Private Link Service és privát végpont definiálása
Mi az az Azure privát kapcsolat?
Az Azure privát kapcsolat használatával Azure PaaS-szolgáltatásokat (például az Azure Storage-et és az SQL Database-t) és az Azure által üzemeltetett ügyfél-/partneri szolgáltatásokat érhet el a virtuális hálózat privát végpontján keresztül.
Mielőtt megismerené az Azure Private Linket, valamint annak funkcióit és előnyeit, vizsgáljuk meg azt a problémát, amelyet a Private Link megoldására terveztek.
A Contoso rendelkezik Azure-beli virtuális hálózattal, és egy PaaS-erőforráshoz, például egy Azure SQL-adatbázishoz szeretne csatlakozni. Ilyen erőforrások létrehozásakor általában egy nyilvános végpontot ad meg kapcsolati módszerként.
A nyilvános végpont azt jelenti, hogy az erőforráshoz nyilvános IP-cím van hozzárendelve. Így annak ellenére, hogy mind a virtuális hálózat, mind az Azure SQL-adatbázis az Azure-felhőben található, a köztük lévő kapcsolat az interneten keresztül történik.
A probléma az, hogy az Azure SQL-adatbázis nyilvános IP-címével van elérhetővé téve az interneten. Ez az expozíció több biztonsági kockázatot is jelent. Ugyanezek a biztonsági kockázatok akkor is fennállnak, ha egy Azure-erőforrás nyilvános IP-címen keresztül érhető el a következő helyekről:
- Egy társhálózatú Azure-beli virtuális hálózat
- Egy helyszíni hálózat, amely az ExpressRoute és a Microsoft társviszony-létesítés használatával csatlakozik az Azure-hoz
- Az ügyfél Azure-beli virtuális hálózata, amely a vállalat által kínált Azure-szolgáltatáshoz csatlakozik
A Private Link úgy lett kialakítva, hogy kiküszöbölje ezeket a biztonsági kockázatokat a kapcsolat nyilvános részének eltávolításával.
A Private Link biztonságos hozzáférést biztosít az Azure-szolgáltatásokhoz. A Private Link ezt a biztonságot úgy éri el, hogy egy erőforrás nyilvános végpontját lecseréli egy privát hálózati adapterre. Az új architektúrával három fontos szempontot érdemes figyelembe venni:
- Az Azure-erőforrás bizonyos értelemben a virtuális hálózat részévé válik.
- Az erőforráshoz való csatlakozás mostantól a Microsoft Azure gerinchálózatát használja a nyilvános internet helyett.
- Az Azure-erőforrást úgy konfigurálhatja, hogy többé ne tegye közzé nyilvános IP-címét, ami kiküszöböli a potenciális biztonsági kockázatot.
Mi az az Azure privát végpont?
A Private Endpoint a Private Link fő technológiája. A privát végpont egy olyan hálózati adapter, amely privát és biztonságos kapcsolatot tesz lehetővé a virtuális hálózat és egy Azure-szolgáltatás között. Más szóval a privát végpont az erőforrás nyilvános végpontját lecserélő hálózati adapter.
A Private Link biztonságos hozzáférést biztosít az Azure-szolgáltatásokhoz. A Private Link ezt a biztonságot úgy éri el, hogy egy erőforrás nyilvános végpontját lecseréli egy privát hálózati adapterre. A privát végpont egy privát IP-címet használ a virtuális hálózatról a szolgáltatás virtuális hálózatba való behozásához.
Miben különbözik az Azure Private Endpoint a szolgáltatásvégponttól?
A privát végpontok részletes szegmentálást biztosító, adott szolgáltatás mögötti adott erőforrásokhoz biztosítanak hálózati hozzáférést. A forgalom nyilvános végpontok használata nélkül érheti el a szolgáltatás erőforrását a helyszínen.
A szolgáltatásvégpont továbbra is nyilvánosan elérhető IP-cím marad. A privát végpont egy privát IP-cím azon virtuális hálózat címterében, ahol a privát végpont konfigurálva van.
Megjegyzés:
A Microsoft az Azure Private Link használatát javasolja az Azure platformon üzemeltetett szolgáltatásokhoz való biztonságos és privát hozzáféréshez.
Mi az az Azure Private Link Service?
A Private Link privát hozzáférést biztosít az Azure-beli virtuális hálózatról a PaaS-szolgáltatásokhoz és az Azure-beli Microsoft Partnerszolgáltatásokhoz. Mi a teendő azonban, ha a vállalat saját Azure-szolgáltatásokat hozott létre, amelyeket a vállalat ügyfelei használnak fel? Lehetséges privát kapcsolatot biztosítani ezeknek az ügyfeleknek a vállalat szolgáltatásaihoz?
Igen, az Azure Private Link Service használatával. Ezzel a szolgáltatással privát kapcsolati kapcsolatokat kínálhat egyéni Azure-szolgáltatásaihoz. Az egyéni szolgáltatások felhasználói ezután saját Azure-beli virtuális hálózataikról privátan, vagyis az internet használata nélkül is hozzáférhetnek ezekhez a szolgáltatásokhoz.
Az Azure Private Link szolgáltatás az Azure Private Link által üzemeltetett saját szolgáltatásra mutató hivatkozás. Az Azure standard terheléselosztó mögött futó szolgáltatása engedélyezhető a Private Link-hozzáféréshez, hogy a szolgáltatás felhasználói privát módon férhessenek hozzá a saját virtuális hálózataikról. Az ügyfelek létrehozhatnak egy privát végpontot a virtuális hálózaton belül, és leképeződhetnek erre a szolgáltatásra. A Private Link szolgáltatás több privát végpontról fogad kapcsolatokat. Egy privát végpont csatlakozik egy Private Link szolgáltatáshoz.
Privát végpont tulajdonságai
A privát végpont létrehozása előtt vegye figyelembe a privát végpont tulajdonságait, és gyűjtsön adatokat az adott igényekről. These include:
- Egyedi név erőforráscsoporttal
- Magánhálózati IP-címek virtuális hálózatból való üzembe helyezéséhez és lefoglalásához szükséges alhálózat
- Az elérhető típusok listájából az erőforrás-azonosító vagy alias használatával csatlakozni kívánt Private Link-erőforrás. A rendszer egyedi hálózati azonosítót hoz létre az erőforrásnak küldött összes forgalomhoz.
- A csatlakozni kívánt alforrás. Minden Private Link-erőforrástípus különböző lehetőségeket kínál a beállítások alapján.
- Automatikus vagy manuális kapcsolat-jóváhagyási módszer. Az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) engedélyei alapján a privát végpont automatikusan jóváhagyható. Ha Azure RBAC nélkül próbál csatlakozni egy Private Link-erőforráshoz, a manuális módszerrel engedélyezheti, hogy az erőforrás tulajdonosa jóváhagyja a kapcsolatot.
- Egy konkrét kérésüzenet a kért kapcsolatok manuális jóváhagyásához. Ez az üzenet egy adott kérés azonosítására használható.
- Csatlakozás ion állapota: Írásvédett tulajdonság, amely meghatározza, hogy a privát végpont aktív-e. Csak jóváhagyott állapotú privát végpontok használhatók a forgalom küldésére.
Vegye figyelembe a következő részleteket is:
- A privát végpont lehetővé teszi az azonos virtuális hálózatok, a regionálisan társviszonyban álló virtuális hálózatok, a globálisan társviszonyban lévő virtuális hálózatok és a helyszíni felhasználók közötti kapcsolatot VPN vagy Express Route használatával, valamint a Private Link által üzemeltetett szolgáltatások használatával.
- A hálózati kapcsolatokat csak a privát végponthoz csatlakozó ügyfelek kezdeményezhetik, a szolgáltatók nem rendelkeznek útválasztási konfigurációval a szolgáltatásfelhasználókkal való kapcsolatok indításához. Kapcsolatot csak egyetlen irányban lehet létesíteni.
- Privát végpont létrehozásakor egy írásvédett hálózati adapter is létrejön az erőforrás életciklusához. A rendszer dinamikusan magánhálózati IP-címeket rendel hozzá a Private Link-erőforráshoz leképezendő alhálózatból. A privát IP-cím értéke nem változik a privát végpont teljes életciklusára vonatkozóan.
- A privát végpontot ugyanabban a régióban és előfizetésben kell üzembe helyezni, mint a virtuális hálózatot.
- A Private Link-erőforrás a virtuális hálózattól és a privát végponttól eltérő régióban helyezhető üzembe.
- Több privát végpont is létrehozható ugyanazzal a Private Link-erőforrással. A közös DNS-kiszolgálókonfigurációt használó egyetlen hálózat esetében ajánlott egyetlen privát végpontot használni egy adott Private Link-erőforráshoz, hogy elkerülje az ismétlődő bejegyzéseket vagy ütközéseket a DNS-feloldásban.
- Ugyanazon a virtuális hálózaton több privát végpont is létrehozható ugyanazon vagy különböző alhálózatokon. Az előfizetésben létrehozható privát végpontok száma korlátozott. További részletek: Az Azure korlátai.
- A Private Link-erőforrásból származó előfizetést a Microsoftnál is regisztrálni kell.