Funzionamento del collegamento privato di Azure

  • 10 minuti

Si è acquisito familiarità con le funzionalità di base e i vantaggi del collegamento privato. Verrà ora illustrato il funzionamento del collegamento privato. In particolare, si prenda in considerazione il funzionamento con l'endpoint privato e il servizio di collegamento privato per un offrire accesso privato ai servizi di Azure. Queste informazioni consentono di valutare se il collegamento privato è la soluzione ideale per la propria azienda.

Il collegamento privato garantisce un accesso privato ai servizi di Azure. In questo caso, "privato" indica che la connessione usa la rete backbone di Microsoft Azure anziché Internet. Per effettuare questo passaggio, il collegamento privato modifica il metodo di connettività per la risorsa di Azure da endpoint pubblico a endpoint privato.

A questo punto non è possibile accedere alla risorsa di Azure usando un indirizzo IP pubblico. Usare invece un indirizzo IP privato assegnato da Azure alla risorsa dallo spazio degli indirizzi della subnet.

Concetto chiave importante La risorsa di Azure fa ora effettivamente parte della rete virtuale. I client della rete possono accedere a questa risorsa di collegamento privato come a qualsiasi altra risorsa di rete.

Per una maggiore sicurezza, la connessione alla risorsa usa adesso la rete backbone di Microsoft Azure. Questo significa che tutto il traffico da e verso la risorsa ignora completamente la rete Internet pubblica.

Tuttavia, l'endpoint pubblico della risorsa esiste ancora, anche se non lo si usa. La presenza di un endpoint pubblico, anche se non usato, rappresenta comunque un rischio per la sicurezza. Fortunatamente, è possibile disabilitare l'endpoint pubblico della risorsa di Azure, per superare il potenziale problema di sicurezza.

Funzionamento dell'endpoint privato di Azure

Come si esegue il passaggio di un'interfaccia della risorsa da pubblica a privata? Aggiungere un endpoint privato di Azure alla configurazione di rete. L'endpoint privato è un'interfaccia di rete che crea una connessione privata tra la rete virtuale e una risorsa di Azure specifica.

L'endpoint privato prende un indirizzo IP privato non usato dallo spazio indirizzi di una subnet specifica nella rete virtuale. Si supponga, ad esempio, di avere una subnet che usa lo spazio indirizzi 10.1.0.0/24. Le macchine virtuali in tale subnet usano indirizzi IP, ad esempio 10.1.0.20 o 10.1.0.155.

L'endpoint privato ottiene un indirizzo IP dallo stesso spazio indirizzi, ad esempio 10.1.0.32. L'endpoint privato esegue quindi il mapping dell'indirizzo a un servizio di Azure specifico. L'uso dell'indirizzo IP privato consente di portare il servizio nella rete virtuale.

Nota

I client che si connettono a una risorsa di collegamento privato non devono usare l'indirizzo IP assegnato dell'endpoint privato nella stringa di connessione. Se invece si configura l'endpoint privato per l'integrazione con la zona DNS privata, Azure assegna automaticamente un FQDN all'endpoint. Ad esempio, se la risorsa di collegamento privato è una tabella di Archiviazione di Azure, il nome di dominio completo sarà simile a mystorageaccount1234.table.core.windows.net.

Di seguito sono riportati alcuni punti chiave da considerare durante la valutazione di un endpoint privato:

  • L'endpoint privato offre connettività privata tra macchine virtuali e altri client nella rete virtuale di Azure e nei servizi di Azure basati su collegamento privato.
  • L'endpoint privato offre connettività privata tra le reti virtuali con peering a livello di area e i servizi di Azure basati su collegamento privato.
  • L'endpoint privato offre connettività privata tra le reti virtuali con peering a livello globale e i servizi di Azure basati su collegamento privato.
  • L'endpoint privato offre connettività privata tra la rete locale, connessa tramite peering privato ExpressRoute o VPN, e i servizi di Azure basati su collegamento privato.
  • È possibile distribuire un massimo di 1.000 interfacce di endpoint privato per ogni rete virtuale.
  • È possibile distribuire un massimo di 64.000 interfacce di endpoint privato per ogni sottoscrizione di Azure.
  • È possibile eseguire il mapping di un massimo di 1.000 interfacce di endpoint privato alla stessa risorsa di collegamento privato.

Attenzione

Sebbene sia possibile eseguire il mapping di più interfacce di endpoint private a una singola risorsa, questa operazione è sconsigliata perché può causare conflitti DNS e altri problemi. La procedura consigliata consiste nell'eseguire solo il mapping di un singolo endpoint privato a una singola risorsa di collegamento privato.

  • Le connessioni sono unidirezionali, vale a dire che solo i client possono connettersi a un'interfaccia di endpoint privato. Se viene eseguito il mapping di un servizio di Azure a un'interfaccia di endpoint privato, il provider di tale servizio non può connettersi (né addirittura percepire) l'interfaccia di endpoint privato.
  • Un'interfaccia di endpoint privato distribuita è di sola lettura, per cui nessuno può modificarla. Ad esempio, nessuno può eseguire il mapping dell'interfaccia a una risorsa diversa, né può modificarne l'indirizzo IP.
  • Sebbene sia necessario distribuire l'endpoint privato nella stessa area della rete virtuale, la risorsa di collegamento privato può trovarsi in un'area diversa.

Nota

Qual è la differenza tra un endpoint servizio e un endpoint privato?  Un endpoint servizio configura una risorsa di Azure per consentire le connessioni solo da una rete virtuale specificata. Tuttavia, tale connessione viene ancora effettuata tramite l'endpoint pubblico della risorsa, per cui permangono alcuni rischi per la sicurezza. L'endpoint privato elimina questi rischi supportando la disabilitazione dell'endpoint pubblico di una risorsa.

Il servizio di collegamento privato di Azure apporta i vantaggi del collegamento privato ai servizi personalizzati di Azure. L'unico requisito prevede l'esecuzione del servizio con il supporto di Azure Load Balancer Standard. Sarà quindi possibile creare una risorsa del servizio di collegamento privato e collegarla al servizio di bilanciamento del carico.

Attenzione

Azure offre due versioni del proprio servizio di bilanciamento del carico: Basic e Standard. Azure Load Balancer versione Basic non supporta il servizio di collegamento privato. Assicurarsi quindi di usare Load Balancer Standard.

Una volta creata la risorsa del servizio di collegamento privato, Azure rilascia un alias per la risorsa, ovvero una stringa univoca globale di sola lettura con sintassi prefisso.guid.suffisso:

  • prefisso. Nome specificato per il servizio personalizzato.
  • guid. ID univoco globale generato automaticamente da Azure.
  • suffisso. Testo region.azure.privatelinkservice; "region" indica l'area in cui viene distribuito il servizio di collegamento privato.

Si condivide l'alias del servizio di collegamento privato con i consumer del servizio personalizzato. Ogni consumer configura quindi un endpoint privato nella propria rete virtuale di Azure. Il consumer esegue quindi il mapping dell'endpoint all'alias del servizio di collegamento privato.

Di seguito sono riportati alcuni punti chiave da considerare per la valutazione del servizio di collegamento privato:

  • È possibile accedere al servizio di collegamento privato tramite un endpoint privato in qualsiasi area pubblica.
  • Il servizio di collegamento privato deve essere distribuito nella stessa area del servizio di bilanciamento del carico standard e nella rete virtuale che ospita il servizio di Azure personalizzato.
  • È possibile distribuire un massimo di 800 risorse del servizio di collegamento privato per ogni sottoscrizione di Azure.
  • È possibile eseguire il mapping di un massimo di 1.000 interfacce di endpoint privato a una singola risorsa del servizio di collegamento privato.
  • È possibile distribuire più risorse del servizio di collegamento privato nello stesso servizio di bilanciamento del carico standard usando diverse configurazioni IP front-end.

Combinazione delle funzionalità

L'obiettivo è accedere a una risorsa di Azure senza usare Internet pubblico? Si vuole offrire una risorsa di Azure personalizzata privata? Se la risposta a una o a entrambe le domande è Sì, il collegamento privato, l'endpoint privato e il servizio di collegamento privato consentono di raggiungere l'obiettivo come segue:

  • Per accedere privatamente a un servizio Azure PaaS o a un servizio di Azure da un partner, creare un endpoint privato in una subnet della rete virtuale di Azure. Tale endpoint privato usa un collegamento privato per accedere al servizio di Azure usando un indirizzo IP privato tramite la rete backbone di Microsoft Azure. Le reti virtuali con peering e le reti locali che usano il peering privato di ExpressRoute o un tunnel VPN possono accedere al servizio di Azure anche tramite l'endpoint privato.
  • Per offrire un accesso privato a un servizio di Azure personalizzato, prevedere un servizio di bilanciamento del carico standard a supporto del servizio, creare una risorsa del servizio di collegamento privato e collegarla alla configurazione IP front-end del servizio di bilanciamento del carico.

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing Azures services via a private IP address mapped by Private Endpoint.