Mi az a privát végpont?

  • Cikk

Egy privát végpont a virtuális hálózat egy privát IP-címét használó hálózati csatlakozási felület. Ez csatlakoztatja privát és biztonságos módon egy Azure Private Link által működtetett szolgáltatáshoz. Privát végpont engedélyezésével a virtuális hálózatába vonja be a szolgáltatást.

A szolgáltatás lehet egy Azure-szolgáltatás, például:

  • Azure Storage
  • Azure Cosmos DB
  • Azure SQL Database
  • Saját szolgáltatása a Private Link szolgáltatással.

Privát végpont tulajdonságai

A privát végpont a következő tulajdonságokat adja meg:

Tulajdonság Leírás
Név Egyedi név az erőforráscsoporton belül.
Alhálózat Az üzembe helyezendő alhálózat, ahol a magánhálózati IP-cím van hozzárendelve. Az alhálózati követelményekről a cikk későbbi, Korlátozások szakaszában olvashat.
Privát kapcsolatú erőforrás Az elérhető típusok listájából az erőforrás-azonosító vagy alias használatával csatlakozni kívánt privát kapcsolatú erőforrás. A rendszer egyedi hálózati azonosítót hoz létre az erőforrásnak küldött összes forgalomhoz.
Cél-alforrás A csatlakozni kívánt alforrás. Minden privát kapcsolatú erőforrástípus különböző lehetőségeket kínál a beállítások alapján.
Csatlakozás-jóváhagyási módszer Automatikus vagy manuális. Az Azure szerepköralapú hozzáférés-vezérlési engedélyétől függően a privát végpont automatikusan jóváhagyható. Ha Azure-szerepköralapú engedélyek nélkül csatlakozik egy privát kapcsolatú erőforráshoz, a manuális módszerrel engedélyezheti az erőforrás tulajdonosának, hogy jóváhagyja a kapcsolatot.
Üzenet kérése Megadhat egy üzenetet a kért kapcsolatok manuális jóváhagyásához. Ez az üzenet egy adott kérés azonosítására használható.
Kapcsolat állapota Írásvédett tulajdonság, amely meghatározza, hogy a privát végpont aktív-e. Csak jóváhagyott állapotú privát végpontok használhatók a forgalom küldésére. További elérhető állapotok:
  • Jóváhagyva: A kapcsolat automatikusan vagy manuálisan lett jóváhagyva, és készen áll a használatra.
  • Függőben: A kapcsolatot manuálisan hozták létre, és a magánhálózati erőforrás tulajdonosa jóváhagyásra vár.
  • Elutasítva: A kapcsolatot a magánhálózati erőforrás tulajdonosa elutasította.
  • Megszakadt: A kapcsolatot a privát kapcsolat erőforrás-tulajdonosa eltávolította. A privát végpont informatív lesz, és törölni kell a törléshez.

    • Privát végpontok létrehozásakor vegye figyelembe a következőket:

    • A privát végpontok ugyanabból engedélyezik az ügyfelek közötti kapcsolatot:

      • Virtuális hálózat
      • Regionálisan társviszonyban található virtuális hálózatok
      • Globálisan társviszonyba tartozó virtuális hálózatok
      • VPN-t vagy Express Route-t használó helyszíni környezetek
      • Private Link által üzemeltetett szolgáltatások

    • A hálózati kapcsolatokat csak a privát végponthoz csatlakozó ügyfelek kezdeményezhetik. A szolgáltatók nem rendelkeznek útválasztási konfigurációval a szolgáltatás ügyfeleivel való kapcsolatok létrehozásához. Csatlakozás csak egyetlen irányban hozhatók létre.

    • A rendszer automatikusan létrehoz egy írásvédett hálózati adaptert a privát végpont életciklusához. Az interfészhez egy dinamikus privát IP-cím van hozzárendelve az alhálózatról, amely leképezve van a privát kapcsolatú erőforráshoz. A privát IP-cím értéke nem változik a privát végpont teljes életciklusára vonatkozóan.

    • A privát végpontot ugyanabban a régióban és előfizetésben kell üzembe helyezni, mint a virtuális hálózatot.

    • A privát kapcsolatú erőforrás a virtuális hálózathoz és a privát végponthoz tartozótól eltérő régióban helyezhető üzembe.

    • Több privát végpont is létrehozható ugyanazzal a privát kapcsolattal rendelkező erőforrással. A közös DNS-kiszolgálókonfigurációt használó egyetlen hálózat esetében ajánlott egyetlen privát végpontot használni egy adott privát kapcsolatú erőforráshoz. Ezzel a gyakorlattal elkerülheti az ismétlődő bejegyzéseket vagy ütközéseket a DNS-feloldásban.

    • Ugyanazon a virtuális hálózaton több privát végpont is létrehozható ugyanazon vagy különböző alhálózatokon. Az előfizetésben létrehozható privát végpontok száma korlátozott. További információkért tekintse meg az Azure korlátait.

    • A privát kapcsolati erőforrást tartalmazó előfizetést regisztrálni kell a Microsoft hálózati erőforrás-szolgáltatónál. A privát végpontot tartalmazó előfizetést a Microsoft hálózati erőforrás-szolgáltatónál is regisztrálni kell. További információ: Azure Resource Providers.

    A privát kapcsolatú erőforrás egy megadott privát végpont célhelye. Az alábbi táblázat felsorolja a privát végpontot támogató rendelkezésre álló erőforrásokat:

    Privát kapcsolatú erőforrás neve Erőforrás típusa Alerőforrások
    Application Gateway Microsoft.Network/applicationgateways Előtérbeli IP-konfiguráció neve
    Azure AI services Microsoft.CognitiveServices/accounts account
    Azure API for FHIR (Fast Healthcare Interoperability Resources) Microsoft.HealthcareApis/services fhir
    Azure App Configuration Microsoft.Appconfiguration/configurationStores configurationStores
    Azure App Service Microsoft.Web/hostingEnvironments üzemeltetési környezet
    Azure App Service Microsoft.Web/sites Helyek
    Azure Automation Microsoft.Automation/automationAccounts Webhook, DSCAndHybridWorker
    Azure Backup Microsoft.RecoveryServices/tárolók AzureBackup, AzureSiteRecovery
    Azure Batch Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Azure Cache for Redis Microsoft.Cache/Redis redisCache
    Azure Cache for Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure AI Keresés Microsoft.Search/searchServices searchService
    Azure Container Registry Microsoft.ContainerRegistry/regisztrációs adatbázisok Rendszerleíró
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Table
    Azure Cosmos DB for PostgreSQL Microsoft.DBforPostgreSQL/serverGroupsv2 Koordinátor
    Azure Cosmos DB for MongoDB vCore Microsoft.DocumentDb/mongoClusters mongoCluster
    Azure Data Explorer Microsoft.Kusto/fürtök Fürt
    Azure Data Factory Microsoft.DataFactory/factorys dataFactory
    Azure Database for MariaDB Microsoft.DBforMariaDB/servers mariadbServer
    Azure Database for MySQL – Önálló kiszolgáló Microsoft.DBforMySQL/servers mysqlServer
    Rugalmas Azure Database for MySQL-kiszolgáló Microsoft.DBforMySQL/flexibleServers mysqlServer
    Azure Database for PostgreSQL – Önálló kiszolgáló Microsoft.DBforPostgreSQL/servers postgresqlServer
    Azure Databricks Microsoft.Databricks/workspaces databricks_ui_api, browser_authentication
    Azure Device Provisioning Service Microsoft.Devices/provisioningServices iotDps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances API
    Azure Event Grid Microsoft.EventGrid/domains domain
    Azure Event Grid Microsoft.EventGrid/topics témakör
    Azure Event Hub Microsoft.EventHub/namespaces névtér
    Azure File Sync Microsoft.StorageSync/storageSyncServices Fájlszinkronizálási szolgáltatás
    Azure HDInsight Microsoft.HDInsight/fürtök Fürt
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Azure IoT Hub Microsoft.Devices/IotHubs iotHub
    Azure Key Vault Microsoft.KeyVault/vaults tár
    Azure Key Vault HSM (hardveres biztonsági modul) Microsoft.Keyvault/managedHSMs HSM
    Azure Kubernetes Service – Kubernetes API Microsoft.ContainerService/managedClusters felügyelet
    Azure Machine Learning Microsoft.Machine Tanulás Services/regiszries amlregistry
    Azure Machine Learning Microsoft.Machine Tanulás Szolgáltatások/munkaterületek amlworkspace
    Azure Managed Disks Microsoft.Compute/diskAccesses felügyelt lemez
    Azure Media Services Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint
    Azure Migrate Microsoft.Migrate/assessmentProjects projekt
    Az Azure Monitor privát kapcsolat hatóköre Microsoft. Elemzések/privatelinkscopes azuremonitor
    Azure Relay Microsoft.Relay/névterek névtér
    Azure Service Bus Microsoft.ServiceBus/névterek névtér
    Azure SignalR szolgáltatás Microsoft.SignalRService/SignalR signalr
    Azure SignalR szolgáltatás Microsoft.SignalRService/webPubSub webpubsub
    Azure SQL Database Microsoft.Sql/servers SQL Server (sqlServer)
    Felügyelt Azure SQL-példány Microsoft.Sql/managedInstances managedInstance
    Azure Static Web Apps Microsoft.Web/staticSites staticSites
    Azure Storage Microsoft.Storage/storageAccounts Blob (blob, blob_secondary)
    Táblázat (tábla, table_secondary)
    Üzenetsor (üzenetsor, queue_secondary)
    Fájl (fájl, file_secondary)
    Web (web, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure Synapse Microsoft.Synapse/privateLinkHubs web
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Dev
    Azure Virtual Desktop – gazdagépkészletek Microsoft.DesktopVirtualization/hostpools kapcsolat
    Azure Virtual Desktop – munkaterületek Microsoft.DesktopVirtualization/workspaces hírcsatorna
    globális
    Eszközfrissítés az IoT Hubhoz Microsoft.DeviceUpdate/accounts DeviceUpdate
    Microsoft Purview Microsoft.Purview/accounts account
    Microsoft Purview Microsoft.Purview/accounts portál
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Private Link szolgáltatás (saját szolgáltatás) Microsoft.Network/privateLinkServices üres
    Erőforrás-kezelés – privát hivatkozások Microsoft.Authorization/resourceManagementPrivateLinks ResourceManagement

    Feljegyzés

    Privát végpontokat csak általános célú v2 (GPv2) tárfiókon hozhat létre.

    Privát végpontok hálózati biztonsága

    Privát végpontok használata esetén a forgalom privát kapcsolatú erőforráshoz lesz biztosítva. A platform ellenőrzi a hálózati kapcsolatokat, így csak azokat engedélyezi, amelyek elérik a megadott privát kapcsolati erőforrást. Ha több alforrást szeretne elérni ugyanabban az Azure-szolgáltatásban, több privát végpontra van szükség a megfelelő célokkal. Az Azure Storage esetében például külön privát végpontokra lenne szükség a fájl - és blob-alforrás eléréséhez.

    A privát végpontok privátan elérhető IP-címet biztosítanak az Azure-szolgáltatás számára, de nem feltétlenül korlátozzák a nyilvános hálózati hozzáférést. Minden más Azure-szolgáltatáshoz azonban további hozzáférés-vezérlésre van szükség. Ezek a vezérlők további hálózati biztonsági réteget biztosítanak az erőforrások számára, amely védelmet nyújt a privát kapcsolatú erőforráshoz társított Azure-szolgáltatáshoz való hozzáférés megakadályozásához.

    A privát végpontok támogatják a hálózati szabályzatokat. A hálózati szabályzatok lehetővé teszik a hálózati biztonsági csoportok (NSG), a felhasználó által megadott útvonalak (UDR) és az alkalmazásbiztonsági csoportok (ASG) támogatását. A hálózati szabályzatok privát végpontokhoz való engedélyezéséről további információt a privát végpontok hálózati szabályainak kezelése című témakörben talál. Ha privát végponttal rendelkező ASG-t szeretne használni, tekintse meg az alkalmazásbiztonsági csoport (ASG) privát végponttal való konfigurálását.

    Privát kapcsolatú erőforráshoz a következő kapcsolat-jóváhagyási módszerekkel csatlakozhat:

    • Automatikus jóváhagyás: Ezt a módszert akkor használja, ha rendelkezik az adott privát kapcsolatú erőforrás tulajdonosával vagy engedélyével. A szükséges engedélyek a privát kapcsolat erőforrástípusán alapulnak az alábbi formátumban:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Manuális kérés: Akkor használja ezt a módszert, ha nem rendelkezik a szükséges engedélyekkel, és hozzáférést szeretne kérni. Jóváhagyási munkafolyamat indul el. A privát végpont és a későbbi privát végpont kapcsolatai függőben lévő állapotban jönnek létre. A kapcsolat jóváhagyásáért a magánhálózati erőforrás tulajdonosa felelős. A jóváhagyást követően a privát végpont a szokásos módon küldi el a forgalmat, ahogyan az a következő jóváhagyási munkafolyamat-diagramon is látható:

    A munkafolyamat jóváhagyási folyamatának diagramja.

    Magánvégpont-kapcsolaton keresztül a privát kapcsolatú erőforrás tulajdonosa a következőket teheti:

    • Tekintse át a privát végpont kapcsolatának részleteit.
    • Magánvégpont-kapcsolat jóváhagyása. A megfelelő privát végpont engedélyezi a forgalmat a privát kapcsolatú erőforrásnak.
    • Privát végpontkapcsolat elvetése. A megfelelő privát végpont frissül az állapotnak megfelelően.
    • Privát végpont kapcsolatának törlése bármilyen állapotban. A megfelelő privát végpont leválasztott állapottal frissül, hogy tükrözze a műveletet. A privát végpont tulajdonosa jelenleg csak az erőforrást törölheti.

    Feljegyzés

    Csak a jóváhagyott állapotú privát végpontok küldhetnek forgalmat egy adott privát kapcsolatú erőforrásnak.

    Csatlakozás alias használatával

    Az alias egy egyedi moniker, amely akkor jön létre, amikor egy szolgáltatástulajdonos privát kapcsolatú szolgáltatást hoz létre egy standard terheléselosztó mögött. A szolgáltatástulajdonosok offline módon oszthatják meg ezt az aliast a szolgáltatás felhasználóival.

    A felhasználók az erőforrás URI vagy az alias használatával kérhetnek kapcsolatot egy privát kapcsolati szolgáltatással. Ha az alias használatával szeretne csatlakozni, hozzon létre egy privát végpontot a manuális kapcsolat-jóváhagyási módszerrel. A manuális kapcsolat-jóváhagyási módszer használatához állítsa a manuális kérelem paraméterét True értékre a privát végpont létrehozási folyamata során. További információ: New-AzPrivateEndpoint és az az network private-endpoint create.

    Feljegyzés

    Ez a manuális kérés automatikusan jóváhagyható, ha a fogyasztó előfizetése engedélyezve van a szolgáltató oldalán. További információ: szolgáltatáshozzáférés szabályozása.

    DNS-konfiguráció

    A privát kapcsolattal rendelkező erőforrásokhoz való csatlakozáshoz használt DNS-beállítások fontosak. Előfordulhat, hogy a meglévő Azure-szolgáltatások már rendelkeznek dns-konfigurációval, amelyet akkor használhat, ha nyilvános végponton keresztül csatlakozik. Ha ugyanahhoz a szolgáltatáshoz privát végponton keresztül szeretne csatlakozni, külön DNS-beállításokra van szükség, amelyek gyakran privát DNS-zónákon keresztül vannak konfigurálva. Győződjön meg arról, hogy a DNS-beállítások helyesek, ha a teljes tartománynevet (FQDN) használja a kapcsolathoz. A beállításokat a privát végpont privát IP-címére kell feloldani.

    A privát végponthoz társított hálózati adapter tartalmazza a DNS konfigurálásához szükséges információkat. Az információk tartalmazzák a magánhálózati erőforrás teljes tartománynevét és magánhálózati IP-címét.

    A privát végpontok DNS-ének konfigurálására vonatkozó javaslatokról részletes információt a privát végpont DNS-konfigurációja című témakörben talál.

    Korlátozások

    Az alábbi információk a privát végpontok használatára vonatkozó ismert korlátozásokat sorolják fel:

    Statikus IP-cím

    Korlátozás Leírás
    A statikus IP-cím konfigurációja jelenleg nem támogatott. Azure Kubernetes Service (AKS)
    Azure-alkalmazás Gateway
    HD Insight
    Recovery Services-tárolók külső magánhálózati szolgáltatások

    Hálózati biztonsági csoport

    Korlátozás Leírás
    A privát végpont hálózati adapterének érvényes útvonalai és biztonsági szabályai nem érhetők el. Az érvényes útvonalak és biztonsági szabályok nem jelennek meg a privát végpont hálózati adapteréhez az Azure Portalon.
    Az NSG-folyamatnaplók nem támogatottak. Az NSG-forgalom naplói nem érhetők el a privát végpontra irányuló bejövő forgalomhoz.
    Egy alkalmazásbiztonsági csoport legfeljebb 50 tagja lehet. Az ötven azoknak az IP-konfigurációknak a száma, amelyek a privát végpont alhálózatán lévő NSG-hez kapcsolódó egyes ASG-khez köthetők. Csatlakozás több mint 50 taggal kapcsolatos hibák léphetnek fel.
    A célporttartományok legfeljebb 250 K-os tényezőig támogatottak. A célporttartományok a SourceAddressPrefixes, a DestinationAddressPrefixes és a DestinationPortRanges szorzásként támogatottak.

    Példa bejövő szabályra:
    Egy forrás * egy cél * 4K portRanges = 4K Érvényes
    10 forrás * 10 cél * 10 portRanges = 1 K Érvényes
    50 forrás * 50 cél * 50 portRanges = 125 K Érvényes
    50 forrás * 50 célhely * 100 portRanges = 250 K Érvényes
    100 forrás * 100 cél * 100 portRanges = 1M Érvénytelen, az NSG-nek túl sok forrása/célja/portja van.
    A forrásportszűrés *-ként van értelmezve A forrásportszűrés nem használható aktívan a privát végpontra irányuló forgalom szűrésének érvényes forgatókönyveként.
    A funkció nem érhető el a kijelölt régiókban. Jelenleg nem érhető el a következő régiókban:
    Nyugat-India
    Ausztrália középső 2
    dél-afrikai nyugat-brazíliai
    délkelet-kormányzati
    régió
    minden kínai régióban

    Az NSG további szempontjai

    • A privát végpontról megtagadott kimenő forgalom nem érvényes forgatókönyv, mivel a szolgáltató nem tud forgalmat kezdeményezni.

    • Az alábbi szolgáltatásokhoz szükség lehet arra, hogy az összes célport nyitva legyen egy privát végpont használata és az NSG biztonsági szűrőinek hozzáadásakor:

    UDR

    Korlátozás Leírás
    Az SNAT mindig ajánlott. A privát végpont adatsíkjának változó természete miatt ajánlott a privát végpontra irányuló SNAT-forgalom biztosítása, hogy a visszatérési forgalom betartva legyen.
    A funkció nem érhető el a kijelölt régiókban. Jelenleg nem érhető el a következő régiókban:
    Nyugat-India
    Ausztrália Középső 2
    Dél-Afrika Nyugat-Brazília
    Délkelet-Brazília

    Alkalmazásbiztonsági csoport

    Korlátozás Leírás
    A funkció nem érhető el a kijelölt régiókban. Jelenleg nem érhető el a következő régiókban:
    Nyugat-India
    Ausztrália Középső 2
    Dél-Afrika Nyugat-Brazília
    Délkelet-Brazília

    Következő lépések