Mi az az Azure Private Link szolgáltatás?
Az Azure Private Link szolgáltatás az Azure Private Link által üzemeltetett saját szolgáltatásra mutató hivatkozás. Az Azure Standard Load Balancer mögött futó szolgáltatása engedélyezhető a Private Link-hozzáféréshez, hogy a szolgáltatás felhasználói privát módon férhessenek hozzá a saját virtuális hálózataikról. Az ügyfelek létrehozhatnak egy privát végpontot a virtuális hálózaton belül, és leképíthetik erre a szolgáltatásra. Ez a cikk a szolgáltatói oldallal kapcsolatos fogalmakat ismerteti.
Ábra: Azure Private Link Service.
Munkafolyamat
Ábra: Azure Private Link szolgáltatás munkafolyamata.
A Private Link szolgáltatás létrehozása
Konfigurálja az alkalmazást úgy, hogy egy szabványos terheléselosztó mögött futjon a virtuális hálózaton. Ha már konfigurálta az alkalmazást egy standard terheléselosztó mögött, kihagyhatja ezt a lépést.
Hozzon létre egy Privát kapcsolat szolgáltatást, amely hivatkozik a fenti terheléselosztóra. A terheléselosztó kiválasztási folyamatában válassza ki azt az előtérbeli IP-konfigurációt, ahol a forgalmat fogadni szeretné. Válasszon alhálózatot a Privát kapcsolat szolgáltatás NAT IP-címeinek. Javasoljuk, hogy legalább nyolc NAT IP-cím legyen elérhető az alhálózatban. Úgy tűnik, hogy az összes fogyasztói forgalom ebből a privát IP-címkészletből származik a szolgáltatónak. Válassza ki a private link szolgáltatás megfelelő tulajdonságait/beállításait.
Feljegyzés
Az Azure Private Link service csak a Standard Load Balancerben támogatott.
A szolgáltatás megosztása
A Private Link szolgáltatás létrehozása után az Azure létrehoz egy globálisan egyedi, alias nevű monikert a szolgáltatáshoz megadott név alapján. A szolgáltatás aliasát vagy erőforrás-URI-ját offline is megoszthatja az ügyfelekkel. A felhasználók az alias vagy az erőforrás URI használatával indíthatnak privát kapcsolatot.
Kapcsolatkérések kezelése
Miután a fogyasztó elindította a kapcsolatot, a szolgáltató elfogadhatja vagy elutasíthatja a kapcsolatkérést. Minden kapcsolatkérés megjelenik a Private Link szolgáltatás Privateendpointconnections tulajdonságában.
A szolgáltatás törlése
Ha a Private Link szolgáltatás már nincs használatban, törölheti azt. A szolgáltatás törlése előtt azonban győződjön meg arról, hogy nincsenek hozzá társított privát végpontkapcsolatok. Elutasíthatja az összes kapcsolatot, és törölheti a szolgáltatást.
Tulajdonságok
A Private Link szolgáltatás a következő tulajdonságokat adja meg:
| Tulajdonság | Magyarázat |
|---|---|
| Kiépítési állapot (provisioningState) | Írásvédett tulajdonság, amely a Private Link szolgáltatás aktuális kiépítési állapotát sorolja fel. A vonatkozó kiépítési állapotok a következők: Törlés, Sikertelen,Sikeres,*Frissítés. Ha a kiépítési állapot sikeres, sikeresen kiépítette a Private Link szolgáltatást. |
| Alias (alias) | Az alias egy globálisan egyedi írásvédett sztring a szolgáltatáshoz. Segít elfedni a szolgáltatás ügyféladatait, és ezzel egyidejűleg könnyen megosztható nevet hozhat létre a szolgáltatás számára. A Private Link szolgáltatás létrehozásakor az Azure létrehozza a szolgáltatás aliasát, amelyet megoszthat az ügyfelekkel. Az ügyfelek ezzel az aliassal kérhetnek kapcsolatot a szolgáltatáshoz. |
| Láthatóság (láthatóság) | A láthatóság az a tulajdonság, amely a Private Link szolgáltatás expozíciós beállításait szabályozza. A szolgáltatók dönthetnek úgy, hogy az Azure-beli szerepköralapú hozzáférés-vezérlési engedélyekkel rendelkező előfizetések számára korlátozzák a szolgáltatásuknak való kitettséget. Az előfizetések korlátozott készlete is használható a kitettség korlátozására. |
| Automatikus jóváhagyás (autoApproval) | Az automatikus jóváhagyás szabályozza a Private Link szolgáltatáshoz való automatikus hozzáférést. Az automatikus jóváhagyási listában megadott előfizetések automatikusan jóvá lesznek hagyva, amikor a rendszer kapcsolatot kér az adott előfizetések privát végpontjaitól. |
| Load Balancer előtérbeli IP-konfiguráció (loadBalancerFrontendIpConfigurations) | A Private Link szolgáltatás a Standard Load Balancer előtérbeli IP-címéhez van kötve. A szolgáltatáshoz rendelt összes forgalom eléri az SLB előtérét. Az SLB-szabályokat úgy konfigurálhatja, hogy a forgalmat a megfelelő háttérkészletekbe irányíthassa, ahol az alkalmazások futnak. A terheléselosztó előtérbeli IP-konfigurációi eltérnek a NAT IP-konfigurációktól. |
| NAT IP-konfiguráció (ipConfigurations) | Ez a tulajdonság a Private Link szolgáltatás NAT (Hálózati címfordítás) IP-konfigurációját jelenti. A NAT IP-cím a szolgáltató virtuális hálózatának bármely alhálózatából kiválasztható. A Private Link szolgáltatás céloldali NAT-műveletet hajt végre a Private Link-forgalomon. Ez a NAT biztosítja, hogy ne legyen IP-ütközés a forrás (fogyasztói oldal) és a cél (szolgáltató) címtere között. A cél vagy a szolgáltató oldalán a NAT IP-cím forrás IP-címként jelenik meg a szolgáltatás által fogadott összes csomag esetében. A cél IP-cím megjelenik a szolgáltatás által küldött összes csomag esetében. |
| Privát végpontkapcsolatok (privateEndpoint Csatlakozás ions) | Ez a tulajdonság felsorolja a Private Link szolgáltatáshoz csatlakozó privát végpontokat. Több privát végpont is csatlakozhat ugyanahhoz a Private Link szolgáltatáshoz, és a szolgáltató szabályozhatja az egyes privát végpontok állapotát. |
| TCP Proxy V2 (EnableProxyProtocol) | Ez a tulajdonság lehetővé teszi, hogy a szolgáltató tcp-proxy v2 használatával kérje le a szolgáltatásfelhasználóval kapcsolatos kapcsolati információkat. A szolgáltató felelős a fogadókonfigurációk beállításáért, hogy elemezni lehessen a proxyprotokoll v2 fejlécét. |
Részletek
A Private Link szolgáltatás bármely nyilvános régió jóváhagyott privát végpontjairól érhető el. A privát végpont ugyanabból a virtuális hálózatból és regionálisan társviszonyban lévő virtuális hálózatokból érhető el. A privát végpont a globálisan társviszonyban álló virtuális hálózatokról és a helyszínen privát VPN- vagy ExpressRoute-kapcsolatokkal érhető el.
A Private Link Szolgáltatás létrehozásakor létrejön egy hálózati adapter az erőforrás életciklusához. Ezt a felületet az ügyfél nem tudja kezelni.
A Private Link szolgáltatást ugyanabban a régióban kell üzembe helyezni, mint a virtuális hálózat és a Standard Load Balancer.
Egyetlen Privát kapcsolat szolgáltatás több privát végpontról is elérhető, amelyek különböző virtuális hálózatokhoz, előfizetésekhez és/vagy Active Directory-bérlőkhöz tartoznak. A kapcsolat egy kapcsolati munkafolyamaton keresztül jön létre.
Ugyanazon a Standard Load Balanceren több Private Link-szolgáltatás is létrehozható különböző előtérbeli IP-konfigurációk használatával. A Standard Load Balancerenként és előfizetésenként létrehozható Private Link-szolgáltatások száma korlátozott. További részletek: Az Azure korlátai.
A Private Link szolgáltatáshoz több NAT IP-konfiguráció is csatolható. Egynél több NAT IP-konfiguráció kiválasztása segíthet a szolgáltatóknak a skálázásban. A szolgáltatók jelenleg legfeljebb nyolc NAT IP-címet rendelhetnek hozzá Privát kapcsolat szolgáltatásonként. Minden NAT IP-címmel további portokat rendelhet a TCP-kapcsolatokhoz, és így vertikálisan felskálázható. Miután több NAT-IP-címet adott hozzá a Private Link szolgáltatáshoz, nem törölheti a NAT IP-címeket. Ezzel a korlátozással biztosítható, hogy az aktív kapcsolatok ne legyenek hatással a NAT IP-címek törlése során.
Alias
Az alias a szolgáltatás globálisan egyedi neve. Segít elfedni a szolgáltatás ügyféladatait, és ezzel egyidejűleg könnyen megosztható nevet hozhat létre a szolgáltatás számára. A Private Link szolgáltatás létrehozásakor az Azure létrehoz egy aliast a szolgáltatáshoz, amelyet megoszthat az ügyfelekkel. Az ügyfelek ezzel az aliassal kérhetnek kapcsolatot a szolgáltatáshoz.
Az alias három részből áll: előtag.GUID.Utótag
Az előtag a szolgáltatás neve. Kiválaszthatja a saját előtagját. Az "Alias" létrehozása után nem módosíthatja, ezért válassza ki a megfelelő előtagot.
A GUID-t a platform biztosítja. Ez a GUID globálisan egyedivé teszi a nevet.
Az utótagot az Azure hozzáfűzi: region.azure.privatelinkservice
Teljes alias: Előtag. {GUID}.region.azure.privatelinkservice
A szolgáltatás expozíciójának szabályozása
A Private Link szolgáltatás három lehetőséget biztosít a Láthatóság beállításban a szolgáltatás expozíciójának szabályozásához. A láthatósági beállítás határozza meg, hogy egy fogyasztó csatlakozhat-e a szolgáltatáshoz. Íme a láthatósági beállítások a legszigorúbbtól a legkevésbé korlátozóig:
Csak szerepköralapú hozzáférés-vezérlés: Ha a szolgáltatása magánhasználatra szolgál a saját tulajdonú különböző virtuális hálózatokból, szerepköralapú hozzáférés-vezérlést használjon az ugyanazon Active Directory-bérlőhöz társított előfizetéseken belül. A bérlők közötti láthatóság szerepköralapú hozzáférés-vezérléssel engedélyezett.
Előfizetés szerint korlátozva: Ha a szolgáltatást különböző bérlőkön keresztül fogja használni, korlátozhatja a megbízható előfizetések korlátozott halmazának való kitettséget. Az engedélyek előre jóváhagyhatók.
Bárki, aki rendelkezik az aliasával: Ha nyilvánossá szeretné tenni a szolgáltatást, és lehetővé szeretné tenni, hogy a Private Link szolgáltatás aliasával bárki kapcsolatot kérjen, válassza ezt a lehetőséget.
Szolgáltatáshozzáférés szabályozása
Azok a felhasználók, akik a Private Link szolgáltatás láthatósági beállításával szabályozják az expozíciót, létrehozhatnak egy privát végpontot a virtuális hálózataikban, és kapcsolatot kérhetnek a Private Link szolgáltatással. A privát végpontkapcsolat függőben lévő állapotban jön létre a Private Link szolgáltatásobjektumon. A szolgáltató feladata a kapcsolatkéréssel kapcsolatos cselekvés. Jóváhagyhatja a kapcsolatot, elutasíthatja a kapcsolatot, vagy törölheti a kapcsolatot. Csak a jóváhagyott kapcsolatok küldhetnek forgalmat a Private Link szolgáltatásnak.
A kapcsolatok jóváhagyásának művelete automatizálható a Private Link szolgáltatás automatikus jóváhagyási tulajdonságával. Az automatikus jóváhagyás lehetővé teszi a szolgáltatók számára, hogy előre megtehessék a szolgáltatásukhoz való automatikus hozzáféréshez szükséges előfizetéseket. Az ügyfeleknek offline állapotban kell megosztaniuk az előfizetéseiket, hogy a szolgáltatók felvehessék őket az automatikus jóváhagyási listára. Az automatikus jóváhagyás a láthatósági tömb egy részhalmaza.
A láthatóság szabályozza az expozíciós beállításokat, míg az automatikus jóváhagyás a szolgáltatás jóváhagyási beállításait. Ha egy ügyfél egy előfizetéstől kér kapcsolatot az automatikus jóváhagyási listában, a rendszer automatikusan jóváhagyja a kapcsolatot, és létrejön a kapcsolat. A szolgáltatóknak nem kell manuálisan jóváhagyni a kérést. Ha egy ügyfél egy előfizetéstől kér kapcsolatot a láthatósági tömbben, és nem az automatikus jóváhagyási tömbben, a kérés eléri a szolgáltatót. A szolgáltatónak manuálisan kell jóváhagynia a kapcsolatokat.
Kapcsolati adatok lekérése a TCP Proxy v2 használatával
A privát kapcsolat szolgáltatásban a privát végpontról érkező csomagok forrás IP-címe a szolgáltatói oldalon lefordított hálózati cím (NAT) a szolgáltató virtuális hálózatából kiosztott NAT-IP-cím használatával. Az alkalmazások a szolgáltatásfogyasztók tényleges forrás IP-címe helyett a lefoglalt NAT IP-címet kapják. Ha az alkalmazásnak tényleges forrás IP-címre van szüksége a fogyasztói oldalról, engedélyezheti a proxyprotokollt a szolgáltatásban, és lekérheti az adatokat a proxyprotokoll fejlécéből. A forrás IP-címe mellett a proxyprotokoll fejléce a privát végpont LinkID azonosítóját is tartalmazza. A forrás IP-cím és a LinkID együttes használatával a szolgáltatók egyedileg azonosíthatják a fogyasztókat.
A proxyprotokollról itt talál további információt.
Ez az információ egy egyéni Type-Length-Value (TLV) vektor használatával van kódolva az alábbiak szerint:
Egyéni TLV-részletek:
| Mező | Hossz (oktett) | Leírás |
|---|---|---|
| Típus | 0 | PP2_TYPE_AZURE (0x Enterprise kiadás) |
| Hossz | 2 | Az érték hossza |
| Érték | 0 | PP2_SUBTYPE_AZURE_PRIVAT Enterprise kiadás NDPOINT_LINKID (0x01) |
| 4 | UINT32 (4 bájt) a privát végpont LINKID azonosítóját jelöli. Kis endian formátumban kódolva. |
Feljegyzés
A szolgáltató feladata annak biztosítása, hogy a standard terheléselosztó mögötti szolgáltatás úgy legyen konfigurálva, hogy elemezni tudja a proxyprotokoll fejlécét a specifikációnak megfelelően, amikor a proxyprotokoll engedélyezve van a privát kapcsolati szolgáltatásban. A kérés sikertelen lesz, ha a proxyprotokoll-beállítás engedélyezve van a privát kapcsolat szolgáltatásban, de a szolgáltató szolgáltatása nincs konfigurálva a fejléc elemzésére. A kérés sikertelen lesz, ha a szolgáltató szolgáltatása proxyprotokoll-fejlécet vár, miközben a beállítás nincs engedélyezve a privát kapcsolat szolgáltatásban. Ha engedélyezve van a proxyprotokoll-beállítás, a proxyprotokoll fejléce is szerepelni fog a HTTP-/TCP-állapotmintákban a gazdagéptől a háttérbeli virtuális gépekig. Az ügyféladatok nem szerepelnek a fejlécben.
A PROXYv2 (TLV) protokoll részét képező egyezés LINKID az PrivateEndpointConnection as tulajdonságban linkIdentifiertalálható.
További információ: Private Link Services API.
Korlátozások
A Private Link szolgáltatás használatakor az alábbi ismert korlátozások érhetők el:
Csak a Standard Load Balancer esetében támogatott. Az alapszintű Load Balancer nem támogatott.
Csak olyan Standard Load Balancer esetén támogatott, ahol a háttérkészletet a hálózati adapter konfigurálja. Nem támogatott a Standard Load Balancer esetében, ahol a háttérkészlet IP-cím alapján van konfigurálva.
Csak az IPv4-forgalmat támogatja
Csak a TCP- és UDP-forgalmat támogatja
A Private Link szolgáltatás tétlen időtúllépése ~5 perc (300 másodperc). A korlát túllépésének elkerülése érdekében a Private Link Service-ből csatlakozó alkalmazásoknak az adott időnél rövidebb TCP Keepalive-t kell használniuk.
Az Azure Private Link Service szolgáltatással való működéshez háttérkészletre beállított típusú bejövő NAT-szabályhoz terheléselosztási szabályt kell konfigurálni.