAT) zajišťuje, že mezi zdrojovým adresovým prostorem (na straně příjemce) a cílovým adresovým prostorem (poskytovatel služeb) není žádný konflikt IP adres. Na straně cíle nebo poskytovatele služeb se IP adresa NAT zobrazí jako zdrojová IP adresa pro všechny pakety přijaté vaší službou. Cílová IP adresa se zobrazí pro všechny pakety odeslané vaší službou. |
| Připojení privátního koncového bodu (soukromé připojení koncového bodu) | Tato vlastnost obsahuje seznam privátních koncových bodů, které se připojují ke službě Private Link. Ke stejné službě Private Link se může připojit více privátních koncových bodů a poskytovatel služeb může řídit stav jednotlivých privátních koncových bodů. |
| TCP Proxy V2 (EnableProxyProtocol) | Tato vlastnost umožňuje poskytovateli služeb načíst informace o připojení o příjemci služby pomocí proxy serveru tcp v2. Poskytovatel služeb zodpovídá za nastavení konfigurací přijímačů tak, aby bylo možné analyzovat hlavičku protokolu proxy v2. |
Detaily
Ke službě Private Link je možné přistupovat ze schválených privátních koncových bodů v libovolné veřejné oblasti. Privátní koncový bod je dostupný ze stejné virtuální sítě a regionálně propojených virtuálních sítí. Privátní koncový bod je dostupný z globálně partnerských virtuálních sítí a místních sítí pomocí privátních připojení VPN nebo ExpressRoute.
Po vytvoření služby Private Link se vytvoří síťové rozhraní pro životní cyklus prostředku. Toto rozhraní není možné spravovat zákazníkem.
Služba Private Link musí být nasazena ve stejné oblasti jako virtuální síť a standardní Load Balancer.
K jedné službě Private Link je možné přistupovat z několika privátních koncových bodů patřících do různých virtuálních sítí, předplatných a/nebo tenantů Microsoft Entra. Připojení se naváže prostřednictvím nastaveného procesu připojení.
Ve stejném Load Balanceru úrovně Standard je možné vytvořit více služeb Private Link s využitím různých konfigurací front-endových IP adres. Počet služeb typu Private Link, které můžete vytvořit pro Standard Load Balancer i na předplatné, je omezen. Podrobnosti najdete v tématu věnovaném omezením Azure.
Služba Private Link může mít více než jednu NAT IP konfiguraci propojenou s ní. Volba více než jedné konfigurace IP adres NAT může pomoct poskytovatelům služeb škálovat. Dnes můžou poskytovatelé služeb přiřadit až osm IP adres NAT na službu Private Link. S každou IP adresou NAT můžete přidělit více portů pro vaše TCP připojení a tím zvýšit kapacitu. Do služby Private Link můžete přidat více IP adres NAT, ale po konfiguraci musíte udržovat alespoň jednu NAT IP adresu. Odstranění poslední zbývající NAT IP bude omezeno, aby bylo zajištěno, že aktivní připojení nebudou ovlivněna v důsledku nepřítomnosti NAT IP adres.
Alias
Alias je globálně jedinečný název vaší služby. Pomáhá maskovat zákaznická data pro vaši službu a zároveň vytvoří pro vaši službu snadno sdílený název. Když vytvoříte službu Private Link, Azure vygeneruje alias pro vaši službu, kterou můžete sdílet se zákazníky. Vaši zákazníci můžou tento alias použít k vyžádání připojení k vaší službě.
Alias se skládá ze tří částí: Předpona.GUID.Přípona
Předpona je název služby. Můžete si vybrat vlastní předponu. Po vytvoření aliasu ho nemůžete změnit, proto vyberte příslušnou předponu.
Platforma poskytne GUID. Tento identifikátor GUID vytvoří globálně jedinečný název.
Přípona je připojená službou Azure: region.azure.privatelinkservice
Úplný alias: Předpona. {GUID}.region.azure.privatelinkservice
Řízení expozice služby
Služba Private Link nabízí v nastavení Viditelnost tři možnosti pro řízení vystavení vaší služby. Nastavení viditelnosti určuje, jestli se příjemce může připojit k vaší službě. Tady jsou možnosti nastavení viditelnosti, od nejvíce omezující po nejméně omezující:
Pouze řízení přístupu na základě role: Pokud je vaše služba určená k privátní spotřebě z různých virtuálních sítí, které vlastníte, použijte řízení přístupu na základě role uvnitř předplatných přidružených ke stejnému tenantovi Microsoft Entra. Viditelnost mezi tenanty je povolena prostřednictvím řízení přístupu založeného na rolích.
Omezeno předplatným: Pokud bude vaše služba spotřebována napříč různými tenanty, můžete omezit vystavení omezené sadě předplatných, kterým důvěřujete. Autorizace je možné předem schválit.
Kdokoli s vaším aliasem: Pokud chcete, aby vaše služba byla veřejná a povolila všem uživatelům s vaším aliasem služby Private Link požádat o připojení, vyberte tuto možnost.
Řízení přístupu ke službě
Spotřebitelé, kteří mají pod kontrolou nastavení viditelnosti pro vaši službu Private Link, mohou vytvořit privátní koncový bod ve svých virtuálních sítích a vyžádat si připojení ke službě Private Link. Připojení privátního koncového bodu se vytvoří ve stavu Čeká na vyřízení u objektu služby Private Link. Poskytovatel služeb zodpovídá za činnost na žádosti o připojení. Připojení můžete schválit, odmítnout připojení nebo ho odstranit. Provoz do služby Private Link můžou posílat jenom připojení, která jsou schválená.
Akce schválení připojení je možné automatizovat pomocí vlastnosti automatického schvalování ve službě Private Link. Automatické schválení je možnost, aby poskytovatelé služeb předem schválili sadu předplatných pro automatický přístup ke službě. Zákazníci budou muset sdílet svá předplatná offline, aby poskytovatelé služeb mohli přidat do seznamu automatického schvalování. Automatické schválení je podmnožinou pole viditelnosti.
Viditelnost řídí nastavení expozice, zatímco automatické schválení řídí nastavení schválení pro vaši službu. Pokud zákazník požádá o připojení z předplatného v seznamu automatického schvalování, schválení proběhne automaticky a připojení se naváže. Poskytovatelé služeb nemusí žádost schválit ručně. Pokud zákazník požádá o připojení z předplatného v poli viditelnosti, a ne v poli automatického schvalování, žádost se dostane k poskytovateli služeb. Poskytovatel služeb musí připojení schválit ručně.
Získání informací o připojení pomocí proxy serveru TCP v2
Poznámka:
Konfigurace proxy protokolu TCP v2 ve službě Private Link se aktivuje pro všechny nástroje pro vyrovnávání zatížení a jejich back-endové virtuální počítače. Pokud je na jednom PLS nakonfigurován TCP Proxy v2, nakonfigurujte ho i na jiných prostředcích PLS, pokud sdílejí stejný load balancer nebo back-end pool, jinak sondy stavu selžou.
Ve službě private link je zdrojová IP adresa paketů přicházejících z privátního koncového bodu přeložená na straně poskytovatele služeb pomocí IP adresy překladu adres (NAT) přidělené z virtuální sítě poskytovatele. Aplikace obdrží přidělenou IP adresu NAT místo skutečné zdrojové IP adresy příjemců služeb. Pokud vaše aplikace potřebuje skutečnou zdrojovou IP adresu ze strany příjemce, můžete ve službě povolit proxy protokol a načíst informace z hlavičky protokolu proxy. Kromě zdrojové IP adresy má hlavička proxy protokolu také ID propojení privátního koncového bodu. Kombinace zdrojové IP adresy a LinkID může poskytovatelům služeb pomoct jedinečně identifikovat jejich uživatele.
Další informace o proxy protokolu najdete tady.
Tyto informace se kódují pomocí vlastního vektoru TLV (Type-Length-Value) následujícím způsobem:
Vlastní podrobnosti TLV:
| Pole | Délka (bajty) | Popis |
|---|---|---|
| Typ | 0 | PP2_TYPE_AZURE (0xEE) |
| Délka | 2 | Délka hodnoty |
| Hodnota | 0 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
| 4 | UINT32 (4 bajty) představující LINKID privátního koncového bodu. Zakódováno v malém endovském formátu. |
Poznámka:
Poskytovatel služeb zodpovídá za to, že je služba za standardním nástrojem pro vyrovnávání zatížení nakonfigurovaná tak, aby parsovala hlavičku protokolu proxy podle specifikace , pokud je povolený proxy protokol ve službě private link. Požadavek selže, pokud je ve službě privátního propojení povoleno nastavení protokolu proxy, ale služba poskytovatele služeb není nakonfigurovaná na parsování hlaviček. Požadavek selže, když služba poskytovatele služeb očekává hlavičku protokolu proxy, ale ve službě privátního propojení není toto nastavení povoleno. Po povolení nastavení proxy protokolu bude hlavička proxy protokolu zahrnuta také do testů stavu HTTP/TCP z hostitele do back-endových virtuálních počítačů. Informace o klientovi nejsou v hlavičce obsaženy.
Shodu LINKID, která je součástí protokolu PROXYv2 (TLV), lze nalézt v PrivateEndpointConnection jako vlastnost linkIdentifier.
Další informace najdete v tématu Rozhraní API služby Private Link Services.
Omezení
Při používání služby Private Link platí následující známá omezení:
Podporuje se jenom v Load Balanceru úrovně Standard. Není podporováno na Basic Load Balanceru.
Podporováno pouze na standardním vyrovnávači zatížení, kde je fond back-end konfigurován prostřednictvím síťového rozhraní. Není podporováno na Standard Load Balanceru, kde je back-end fond nakonfigurován podle IP adres.
Podporuje pouze provoz IPv4.
Podporuje pouze provoz TCP a UDP.
Služba Private Link má časový limit nečinnosti přibližně 5 minut (300 sekund). Aby se zabránilo dosažení tohoto limitu, aplikace, které se připojují přes službu Private Link, musí používat TCP Keepalives s kratšími intervaly než tento čas.
Pro příchozí pravidlo NAT s typem nastaveným na back-endový fond pro provoz se službou Azure Private Link musí být nakonfigurované pravidlo vyrovnávání zatížení.
Konfigurace proxy protokolu TCP v2 ve službě Private Link se aktivuje pro všechny nástroje pro vyrovnávání zatížení a jejich back-endové virtuální počítače. Pokud je na jednom PLS nakonfigurován TCP Proxy v2, nakonfigurujte ho i na jiných prostředcích PLS, pokud sdílejí stejný load balancer nebo back-end pool, jinak sondy stavu selžou.