Private Link
Que sont Azure Private Endpoint et Azure Private Link ?
- Azure Private Endpoint : Azure Private Endpoint est une interface réseau qui vous permet de vous connecter de façon privée et sécurisée à un service basé sur Azure Private Link. Vous pouvez utiliser des points de terminaison privés pour vous connecter à un service Azure PaaS prenant en charge Private Link ou à votre propre service Private Link.
- Service Azure Private Link : Azure Private Link est un service créé par un fournisseur de services. Le service Private Link peut être attaché à la configuration d’adresse IP front-end d’un équilibreur de charge Standard.
Comment le trafic est envoyé lors de l’utilisation de Private Link ?
Le trafic est envoyé dans le cadre d’une connexion privée à l’aide de l’infrastructure principale Microsoft. Il ne passe pas par Internet. Azure Private Link ne stocke pas les données client.
Quelle est la différence entre des points de terminaison de service et des points de terminaison privés ?
- Les points de terminaison privés accordent un accès réseau à des ressources spécifiques derrière un service donné fournissant une segmentation granulaire. Le trafic peut atteindre la ressource du service à partir d’un emplacement local sans utiliser de points de terminaison publics.
- Un point de terminaison de service reste une adresse IP routable publiquement. Un point de terminaison privé est une adresse IP privée dans l’espace d’adressage du réseau virtuel sur lequel le point de terminaison privé est configuré.
Quel type de relation existe entre Private Endpoint et le service Private Link ?
Plusieurs types de ressources Private Link prennent en charge l’accès via des points de terminaison privés. Les ressources incluent les services Azure PaaS et votre propre service Private Link. Il s’agit d’une relation un-à-plusieurs.
Un service Azure Private Link reçoit des connexions provenant de plusieurs points de terminaison privés. Un point de terminaison privé se connecte à un service Azure Private Link.
Dois-je désactiver les stratégies réseau pour Private Link ?
Oui. Le service Private Link doit désactiver les stratégies réseau pour fonctionner correctement.
Puis-je utiliser pour les itinéraires définis par l’utilisateur uniquement, les groupes de sécurité réseau uniquement ou pour les deux pour Private EndPoint ?
Oui. Pour utiliser des stratégies telles que les itinéraires définis par les utilisateurs et les groupes de sécurité réseau, vous devez activer les stratégies réseau pour un sous-réseau dans un réseau virtuel pour le point de terminaison privé. Ce paramètre affecte tous les points de terminaison privés du sous-réseau.
Point de terminaison privé
Est-il possible de créer plusieurs points de terminaison privés dans un même réseau virtuel ? Peuvent-ils se connecter à des services différents ?
Oui. Il est possible d’avoir plusieurs points de terminaison privés dans un même réseau virtuel, et ceux-ci peuvent se connecter à des services différents.
Est-il possible de lier plusieurs zones DNS privées avec le même nom ?
Non, la création de plusieurs zones portant le même nom pour un seul réseau virtuel n’est pas prise en charge.
Ai-je besoin d’un sous-réseau dédié pour les points de terminaison privés ?
Non. Vous n’avez pas besoin d’un sous-réseau dédié pour les points de terminaison privés. Vous pouvez choisir l’adresse IP d’un point de terminaison privé sur n’importe quel sous-réseau du réseau virtuel où est déployé votre service.
Un point de terminaison privé peut-il se connecter aux services Private Link sur des locataires Microsoft Entra différents ?
Oui. Les points de terminaison privés peuvent se connecter à des services Private Link ou à un service Azure PaaS se trouvant sur des locataires Microsoft Entra différents. Les points de terminaison privés entre plusieurs locataires nécessitent une approbation manuelle des requêtes.
Private Endpoint peut-il se connecter à des ressources Azure PaaS situées dans une région Azure différente ?
Oui. Les points de terminaison privés peuvent se connecter à des ressources Azure PaaS situées dans une région Azure différente.
Puis-je modifier la carte d’interface réseau (NIC) de mon point de terminaison privé ?
Lors de la création d’un point de terminaison privé, une carte NIC en lecture seule est assignée. La carte réseau n’est pas modifiable. Elle est conservée pendant tout le cycle de vie du point de terminaison privé.
Comment assurer la disponibilité en utilisant des points de terminaison privés en cas de défaillances régionales ?
Les points de terminaison privés sont des ressources hautement disponibles avec un contrat SLA comme d’après SLA pour Azure Private Link. Toutefois, étant donné qu’il s’agit de ressources régionales, toute panne de la région Azure peut affecter la disponibilité. Pour garantir la disponibilité en cas de défaillances régionales, plusieurs points de terminaison privés connectés à la même ressource de destination peuvent être déployés dans différentes régions. De cette façon, si une région tombe en panne, vous pouvez toujours acheminer le trafic de vos scénarios de récupération via le point de terminaison privé dans une autre région pour accéder à la ressource de destination. Pour plus d’informations sur la façon dont les défaillances régionales sont gérées côté service de destination, consultez la documentation de service sur le basculement et la récupération. Le trafic de Private Link suit la résolution de Azure DNS pour le point de terminaison de destination.
Comment assurer la disponibilité en utilisant des points de terminaison privés en cas de défaillances de la zone de disponibilité ?
Les points de terminaison privés sont des ressources hautement disponibles avec un contrat SLA comme d’après SLA pour Azure Private Link. Les points de terminaison privés sont indépendants des zones : l’échec d’une zone de disponibilité dans la région du point de terminaison privé n’a pas d’impact sur la disponibilité du point de terminaison privé.
Les points de terminaison privés prennent-ils en charge le trafic ICMP ?
Le trafic TCP et UDP est pris en charge uniquement pour un point de terminaison privé. Pour plus d’informations, consultez Limitations de Private Link.
Service Liaison privée
Quels sont les prérequis à la création d’un service Private Link ?
Vos back-ends de service doivent se trouver sur un réseau virtuel et derrière un Standard Load Balancer.
Comment mettre à l’échelle mon service Private Link ?
Vous pouvez mettre à l’échelle votre service Private Link de différentes manières :
- Ajoutez des machines virtuelles back-end au pool derrière votre équilibreur de charge Standard.
- Ajoutez une adresse IP au service Private Link. Vous pouvez utiliser jusqu’à 8 adresses IP par service Private Link.
- Ajoutez un nouveau service Private Link à Standard Load Balancer. Vous pouvez utiliser jusqu’à 8 services Private Link par équilibreur de charge standard.
Que représente la configuration IP NAT (Network Address Translation) IP utilisée dans le service Private Link ? Comment effectuer un scale-in en termes de ports et de connexions disponibles ?
- La configuration IP NAT garantit que l’espace d’adressage source (consommateur) et de destination (fournisseur de services) n’ont pas de conflits d’adresses IP. La configuration fournit une NAT source pour le trafic de liaison privée pour la destination. L’adresse IP NAT s’affichera en tant qu’adresse IP source pour tous les paquets reçus par votre service, et en tant qu’adresse IP de destination pour tous les paquets envoyés par votre service. L’adresse IP NAT peut être choisie à partir de n’importe quel sous-réseau du réseau virtuel d’un fournisseur de services.
- Chaque adresse IP NAT fournit 64 000 connexions TCP (64 000 ports) par machine virtuelle derrière l’équilibreur de charge standard. Pour mettre à l’échelle et ajouter d’autres connexions, vous pouvez ajouter de nouvelles adresses IP NAT, ou ajouter d’autres machines virtuelles derrière l’équilibreur de charge standard. Cela permet de mettre à l’échelle la disponibilité du port et d’autoriser plus de connexions. Les connexions seront réparties entre les adresses IP NAT et les machines virtuelles situées derrière l’équilibreur de charge standard.
Est-il possible de connecter son service à plusieurs points de terminaison privés ?
Oui. Un service Private Link peut recevoir des connexions provenant de plusieurs points de terminaison privés. En revanche, un point de terminaison privé ne peut se connecter qu’à un seul service Private Link.
Comment contrôler l’exposition de mon service Private Link ?
Vous pouvez contrôler son exposition en configurant la visibilité dans le service Private Link. La visibilité comprend trois paramètres :
- Aucune : Seuls les abonnements avec accès en fonction du rôle peuvent localiser le service.
- Restreinte : Seuls les abonnements figurant sur la liste verte et disposant d’un accès en fonction du rôle peuvent localiser le service.
- Tout le monde - Tout le monde peut localiser le service.
Est-il possible de créer un service Private Link avec un équilibreur de charge de base ?
Non. Il n’est pas possible de créer un service Azure Private Link avec un équilibreur de charge de base.
Est-il nécessaire d’avoir un sous-réseau dédié pour un service Private Link ?
Non. Il n’est pas nécessaire d’avoir un sous-réseau dédié pour le service Private Link. Vous pouvez choisir n’importe quel sous-réseau du réseau virtuel où est déployé votre service.
Je suis fournisseur de services et j’utilise Azure Private Link. Dois-je m’assurer que tous mes clients disposent de leur propre espace d’adressage IP afin qu’ils ne chevauchent pas le mien ?
Non. Azure Private Link s’en charge à votre place. Vous n’êtes pas obligé d’avoir un espace d’adressage qui ne chevauche pas celui de vos clients.
Étapes suivantes
- En savoir plus sur Azure Private Link