Hoe Azure Private Link werkt

  • 10 minuten

U bent bekend met de basisfuncties en voordelen van Private Link. Laten we nu onderzoeken hoe Private Link werkt. Laten we met name eens kijken hoe het werkt met Private Endpoint en Private Link Service om privétoegang tot Azure-services te bieden. Deze informatie helpt u te evalueren of Private Link de juiste oplossing is voor uw bedrijf.

Private Link biedt privétoegang tot Azure-services. Hier betekent 'privé' dat de verbinding gebruikmaakt van het Microsoft Azure backbone-netwerk in plaats van internet. Als u deze switch wilt maken, wijzigt Private Link de connectiviteitsmethode voor de Azure-resource van openbaar eindpunt in een privé-eindpunt.

U hebt nu geen toegang tot de Azure-resource met behulp van een openbaar IP-adres. In plaats daarvan gebruikt u een privé-IP-adres dat Azure toewijst aan de resource vanuit de adresruimte van uw subnet.

De belangrijkste afhaalmaaltijd? De Azure-resource maakt nu effectief deel uit van uw virtuele netwerk. Clients in uw netwerk hebben net als elke andere netwerkresource toegang tot deze Private Link-resource .

Voor nog betere beveiliging maakt de verbinding met de resource nu gebruik van het Microsoft Azure backbone-netwerk. Dat wil wel dat verkeer van en naar de resource het openbare internet volledig omzeilt.

Het openbare eindpunt van de resource bestaat nog steeds, ook al gebruikt u het niet. De aanwezigheid van een openbaar eindpunt, zelfs een ongebruikt eindpunt, is nog steeds een beveiligingsrisico. Gelukkig is het mogelijk om het openbare eindpunt van de Azure-resource uit te schakelen, waardoor dit potentiële beveiligingsprobleem wordt overgeslagen.

Hoe azure-privé-eindpunt werkt

Hoe verschuift u een resource-interface van openbaar naar privé? Voeg een privé-Eindpunt van Azure toe aan uw netwerkconfiguratie. Privé-eindpunt is een netwerkinterface waarmee een privéverbinding tussen uw virtuele netwerk en een opgegeven Azure-resource wordt gemaakt.

Privé-eindpunt gebruikt een ongebruikt privé-IP-adres uit de adresruimte van een opgegeven subnet in uw virtuele netwerk. Stel dat u een subnet hebt dat gebruikmaakt van de adresruimte 10.1.0.0/24. Virtuele machines in dat subnet gebruiken IP-adressen zoals 10.1.0.20 of 10.1.0.155.

Privé-eindpunt haalt een IP-adres op uit dezelfde adresruimte, zoals 10.1.0.32. Privé-eindpunt wijst dat adres vervolgens toe aan een opgegeven Azure-service. Door het privé-IP-adres te gebruiken, wordt de service effectief in uw virtuele netwerk gebracht.

Notitie

Clients die verbinding maken met een Private Link-resource hoeven het toegewezen IP-adres van het privé-eindpunt niet te gebruiken in de verbindingsreeks. Als u in plaats daarvan het privé-eindpunt configureert voor integratie met uw privé-DNS-zone, wijst Azure automatisch een FQDN toe aan het eindpunt. Als de Private Link-resource bijvoorbeeld een Azure Storage-tabel is, is de FQDN iets als mystorageaccount1234.table.core.windows.net.

Hier volgen enkele belangrijke punten die u moet overwegen bij het evalueren van een privé-eindpunt:

  • Privé-eindpunt biedt privéconnectiviteit tussen virtuele machines en andere clients in uw virtuele Azure-netwerk en door Private Link aangedreven Azure-services.
  • Privé-eindpunt biedt privéconnectiviteit tussen uw regionale gekoppelde virtuele netwerken en door Private Link aangedreven Azure-services.
  • Privé-eindpunt biedt privéconnectiviteit tussen uw wereldwijd gekoppelde virtuele netwerken en door Private Link aangedreven Azure-services.
  • Privé-eindpunt biedt privéconnectiviteit tussen uw on-premises netwerk, verbonden via ExpressRoute-privépeering of een VPN- en Private Link-aangedreven Azure-services.
  • U kunt maximaal 1000 privé-eindpuntinterfaces per virtueel netwerk implementeren.
  • U kunt maximaal 64.000 privé-eindpuntinterfaces per Azure-abonnement implementeren.
  • U kunt maximaal 1000 privé-eindpuntinterfaces toewijzen aan dezelfde Private Link-resource.

Let op

Hoewel het mogelijk is om meerdere privé-eindpuntinterfaces toe te wijzen aan één resource, wordt dit niet aanbevolen omdat dit kan leiden tot DNS-conflicten en andere problemen. De aanbevolen procedure is om slechts één privé-eindpunt toe te wijzen aan één Private Link-resource.

  • Verbinding maken ionen zijn één manier, wat betekent dat alleen clients verbinding kunnen maken met een privé-eindpuntinterface. Als een Azure-service is toegewezen aan een privé-eindpuntinterface, kan de provider van die service geen verbinding maken met de privé-eindpuntinterface (of zelfs waarneemt).
  • Een geïmplementeerde privé-eindpuntinterface is alleen-lezen, wat betekent dat niemand deze kan wijzigen. Niemand kan de interface bijvoorbeeld toewijzen aan een andere resource en niemand kan het IP-adres van de interface wijzigen.
  • Hoewel u het privé-eindpunt in dezelfde regio als uw virtuele netwerk moet implementeren, kan de Private Link-resource zich in een andere regio bevinden.

Notitie

Wat is het verschil tussen een service-eindpunt en een privé-eindpunt? Een service-eindpunt configureert een Azure-resource om verbindingen alleen vanuit een opgegeven virtueel netwerk toe te staan. Deze verbinding wordt echter nog steeds gemaakt via het openbare eindpunt van de resource, dus er blijven enkele beveiligingsrisico's bestaan. Privé-eindpunt verwijdert deze risico's door het uitschakelen van het openbare eindpunt van een resource te ondersteunen.

Azure Private Link Service biedt de voordelen van Private Link voor uw aangepaste Azure-services. De enige vereiste is dat u uw aangepaste service uitvoert achter Azure Standard Load Balancer. Vervolgens kunt u een Private Link-serviceresource maken en deze koppelen aan de load balancer.

Let op

Azure biedt twee versies van de load balancer: basic en standard. Basic Load Balancer biedt geen ondersteuning voor de Private Link-service, dus zorg ervoor dat u Standard Load Balancer gebruikt.

Zodra u de Private Link-serviceresource hebt gemaakt, geeft Azure een alias voor de resource uit. Dit is een wereldwijd unieke alleen-lezen tekenreeks met het syntaxisvoorvoegsel.guid.achtervoegsel:

  • voorvoegsel. Een naam die u opgeeft voor de aangepaste service.
  • guid. Een wereldwijd unieke id die automatisch wordt gegenereerd door Azure.
  • achtervoegsel. De tekst region.azure.privatelinkservice; regio is de regio waarin de Private Link-service wordt geïmplementeerd.

U deelt de Private Link-servicealias met de gebruikers van uw aangepaste service. Elke consument stelt vervolgens een privé-eindpunt in hun eigen virtuele Azure-netwerk in. De consument wijst vervolgens het eindpunt toe aan de Private Link-servicealias.

Hier volgen enkele belangrijke punten die u moet overwegen bij het evalueren van de Private Link-service:

  • Uw Private Link-service kan worden geopend via een privé-eindpunt in elke openbare regio.
  • De Private Link-service moet worden geïmplementeerd in dezelfde regio als de standaard load balancer en het virtuele netwerk dat als host fungeert voor uw aangepaste Azure-service.
  • U kunt maximaal 800 Private Link Service-resources per Azure-abonnement implementeren.
  • Maximaal 1000 privé-eindpuntinterfaces kunnen worden toegewezen aan één Private Link-serviceresource.
  • U kunt meerdere Private Link Service-resources implementeren op dezelfde standaard load balancer met behulp van verschillende front-end IP-configuraties.

Alles samenvoegen

Is uw doel om toegang te krijgen tot een Azure-resource zonder het openbare internet te gebruiken? Wilt u een aangepaste Azure-resource privé aanbieden? Als u ja hebt beantwoord op een of beide vragen, krijgt Private Link, Private Endpoint en Private Link Service de volgende taak:

  • Als u privétoegang wilt krijgen tot een Azure PaaS-service of een Azure-service van een Microsoft-partner, maakt u een privé-eindpunt in een subnet van uw virtuele Azure-netwerk. Dat privé-eindpunt maakt gebruik van Private Link om toegang te krijgen tot de Azure-service met behulp van een privé-IP-adres via de Microsoft Azure-backbone. Gekoppelde virtuele netwerken en on-premises netwerken die gebruikmaken van persoonlijke ExpressRoute-peering of een VPN-tunnel hebben ook toegang tot de Azure-service via het privé-eindpunt.
  • Als u privétoegang wilt bieden tot een aangepaste Azure-service, plaatst u de service achter een standaard load balancer, maakt u een Private Link-serviceresource en koppelt u deze aan de front-end-IP-configuratie van de load balancer.

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing Azures services via a private IP address mapped by Private Endpoint.