Wat is de Azure Private Link-service?
Azure Private Link-service is de verwijzing naar uw eigen service die wordt mogelijk gemaakt door Azure Private Link. Uw service die wordt uitgevoerd achter Azure Standard Load Balancer , kan worden ingeschakeld voor Private Link-toegang, zodat consumenten tot uw service deze privé kunnen openen vanuit hun eigen VNets. Uw klanten kunnen een privé-eindpunt maken in hun virtuele netwerk en deze toewijzen aan deze service. In dit artikel worden concepten uitgelegd die betrekking hebben op de kant van de serviceprovider.
Afbeelding: Azure Private Link Service.
Workflow
Afbeelding: Azure Private Link-servicewerkstroom.
Uw Private Link-service maken
Configureer uw toepassing voor uitvoering achter een standaard load balancer in uw virtuele netwerk. Als uw toepassing al is geconfigureerd achter een standard load balancer, kunt u deze stap overslaan.
Maak een Private Link-service die verwijst naar de bovenstaande load balancer. Kies in het selectieproces van de load balancer de front-end-IP-configuratie waar u het verkeer wilt ontvangen. Kies een subnet voor NAT IP-adressen voor de Private Link-service. Het is raadzaam om ten minste acht NAT IP-adressen beschikbaar te maken in het subnet. Al het consumentenverkeer lijkt afkomstig te zijn van deze groep privé-IP-adressen voor de serviceprovider. Kies de juiste eigenschappen/instellingen voor de Private Link-service.
Notitie
De Azure Private Link-service wordt alleen ondersteund in Standard Load Balancer.
Uw service delen
Nadat u een Private Link-service hebt gemaakt, genereert Azure een wereldwijd unieke moniker genaamd alias op basis van de naam die u voor uw service opgeeft. U kunt de alias of resource-URI van uw service offline delen met uw klanten. Consumenten kunnen een Private Link-verbinding starten met behulp van de alias of de resource-URI.
Uw verbindingsaanvragen beheren
Nadat een consument een verbinding heeft gestart, kan de serviceprovider de verbindingsaanvraag accepteren of afwijzen. Alle verbindingsaanvragen worden vermeld onder de eigenschap privateendpointconnections op de Private Link-service.
Uw service verwijderen
Als de Private Link-service niet meer wordt gebruikt, kunt u deze verwijderen. Voordat u de service verwijdert, moet u er echter voor zorgen dat er geen privé-eindpuntverbindingen aan zijn gekoppeld. U kunt alle verbindingen weigeren en de service verwijderen.
Eigenschappen
Een Private Link-service geeft de volgende eigenschappen op:
Eigenschappen | Uitleg |
---|---|
Provisioning State (provisioningState) | Een alleen-lezen eigenschap met de huidige inrichtingsstatus voor de Private Link-service. Toepasselijke inrichtingsstatussen zijn: Verwijderen, Mislukt,Geslaagd,*Bijwerken. Wanneer de inrichtingsstatus is geslaagd, hebt u uw Private Link-service ingericht. |
Alias (alias) | Alias is een wereldwijd unieke alleen-lezen tekenreeks voor uw service. Hiermee kunt u de klantgegevens voor uw service maskeren en tegelijkertijd een eenvoudig te delen naam voor uw service maken. Wanneer u een Private Link-service maakt, genereert Azure de alias voor uw service die u met uw klanten kunt delen. Uw klanten kunnen deze alias gebruiken om een verbinding met uw service aan te vragen. |
Zichtbaarheid (zichtbaarheid) | Zichtbaarheid is de eigenschap waarmee de belichtingsinstellingen voor uw Private Link-service worden gecontroleerd. Serviceproviders kunnen ervoor kiezen om de blootstelling aan hun service te beperken tot abonnementen met op rollen gebaseerd toegangsbeheer van Azure. Een beperkte set abonnementen kan ook worden gebruikt om blootstelling te beperken. |
Automatische goedkeuring (autotoekeuring) | Automatische goedkeuring bepaalt de automatische toegang tot de Private Link-service. De abonnementen die zijn opgegeven in de lijst voor automatische goedkeuring, worden automatisch goedgekeurd wanneer een verbinding wordt aangevraagd bij privé-eindpunten in die abonnementen. |
Front-end-IP-configuratie van load balancer (loadBalancerFrontendIpConfigurations) | De Private Link-service is gekoppeld aan het front-end-IP-adres van een Standard Load Balancer. Al het verkeer dat is bestemd voor de service, bereikt de front-end van de SLB. U kunt SLB-regels configureren om dit verkeer om te leiden naar de juiste back-endpools waarop uw toepassingen worden uitgevoerd. Front-end-IP-configuraties van load balancer verschillen van NAT IP-configuraties. |
NAT IP-configuratie (ipConfigurations) | Deze eigenschap verwijst naar de IP-configuratie van NAT (Network Address Translation) voor de Private Link-service. Het NAT-IP-adres kan worden gekozen uit elk subnet in het virtuele netwerk van een serviceprovider. De Private Link-service voert NAT-ing aan de doelzijde uit op het Private Link-verkeer. Deze NAT zorgt ervoor dat er geen IP-conflict is tussen de bronadresruimte (consumentenzijde) en de doeladresruimte (serviceprovider). Aan de kant van de doel- of serviceprovider wordt het NAT-IP-adres weergegeven als bron-IP voor alle pakketten die door uw service worden ontvangen. Doel-IP wordt weergegeven voor alle pakketten die door uw service worden verzonden. |
Privé-eindpuntverbindingen (privateEndpointConnections) | Deze eigenschap bevat de privé-eindpunten die verbinding maken met de Private Link-service. Meerdere privé-eindpunten kunnen verbinding maken met dezelfde Private Link-service en de serviceprovider kan de status voor afzonderlijke privé-eindpunten beheren. |
TCP-proxy V2 (EnableProxyProtocol) | Met deze eigenschap kan de serviceprovider tcp proxy v2 gebruiken om verbindingsgegevens over de servicegebruiker op te halen. Serviceprovider is verantwoordelijk voor het instellen van ontvangersconfiguraties om de proxyprotocol v2-header te parseren. |
DETAILS
De Private Link-service kan worden geopend vanuit goedgekeurde privé-eindpunten in elke openbare regio. Het privé-eindpunt kan worden bereikt vanuit hetzelfde virtuele netwerk en regionaal gekoppelde virtuele netwerken. Het privé-eindpunt kan worden bereikt vanuit wereldwijd gekoppelde virtuele netwerken en on-premises met behulp van privé-VPN- of ExpressRoute-verbindingen.
Wanneer u een Private Link-service maakt, wordt er een netwerkinterface gemaakt voor de levenscyclus van de resource. Deze interface kan niet worden beheerd door de klant.
De Private Link-service moet worden geïmplementeerd in dezelfde regio als het virtuele netwerk en de Standard Load Balancer.
Eén Private Link-service kan worden geopend vanuit meerdere privé-eindpunten die behoren tot verschillende virtuele netwerken, abonnementen en/of Active Directory-tenants. De verbinding wordt tot stand gebracht via een verbindingswerkstroom.
Er kunnen meerdere Private Link-services worden gemaakt op dezelfde Standard Load Balancer met behulp van verschillende front-end IP-configuraties. Er gelden limieten voor het aantal Private Link-services dat u per Standard Load Balancer en per abonnement kunt maken. Zie Netwerkenlimieten voor meer informatie.
De Private Link-service kan meer dan één NAT IP-configuratie hebben die eraan is gekoppeld. Het kiezen van meer dan één NAT IP-configuratie kan serviceproviders helpen om te schalen. Tegenwoordig kunnen serviceproviders maximaal acht NAT IP-adressen per Private Link-service toewijzen. Met elk NAT IP-adres kunt u meer poorten toewijzen voor uw TCP-verbindingen en zo uitschalen. U kunt meerdere NAT-IP-adressen toevoegen aan een Private Link-service, maar u moet ten minste één NAT IP-adres onderhouden nadat deze is geconfigureerd. U kunt het laatste resterende NAT-IP-adres niet verwijderen om ervoor te zorgen dat actieve verbindingen niet worden beïnvloed als gevolg van niet-beschikbare NAT-IP-adressen.
Alias
Alias is een wereldwijd unieke naam voor uw service. Hiermee kunt u de klantgegevens voor uw service maskeren en tegelijkertijd een eenvoudig te delen naam voor uw service maken. Wanneer u een Private Link-service maakt, genereert Azure een alias voor uw service die u met uw klanten kunt delen. Uw klanten kunnen deze alias gebruiken om een verbinding met uw service aan te vragen.
De alias bestaat uit drie delen: Voorvoegsel.GUID.Achtervoegsel
Voorvoegsel is de servicenaam. U kunt uw eigen voorvoegsel kiezen. Nadat Alias is gemaakt, kunt u deze niet meer wijzigen, dus selecteer het voorvoegsel op de juiste manier.
GUID wordt geleverd door het platform. Deze GUID maakt de naam wereldwijd uniek.
Achtervoegsel wordt toegevoegd door Azure: region.azure.privatelinkservice
Volledige alias: voorvoegsel. {GUID}.region.azure.privatelinkservice
Blootstelling aan servicebeheer
De Private Link-service biedt u drie opties in de instelling Zichtbaarheid om de blootstelling van uw service te beheren. Uw zichtbaarheidsinstelling bepaalt of een consument verbinding kan maken met uw service. Hier volgen de opties voor zichtbaarheidsinstellingen, van meest beperkend tot minst beperkend:
Alleen op rollen gebaseerd toegangsbeheer: als uw service voor privéverbruik is van verschillende virtuele netwerken die u bezit, gebruikt u op rollen gebaseerd toegangsbeheer binnen abonnementen die zijn gekoppeld aan dezelfde Active Directory-tenant. Zichtbaarheid van meerdere tenants is toegestaan via op rollen gebaseerd toegangsbeheer.
Beperkt door abonnement: Als uw service wordt gebruikt in verschillende tenants, kunt u de blootstelling beperken tot een beperkte set abonnementen die u vertrouwt. Autorisaties kunnen vooraf worden goedgekeurd.
Iedereen met uw alias: Als u uw service openbaar wilt maken en iedereen met uw Private Link-servicealias een verbinding wilt laten aanvragen, selecteert u deze optie.
Servicetoegang beheren
Consumenten met blootstelling door zichtbaarheidsinstelling voor uw Private Link-service kunnen een privé-eindpunt maken in hun virtuele netwerken en een verbinding met uw Private Link-service aanvragen. De privé-eindpuntverbinding wordt gemaakt in de status In behandeling op het Private Link-serviceobject. De serviceprovider is verantwoordelijk voor het handelen op de verbindingsaanvraag. U kunt de verbinding goedkeuren, de verbinding weigeren of de verbinding verwijderen. Alleen verbindingen die zijn goedgekeurd, kunnen verkeer verzenden naar de Private Link-service.
De actie van het goedkeuren van de verbindingen kan worden geautomatiseerd met behulp van de eigenschap voor automatische goedkeuring op de Private Link-service. Automatische goedkeuring is een mogelijkheid voor serviceproviders om een set abonnementen vooraf te keuren voor automatische toegang tot hun service. Klanten moeten hun abonnementen offline delen om serviceproviders toe te voegen aan de lijst voor automatische goedkeuring. Automatische goedkeuring is een subset van de zichtbaarheidsmatrix.
Zichtbaarheid bepaalt de belichtingsinstellingen terwijl automatische goedkeuring de goedkeuringsinstellingen voor uw service regelt. Als een klant een verbinding aanvraagt vanuit een abonnement in de lijst voor automatische goedkeuring, wordt de verbinding automatisch goedgekeurd en wordt de verbinding tot stand gebracht. Serviceproviders hoeven de aanvraag niet handmatig goed te keuren. Als een klant een verbinding aanvraagt vanuit een abonnement in de zichtbaarheidsmatrix en niet in de matrix voor automatische goedkeuring, wordt de aanvraag door de serviceprovider bereikt. De serviceprovider moet de verbindingen handmatig goedkeuren.
Verbindingsgegevens ophalen met TCP Proxy v2
In de Private Link-service is het bron-IP-adres van de pakketten die afkomstig zijn van een privé-eindpunt, het netwerkadres vertaald (NAT) aan de kant van de serviceprovider met behulp van het NAT IP-adres dat is toegewezen vanuit het virtuele netwerk van de provider. De toepassingen ontvangen het toegewezen NAT IP-adres in plaats van het werkelijke bron-IP-adres van de servicegebruikers. Als uw toepassing een echt bron-IP-adres van de consument nodig heeft, kunt u het proxyprotocol inschakelen in uw service en de informatie ophalen uit de proxyprotocolheader. Naast het bron-IP-adres bevat de proxyprotocolheader ook de LinkID van het privé-eindpunt. Combinatie van bron-IP-adres en LinkID kan serviceproviders helpen hun consumenten uniek te identificeren.
Bezoek hier voor meer informatie over Proxy Protocol.
Deze informatie wordt als volgt gecodeerd met behulp van een aangepaste TLV-vector (Type-Length-Value):
Aangepaste TLV-details:
Veld | Lengte (octetten) | Beschrijving |
---|---|---|
Type | 1 | PP2_TYPE_AZURE (0xEE) |
Lengte | 2 | Lengte van waarde |
Weergegeven als | 1 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
4 | UINT32 (4 bytes) die de LINKID van het privé-eindpunt vertegenwoordigt. Gecodeerd in little endian-indeling. |
Notitie
De serviceprovider is verantwoordelijk voor het controleren of de service achter de standaard load balancer is geconfigureerd voor het parseren van de header van het proxyprotocol volgens de specificatie wanneer het proxyprotocol is ingeschakeld op de Private Link-service. De aanvraag mislukt als de proxyprotocolinstelling is ingeschakeld voor de privékoppeling-service, maar de service van de serviceprovider niet is geconfigureerd om de header te parseren. De aanvraag zal mislukken als de service van de dienstverlener een proxy-protocolkop verwacht terwijl de instelling niet is ingeschakeld op de privékoppeling-service. Zodra de proxyprotocolinstelling is ingeschakeld, wordt de header van het proxyprotocol ook opgenomen in HTTP/TCP-statustests van de host naar de virtuele back-endmachines. Clientgegevens zijn niet opgenomen in de header.
De overeenkomst LINKID
die deel uitmaakt van het PROXYv2-protocol (TLV) vindt u in de PrivateEndpointConnection
as-eigenschap linkIdentifier
.
Zie de Private Link Services-API voor meer informatie.
Beperkingen
Hier volgen de bekende beperkingen bij het gebruik van de Private Link-service:
Alleen ondersteund op Standard Load Balancer. Niet ondersteund in Basic Load Balancer.
Alleen ondersteund op Standard Load Balancer waarbij de back-endpool is geconfigureerd door NIC. Niet ondersteund in Standard Load Balancer waarbij de back-endpool wordt geconfigureerd door ip-adres.
Ondersteunt alleen IPv4-verkeer
Ondersteunt alleen TCP- en UDP-verkeer
De Private Link-service heeft een time-out voor inactiviteit van ongeveer 5 minuten (300 seconden). Om te voorkomen dat deze limiet wordt bereikt, moeten toepassingen die verbinding maken via de Private Link-service TCP Keepalives lager dan die tijd gebruiken.
Voor een binnenkomende NAT-regel met het type ingesteld op back-endpool voor gebruik met Azure Private Link Service, moet er een taakverdelingsregel worden geconfigureerd.