Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A privát végpont egy hálózati csatoló, amely a virtuális hálózat egy privát IP-címét használja. Ez a hálózati interfész privát és biztonságos módon csatlakoztat egy Azure Private Link által működtetett szolgáltatáshoz. Privát végpont engedélyezésével a virtuális hálózatába vonja be a szolgáltatást.
A szolgáltatás lehet egy Azure-szolgáltatás, például:
- Azure Storage
- Azure Cosmos DB (adatbázis)
- Azure SQL Database
- A saját szolgáltatása, amely a Private Link szolgáltatást használja.
Privát végpont tulajdonságai
A privát végpont a következő tulajdonságokat adja meg:
| Tulajdonság | Leírás |
|---|---|
| Név | Egyedi név az erőforráscsoporton belül. |
| Alhálózat | Az üzembe helyezendő alhálózat, ahol a magánhálózati IP-cím van hozzárendelve. Az alhálózati követelményekről a cikk későbbi, Korlátozások szakaszában olvashat. |
| Privát kapcsolatú erőforrás | Az erőforrás-azonosító vagy alias használatával csatlakozni kívánt privát kapcsolatú erőforrás az elérhető típusok listájából. A rendszer egyedi hálózati azonosítót hoz létre az erőforrásnak küldött összes forgalomhoz. |
| Cél-alforrás | A csatlakozni kívánt alforrás. Minden privát kapcsolatú erőforrástípus különböző lehetőségeket kínál a beállítások alapján. |
| Kapcsolatjóváhagyási módszer | Automatikus vagy manuális. Az Azure szerepköralapú hozzáférés-vezérlési engedélyétől függően a privát végpont automatikusan jóváhagyható. Ha Azure-szerepköralapú engedélyek nélkül csatlakozik egy privát kapcsolatú erőforráshoz, a manuális módszerrel engedélyezheti az erőforrás tulajdonosának, hogy jóváhagyja a kapcsolatot. |
| Üzenet kérése | Megadhat egy üzenetet a kért kapcsolatok manuális jóváhagyásához. Ez az üzenet egy adott kérés azonosítására használható. |
| Kapcsolat állapota | Írásvédett tulajdonság, amely meghatározza, hogy a privát végpont aktív-e. Csak jóváhagyott állapotú privát végpontok használhatók a forgalom küldésére. További elérhető állapotok: |
Privát végpontok létrehozásakor vegye figyelembe a következőket:
A privát végpontok ugyanabból engedélyezik az ügyfelek közötti kapcsolatot:
- Virtuális hálózat
- Regionálisan társviszonyban található virtuális hálózatok
- Globálisan társviszonyba tartozó virtuális hálózatok
- VPN-t vagy Express Route-t használó helyszíni környezetek
- Private Link által üzemeltetett szolgáltatások
A hálózati kapcsolatokat csak a privát végponthoz csatlakozó ügyfelek kezdeményezhetik. A szolgáltatók nem rendelkeznek útválasztási konfigurációval a szolgáltatás ügyfeleivel való kapcsolatok létrehozásához. A kapcsolatok csak egyetlen irányban hozhatók létre.
A rendszer automatikusan létrehoz egy írásvédett hálózati adaptert a privát végpont életciklusa alatt. Az interfészhez az alhálózatból rendelnek egy dinamikus privát IP-címet, amely a privát kapcsolat erőforrásához kapcsolódik. A privát IP-cím értéke nem változik a privát végpont teljes életciklusára vonatkozóan.
A privát végpontot ugyanabban a régióban és előfizetésben kell üzembe helyezni, mint a virtuális hálózatot.
A privát kapcsolatú erőforrás a virtuális hálózathoz és a privát végponthoz tartozótól eltérő régióban helyezhető üzembe.
Több privát végpont is létrehozható ugyanazzal a privát kapcsolattal rendelkező erőforrással. A közös DNS-kiszolgálókonfigurációt használó egyetlen hálózat esetében ajánlott egyetlen privát végpontot használni egy adott privát kapcsolatú erőforráshoz. Ezzel a gyakorlattal elkerülheti az ismétlődő bejegyzéseket vagy ütközéseket a DNS-feloldásban.
Ugyanazon a virtuális hálózaton több privát végpont is létrehozható ugyanazon vagy különböző alhálózatokon. Az előfizetésben létrehozható privát végpontok száma korlátozott. További információkért tekintse meg az Azure korlátait.
A privát kapcsolati erőforrást tartalmazó előfizetést regisztrálni kell a Microsoft hálózati erőforrás-szolgáltatónál. A privát végpontot tartalmazó előfizetést a Microsoft hálózati erőforrás-szolgáltatónál is regisztrálni kell. További információ: Azure Resource Providers.
Privát kapcsolatú erőforrás
A privát kapcsolatú erőforrás egy megadott privát végpont célhelye. Az alábbi táblázat felsorolja a privát végpontot támogató rendelkezésre álló erőforrásokat:
| Privát kapcsolatú erőforrás neve | Erőforrás típusa | Alerőforrások |
|---|---|---|
| Alkalmazási átjáró | Microsoft.Network/applicationgateways | Előtérbeli IP-konfiguráció neve |
| Azure AI Keresés | Microsoft.Keresés/keresésiSzolgáltatások | keresőszolgáltatás |
| Azure AI-szolgáltatások | Microsoft.CognitiveServices/accounts | fiók |
| Azure API for FHIR (Gyors Egészségügyi Interoperabilitási Erőforrások) | Microsoft HealthcareApis szolgáltatások | fhir |
| Azure API Management | Microsoft.ApiManagement/szolgáltatás | Átjáró |
| Azure Alkalmazás Konfiguráció | Microsoft.Appconfiguration/configurationTárolók | konfigurációs tárolók |
| Azure App Service | Microsoft.Web/tárhelyiKörnyezetek | üzemeltetési környezet |
| Azure App Service | Microsoft.Web/webhelyek | Helyek |
| Azure Hitelesítési Szolgáltatás | Microsoft.Attestation/attestationProviders (hitelesítési szolgáltatók) | normál |
| Azure Automation | Microsoft.Automation/automationAccounts | Webhook, DSCAndHybridWorker |
| Azure Backup | Microsoft.RecoveryServices/tárhelyek | AzureBackup, AzureSiteRecovery |
| Azure Batch (felhőalapú erőforrás-kezelés) | Microsoft.Batch/batchAccounts | batchAccount, nodeManagement |
| Azure Cache for Redis (Redis gyorsítótár az Azure-ban) | Microsoft.Cache/Redis | redis gyorsítótár |
| Azure Gyorsítótár Redis Vállalati verzióhoz | Microsoft.Cache/redisEnterprise | redisEnterprise |
| Azure Container-alkalmazások | Microsoft.App/ManagedEnvironments | kezelt környezetek |
| Azure Container Registry (tárolónyilvántartó) | Microsoft.ContainerRegistry/regisztrációs adatbázisok | nyilvántartás |
| Azure Cosmos DB (adatbázis) | Microsoft.AzureCosmosDB/adatbázisFiókok | SQL, MongoDB, Cassandra, Gremlin, Table |
| Azure Cosmos DB for MongoDB virtuális mag | Microsoft.DocumentDb/mongoClusters | mongo klaszter |
| Azure Cosmos DB PostgreSQL-hez | Microsoft.DBforPostgreSQL/serverGroupsv2 | Koordinátor |
| Azure Adatfeltérképező | Microsoft.Kusto/fürtök | klaszter |
| Azure Data Factory | Microsoft.DataFactory/gyárak | dataFactory |
| Azure adatbázis MariaDB-hez | Microsoft.DBforMariaDB/servers | MariaDB szerver |
| Azure Database for MySQL – Rugalmas kiszolgáló | Microsoft.DBforMySQL/flexibleServers | MySQL Szerver |
| Azure Database for MySQL – Önálló kiszolgáló | Microsoft.DBforMySQL/servers (MySQL-adatbázis szerverek) | MySQL Szerver |
| Azure Database for PostgreSQL – Rugalmas kiszolgáló | Microsoft.DBforPostgreSQL/flexibleServers | PostgreSQL szerver |
| Azure Database for PostgreSQL – Önálló kiszolgáló | Microsoft.DBforPostgreSQL/servers | PostgreSQL szerver |
| Azure Databricks | Microsoft.Databricks/workspaces | databricks_ui_api, böngésző-hitelesítés |
| Azure Eszköz Előzetes Telepítési Szolgáltatás | Microsoft.Devices/provisioningSzolgáltatások | iotDps |
| Azure Digital Twins (Digitális Ikrek) | Microsoft.DigitalTwins/digitalTwinsInstances | Alkalmazásprogramozási interfész (API) |
| Azure Event Grid | Microsoft.EventGrid/domains | tartomány |
| Azure Event Grid | Microsoft.EventGrid témák | téma |
| Azure Event Hub | Microsoft.EventHub/névterek | névtér |
| Azure File Sync | Microsoft.StorageSync/storageSyncServices | Fájlszinkronizálási szolgáltatás |
| Azure HDInsight | Microsoft.HDInsight/fürtök | klaszter |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps | IoTApps |
| Azure IoT Hub | Microsoft.Devices/IotHubs | iotHub |
| Azure Key Vault | Microsoft.KeyVault/vaults | tár |
| Azure Key Vault HSM (hardveres biztonsági modul) | Microsoft.Keyvault/managedHSMs | Hardverbiztonsági modul (HSM) |
| Azure Kubernetes Service – Kubernetes API | Microsoft.Tárolószolgáltatás/kezeltFürtök | felügyelet |
| Azure Machine Learning | Microsoft.MachineLearningServices/regiszterek | AML-nyilvántartás |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces | amlworkspace |
| Azure Managed Disks | Microsoft.Compute/lemezhozzáférések | felügyelt lemez |
| Azure Media Services | Microsoft.Media/mediaservices | kulcsszállítás, élőesemény, streamingvégpont |
| Azure Migrate | Microsoft.Migrate/assessmentProjects | projekt |
| Az Azure Monitor privát kapcsolat hatóköre | Microsoft.Insights/privatelinkscopes | azuremonitor |
| Azure Relay | Microsoft.Relay/névterek | névtér |
| Azure Service Bus (Azure Szolgáltatási Busz) | Microsoft.ServiceBus/névterek | névtér |
| Azure SignalR szolgáltatás | Microsoft.SignalRService/SignalR | SignalR |
| Azure SignalR szolgáltatás | Microsoft.SignalRService/webPubSub | webpubsub |
| Azure SQL Database | Microsoft.Sql/kiszolgálók | SQL Server (sqlServer) |
| Azure SQL Kezelt Példány | Microsoft.Sql/managedInstances | kezeltPéldány |
| Azure Statikus Webalkalmazások | Microsoft.Web/staticSites | statikus oldalak |
| Azure Storage | Microsoft.Tárhely/tárolófiókok | Golyó (blob, blob_secondary) Táblázat (tábla, table_secondary) Sor (sor, sor_másodlagos) Fájl (fájl, fájl_mellékes) Web (web, web_másodlagos) Dfs (dfs, dfs_secondary) |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | háló |
| Azure Synapse Analytics | Microsoft.Synapse/munkaterületek | Sql, SqlOnDemand, Dev |
| Azure AI Video Indexer | Microsoft.VideoIndexer/accounts | fiók |
| Azure Virtual Desktop – host poolok | Microsoft.DesktopVirtualization/hostpools | kapcsolat |
| Azure Virtual Desktop – munkaterületek | Microsoft.DesktopVirtualization/workspaces | hírcsatorna globális |
| Eszközfrissítés az IoT Hubhoz | Microsoft.DeviceUpdate/fiókok | EszközFrissítés |
| Integrációs fiók (Prémium) | Microsoft.Logic/integrációsFiókok | integrációs fiók |
| Microsoft Purview | Microsoft.Purview/accounts | fiók |
| Microsoft Purview | Microsoft.Purview/accounts | portál |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| Private Link szolgáltatás (saját szolgáltatás) | Microsoft.Network/privateLinkServices | üres |
| Erőforrás-kezelés – privát hivatkozások | Microsoft.Authorization/resourceManagementPrivateLinks | Erőforrás-menedzsment |
Feljegyzés
Privát végpontokat csak általános célú v2 (GPv2) tárfiókon hozhat létre.
Privát végpontok hálózati biztonsága
Privát végpontok használata esetén a forgalom privát kapcsolatú erőforráshoz lesz biztosítva. A platform ellenőrzi a hálózati kapcsolatokat, így csak azokat engedélyezi, amelyek elérik a megadott privát kapcsolati erőforrást. Ha több alforrást szeretne elérni ugyanabban az Azure-szolgáltatásban, több privát végpontra van szükség a megfelelő célokkal. Az Azure Storage esetében például külön privát végpontokra lenne szükség a fájl - és blob-alforrás eléréséhez.
A privát végpontok privátan elérhető IP-címet biztosítanak az Azure-szolgáltatás számára, de nem feltétlenül korlátozzák a nyilvános hálózati hozzáférést. Minden más Azure-szolgáltatáshoz azonban további hozzáférés-vezérlésre van szükség. Ezek a vezérlők további hálózati biztonsági réteget biztosítanak az erőforrások számára, amely védelmet nyújt a privát kapcsolatú erőforráshoz társított Azure-szolgáltatáshoz való hozzáférés megakadályozásához.
A privát végpontok támogatják a hálózati szabályzatokat. A hálózati szabályzatok lehetővé teszik a hálózati biztonsági csoportok (NSG), a felhasználó által megadott útvonalak (UDR) és az alkalmazásbiztonsági csoportok (ASG) támogatását. A hálózati szabályzatok privát végpontokhoz való engedélyezéséről további információt a privát végpontok hálózati szabályainak kezelése című témakörben talál. Ha privát végponttal rendelkező ASG-t szeretne használni, tekintse meg az alkalmazásbiztonsági csoport (ASG) privát végponttal való konfigurálását.
Hozzáférés privát kapcsolatú erőforráshoz jóváhagyási munkafolyamat használatával
Privát kapcsolatú erőforráshoz a következő kapcsolat-jóváhagyási módszerekkel csatlakozhat:
Automatikus jóváhagyás: Ezt a módszert akkor használja, ha rendelkezik az adott privát kapcsolatú erőforrás tulajdonosával vagy engedélyével. A szükséges engedélyek a privát kapcsolat erőforrástípusán alapulnak az alábbi formátumban:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/actionManuális kérés: Akkor használja ezt a módszert, ha nem rendelkezik a szükséges engedélyekkel, és hozzáférést szeretne kérni. Jóváhagyási munkafolyamat indul el. A privát végpont és a későbbi privát végpont kapcsolatai függőben lévő állapotban jönnek létre. A kapcsolat jóváhagyásáért a magánhálózati erőforrás tulajdonosa felelős. A jóváhagyást követően a privát végpont a szokásos módon küldi el a forgalmat, ahogyan az a következő jóváhagyási munkafolyamat-diagramon is látható:
Magánvégpont-kapcsolaton keresztül a privát kapcsolatú erőforrás tulajdonosa a következőket teheti:
- Tekintse át a privát végpont kapcsolatának részleteit.
- Magánvégpont-kapcsolat jóváhagyása. A megfelelő privát végpont engedélyezve van a forgalom továbbítására a privát-link erőforráshoz.
- Privát végpontkapcsolat elvetése. A megfelelő privát végpont frissül az állapotnak megfelelően.
- Privát végpont kapcsolat törlése bármely állapotban. A megfelelő privát végpont leválasztott állapotra frissül, hogy tükrözze a műveletet. A privát végpont tulajdonosa jelenleg csak az erőforrást törölheti.
Feljegyzés
Csak a jóváhagyott állapotú privát végpontok küldhetnek forgalmat egy adott privát kapcsolatú erőforrásnak.
Csatlakozás alias használatával
Az alias egy egyedi moniker, amely akkor jön létre, amikor egy szolgáltatástulajdonos privát kapcsolatú szolgáltatást hoz létre egy standard terheléselosztó mögött. A szolgáltatástulajdonosok offline módon oszthatják meg ezt az aliast a szolgáltatás felhasználóival.
A felhasználók az erőforrás URI vagy az alias használatával kérhetnek kapcsolatot egy privát kapcsolati szolgáltatással. Ha az alias használatával szeretne csatlakozni, hozzon létre egy privát végpontot a manuális kapcsolat-jóváhagyási módszerrel. A manuális kapcsolat-jóváhagyási módszer használatához állítsa a manuális kérelem paraméterét True értékre a privát végpont létrehozási folyamata során. További információért lásd: New-AzPrivateEndpoint és az network private-endpoint create.
Feljegyzés
Ez a manuális kérés automatikusan jóváhagyható, ha a fogyasztó előfizetése engedélyezve van a szolgáltató oldalán. További információ: szolgáltatáshozzáférés szabályozása.
DNS-konfiguráció
A privát kapcsolattal rendelkező erőforrásokhoz való csatlakozáshoz használt DNS-beállítások fontosak. Előfordulhat, hogy a meglévő Azure-szolgáltatások már rendelkeznek dns-konfigurációval, amelyet akkor használhat, ha nyilvános végponton keresztül csatlakozik. Ha ugyanahhoz a szolgáltatáshoz privát végponton keresztül szeretne csatlakozni, külön DNS-beállításokra van szükség, amelyek gyakran privát DNS-zónákon keresztül vannak konfigurálva. Győződjön meg arról, hogy a DNS-beállítások helyesek, ha a teljes tartománynevet (FQDN) használja a kapcsolathoz. A beállításokat úgy kell megoldani, hogy a privát végponthoz tartozó privát IP-címre mutassanak.
A privát végponthoz társított hálózati adapter tartalmazza a DNS konfigurálásához szükséges információkat. Az információk tartalmazzák a magánhálózati erőforrás teljes tartománynevét és magánhálózati IP-címét.
A privát végpontok DNS-ének konfigurálására vonatkozó javaslatokról részletes információt a privát végpont DNS-konfigurációja című témakörben talál.
Korlátozások
Az alábbi információk a privát végpontok használatára vonatkozó ismert korlátozásokat sorolják fel:
Statikus IP-cím
| Korlátozás | Leírás |
|---|---|
| A statikus IP-cím konfigurációja jelenleg nem támogatott. |
Azure Kubernetes Service (AKS) Azure Application Gateway HD Insight Recovery Services-tárolók harmadik fél privátkapcsolati szolgáltatások |
Hálózati biztonsági csoport
| Korlátozás | Leírás |
|---|---|
| A privát végpont hálózati interfészének hatékony útvonalai és biztonsági szabályai nem érhetők el. | A hatékony útvonalak és biztonsági szabályok nem jelennek meg a privát végpont hálózati adapterén az Azure portálon. |
| Az NSG folyamatnaplók nem támogatottak. | Az NSG-forgalom naplói nem érhetők el a privát végpontra irányuló bejövő forgalomhoz. |
| Egy alkalmazásbiztonsági csoport legfeljebb 50 tagja lehet. | Az ötven azoknak az IP-konfigurációknak a száma, amelyek a privát végpont alhálózatán lévő NSG-hez kapcsolódó egyes ASG-khez köthetők. Több mint 50 tag esetén csatlakozási hibák léphetnek fel. |
| A célporttartományok legfeljebb 250 K-os tényezőig támogatottak. | A célporttartományokat a SourceAddressPrefixes, a DestinationAddressPrefixes és a DestinationPortRanges szorzataként támogatják.
Példa bejövő szabályra: Egy forrás * egy cél * 4K portRanges = 4K Érvényes 10 forrás * 10 cél * 10 portRanges = 1 K Érvényes 50 forrás * 50 cél * 50 portRanges = 125 K Érvényes 50 forrás * 50 célhely * 100 portRanges = 250 K Érvényes 100 forrás * 100 cél * 100 portRanges = 1M Érvénytelen, az NSG-nek túl sok forrása/célja/portja van. |
| A forrásportszűrés *-ként van értelmezve | A forrásportszűrés nem használható aktívan a privát végpontra irányuló forgalom szűrésének érvényes forgatókönyveként. |
| A funkció nem érhető el a kijelölt régiókban. | Jelenleg nem érhető el a következő régiókban: Nyugat-India Ausztrália Közép 2 Dél-Afrika nyugat Brazília délkelet Minden kormányzati régió Minden kínai régió |
Az NSG további megfontolásai
A privát végpontról megtagadott kimenő forgalom nem érvényes forgatókönyv, mivel a szolgáltató nem tud forgalmat kezdeményezni.
Az alábbi szolgáltatásokhoz szükség lehet arra, hogy az összes célport nyitva legyen, amikor egy privát végpontot használunk és NSG biztonsági szűrőket adunk hozzá:
- Azure Cosmos DB – További információ: Szolgáltatás porttartományai.
UDR
| Korlátozás | Leírás |
|---|---|
| Az SNAT használata mindig javasolt. | A privát végpont adatsíkjának változó természete miatt ajánlott a privát végpontra irányuló SNAT-forgalom biztosítása, hogy a visszatérési forgalom betartva legyen. |
| A funkció nem érhető el a kijelölt régiókban. | Jelenleg nem érhető el a következő régiókban: Nyugat-India Ausztrália Középső 2 Dél-Afrika Nyugat-Brazília Délkelet-Brazília |
Alkalmazásbiztonsági csoport
| Korlátozás | Leírás |
|---|---|
| A funkció nem érhető el a kijelölt régiókban. | Jelenleg nem érhető el a következő régiókban: Nyugat-India Ausztrália Középső 2 Dél-Afrika Nyugat-Brazília Délkelet-Brazília |
Következő lépések
További információ a privát végpontokról és a Private Linkről: Mi az Az Azure Private Link?.
A privát végpont webalkalmazáshoz való létrehozásával kapcsolatos első lépésekért tekintse meg a rövid útmutatót: Privát végpont létrehozása az Azure Portal használatával.