Funktionsweise von Azure Private Link

  • 10 Minuten

Sie sind mit den grundlegenden Funktionen und Vorteilen von Private Link vertraut. Untersuchen wir nun, wie Private Link funktioniert. Betrachten wir insbesondere die Funktionsweise des privaten Endpunkts und des Private Link-Diensts, um privaten Zugriff auf Azure-Dienste zu ermöglichen. Anhand dieser Informationen können Sie ermitteln, ob Private Link die richtige Lösung für Ihr Unternehmen ist.

Private Link ermöglicht privaten Zugriff auf Azure-Dienste. Hier bedeutet „privat“, dass die Verbindung das Microsoft Azure-Backbonenetzwerk anstelle des Internets verwendet. Um diese Umstellung vorzunehmen, ändert Private Link die Konnektivitätsmethode für die Azure-Ressource von öffentlichem Endpunkt in privaten Endpunkt.

Jetzt greifen Sie nicht mehr über eine öffentliche IP-Adresse auf die Azure-Ressource zu. Stattdessen verwenden Sie eine private IP-Adresse, die Azure der Ressource aus dem Adressraum Ihres Subnetzes zuweist.

Das wichtigste Ergebnis? Die Azure-Ressource ist nun effektiv ein Teil Ihres virtuellen Netzwerks. Clients in Ihrem Netzwerk können wie jede andere Netzwerkressource auf diese Private Link-Ressource zugreifen.

Für noch mehr Sicherheit nutzt die Verbindung mit der Ressource nun das Microsoft Azure-Backbonenetzwerk. Das heißt, dass sämtlicher Datenverkehr zu und von der Ressource das öffentliche Internet vollständig umgeht.

Der öffentliche Endpunkt der Ressource ist jedoch weiterhin vorhanden, auch wenn Sie ihn nicht verwenden. Das Vorhandensein eines öffentlichen Endpunkts (auch eines nicht verwendeten) stellt immer noch ein Sicherheitsrisiko dar. Glücklicherweise kann der öffentliche Endpunkt der Azure-Ressource deaktiviert werden, wodurch das potenzielle Sicherheitsproblem umgangen wird.

Funktionsweise des privaten Azure-Endpunkts

Wie stellen Sie eine Ressourcenschnittstelle von öffentlich auf privat um? Fügen Sie Ihrer Netzwerkkonfiguration einen privaten Azure-Endpunkt hinzu. Der private Endpunkt ist eine Netzwerkschnittstelle, die eine private Verbindung zwischen Ihrem virtuellen Netzwerk und einer angegebenen Azure-Ressource herstellt.

Der private Endpunkt nimmt eine nicht verwendete private IP-Adresse aus dem Adressraum eines angegebenen Subnetzes im virtuellen Netzwerk an. Angenommen, Sie verfügen beispielsweise über ein Subnetz, das den Adressraum 10.1.0.0/24 verwendet. Für virtuelle Computer in diesem Subnetz werden IP-Adressen wie z. B. 10.1.0.20 oder 10.1.0.155 verwendet.

Der private Endpunkt ruft eine IP-Adresse aus demselben Adressraum ab, z. B. 10.1.0.32. Der private Endpunkt ordnet diese Adresse dann einem angegebenen Azure-Dienst zu. Wenn Sie die private IP-Adresse verwenden, wird der Dienst effektiv in das virtuelle Netzwerk integriert.

Hinweis

Clients, die eine Verbindung mit einer Private Link-Ressource herstellen, müssen die zugewiesene IP-Adresse des privaten Endpunkts nicht in der Verbindungszeichenfolge verwenden. Wenn Sie stattdessen den privaten Endpunkt für die Integration in Ihre private DNS-Zone konfigurieren, weist Azure dem Endpunkt automatisch einen FQDN zu. Wenn die Private Link-Ressource z. B. eine Azure Storage-Tabelle ist, kann der FQDN etwa mystorageaccount1234.table.core.windows.net lauten.

Dies sind einige wichtige zu beachtende Punkte beim Auswerten des privaten Endpunkts:

  • Der private Endpunkt bietet private Konnektivität zwischen virtuellen Computern und anderen Clients in Ihrem virtuellen Azure-Netzwerk und in durch Private Link unterstützten Azure-Diensten.
  • Der private Endpunkt bietet private Konnektivität zwischen Ihren regionalen virtuellen Peernetzwerken und durch Private Link unterstützten Azure-Diensten.
  • Der private Endpunkt bietet private Konnektivität zwischen Ihren globalen virtuellen Peernetzwerken und durch Private Link unterstützten Azure-Diensten.
  • Der private Endpunkt bietet private Konnektivität zwischen Ihrem lokalen Netzwerk (über privates ExpressRoute-Peering oder ein VPN verbunden) und durch Private Link unterstützten Azure-Diensten.
  • Sie können pro virtuellem Netzwerk maximal 1.000 private Endpunktschnittstellen bereitstellen.
  • Sie können pro Azure-Abonnement maximal 64.000 private Endpunktschnittstellen bereitstellen.
  • Sie können der gleichen Private Link-Ressource maximal 1.000 private Endpunktschnittstellen zuordnen.

Achtung

Obwohl es möglich ist, mehrere private Endpunktschnittstellen einer einzelnen Ressource zuzuordnen, wird dies nicht empfohlen, da dies zu DNS-Konflikten und anderen Problemen führen kann. Die bewährte Methode besteht darin, nur einen einzelnen privaten Endpunkt einer einzelnen Private Link-Ressource zuzuordnen.

  • Verbindungen sind unidirektional. Dies bedeutet, dass nur Clients eine Verbindung mit einer privaten Endpunktschnittstelle herstellen können. Wenn ein Azure-Dienst einer privaten Endpunktschnittstelle zugeordnet ist, kann der Anbieter dieses Diensts keine Verbindung mit der privaten Endpunktschnittstelle herstellen (und diese nicht einmal wahrnehmen).
  • Eine bereitgestellte private Endpunktschnittstelle ist schreibgeschützt, was bedeutet, dass niemand sie ändern kann. Beispielsweise kann niemand die Schnittstelle einer anderen Ressource zuordnen, und die IP-Adresse der Schnittstelle kann nicht geändert werden.
  • Obwohl Sie den privaten Endpunkt in derselben Region wie Ihr virtuelles Netzwerk bereitstellen müssen, kann sich die Private Link-Ressource in einer anderen Region befinden.

Hinweis

Worin besteht der Unterschied zwischen einem Dienstendpunkt und einem privaten Endpunkt? Ein Dienstendpunkt konfiguriert eine Azure-Ressource so, dass nur Verbindungen von einem angegebenen virtuellen Netzwerk zugelassen werden. Diese Verbindung wird jedoch weiterhin über den öffentlichen Endpunkt der Ressource hergestellt, sodass einige Sicherheitsrisiken verbleiben. Der private Endpunkt entfernt diese Risiken, indem er die Deaktivierung des öffentlichen Endpunkts einer Ressource unterstützt.

Der Azure Private Link-Dienst integriert die Vorteile von Private Link in Ihre benutzerdefinierten Azure-Dienste. Die einzige Voraussetzung dafür ist, dass Sie Ihren benutzerdefinierten Dienst hinter Azure Load Balancer Standard ausführen. Sie können dann eine Ressource des Private Link-Diensts erstellen und diese an den Load Balancer anfügen.

Achtung

Azure bietet zwei Load Balancer-Versionen: Basic und Standard. Load Balancer Basic unterstützt den Private Link-Dienst nicht. Stellen Sie also sicher, dass Sie Load Balancer Standard verwenden.

Nachdem Sie die Ressource des Private Link-Diensts erstellt haben, gibt Azure einen Alias für die Ressource aus. Dabei handelt es sich um eine global eindeutige schreibgeschützte Zeichenfolge mit der Syntax präfix.guid.suffix:

  • Präfix. Ein Name, den Sie für den benutzerdefinierten Dienst angeben.
  • GUID. Eine global eindeutige ID, die automatisch von Azure generiert wird.
  • Suffix. Der Text region.azure.privatelinkservice. „region“ ist die Region, in der der Private Link-Dienst bereitgestellt wird.

Sie geben den Alias des Private Link-Diensts für die Consumer Ihres benutzerdefinierten Diensts frei. Jeder Consumer richtet dann einen privaten Endpunkt in seinem eigenen virtuellen Azure-Netzwerk ein. Der Consumer ordnet den Endpunkt dann dem Alias des Private Link-Diensts zu.

Dies sind einige wichtige zu beachtende Punkte beim Auswerten des Private Link-Diensts:

  • Auf Ihren Private Link-Dienst kann über einen privaten Endpunkt in einer beliebigen öffentlichen Region zugegriffen werden.
  • Der Private Link-Dienst muss in derselben Region wie der Load Balancer Standard und in demselben virtuellen Netzwerk bereitgestellt werden, das den benutzerdefinierten Azure-Dienst hostet.
  • Sie können pro Azure-Abonnement maximal 800 Ressourcen des Private Link-Diensts bereitstellen.
  • Maximal 1.000 private Endpunktschnittstellen können einer einzelnen Ressource des Private Link-Diensts zugeordnet werden.
  • Sie können mehrere Ressourcen des Private Link-Diensts für denselben Load Balancer Standard mit unterschiedlichen Front-End-IP-Konfigurationen bereitstellen.

Zusammenfügen des Gesamtbilds

Ist es Ihr Ziel, auf eine Azure-Ressource zuzugreifen, ohne das öffentliche Internet zu nutzen? Möchten Sie eine benutzerdefinierte Azure-Ressource privat anbieten? Wenn Sie eine Frage oder beide dieser Fragen mit „Ja“ beantwortet haben, dann erledigen Private Link, der private Endpunkt und der Private Link-Dienst diese Aufgabe wie folgt:

  • Erstellen Sie einen privaten Endpunkt in einem Subnetz Ihres virtuellen Azure-Netzwerks, um privat auf einen Azure PaaS-Dienst oder einen Azure-Dienst eines Microsoft-Partners zuzugreifen. Dieser private Endpunkt verwendet Private Link, um über eine private IP-Adresse über den Microsoft Azure-Backbone auf den Azure-Dienst zuzugreifen. Virtuelle Peernetzwerke und lokale Netzwerke, die privates ExpressRoute-Peering oder einen VPN-Tunnel verwenden, können ebenfalls über den privaten Endpunkt auf den Azure-Dienst zugreifen.
  • Um privaten Zugriff auf einen benutzerdefinierten Azure-Dienst zu bieten, platzieren Sie den Dienst hinter einem Load Balancer Standard, erstellen Sie eine Ressource des Private Link-Diensts, und fügen Sie sie der Front-End-IP-Konfiguration des Load Balancers hinzu.

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing Azures services via a private IP address mapped by Private Endpoint.