Co to jest prywatny punkt końcowy?

Prywatny punkt końcowy to interfejs sieciowy, który używa prywatnego adresu IP z Twojej sieci wirtualnej. Ten interfejs sieciowy zapewnia prywatne i bezpieczne połączenie z usługą obsługiwaną przez usługę Azure Private Link. Włączając prywatny punkt końcowy, wprowadzasz usługę do swojej sieci wirtualnej.

Usługa może być usługą platformy Azure, taką jak:

  • Azure Storage
  • Azure Cosmos DB
  • Azure SQL Database
  • Twoja własna usługa przy użyciu usługi Private Link.

Właściwości prywatnego punktu końcowego

Prywatny punkt końcowy określa następujące właściwości:

Właściwość Opis
Nazwa Unikatowa nazwa w grupie zasobów.
Podsieć Podsieć do wdrożenia, w której jest przypisany prywatny adres IP. Aby uzyskać wymagania dotyczące podsieci , zobacz sekcję Ograniczenia w dalszej części tego artykułu.
Zasób łącza prywatnego Zasób łącza prywatnego do nawiązania połączenia przy użyciu identyfikatora zasobu lub aliasu z listy dostępnych typów. Unikatowy identyfikator sieci jest generowany dla całego ruchu wysyłanego do tego zasobu.
Docelowy podźródło Podźródło do nawiązania połączenia. Każdy typ zasobu łącza prywatnego ma różne opcje wyboru na podstawie preferencji.
Metoda zatwierdzania połączenia Automatyczne lub ręczne. W zależności od uprawnień kontroli dostępu opartej na rolach (RBAC) platformy Azure prywatny punkt końcowy można zatwierdzać automatycznie. Jeśli łączysz się z zasobem łącza prywatnego bez uprawnień kontroli dostępu opartej na rolach platformy Azure, użyj metody ręcznej, aby umożliwić właścicielowi zasobu zatwierdzenie połączenia.
Komunikat o żądaniu Możesz określić komunikat dla żądanych połączeń, które mają zostać zatwierdzone ręcznie. Ten komunikat może służyć do identyfikowania określonego żądania.
Stan połączenia Właściwość tylko do odczytu określająca, czy prywatny punkt końcowy jest aktywny. Do wysyłania ruchu mogą być używane tylko prywatne punkty końcowe w stanie zatwierdzonym. Dodatkowe dostępne stany:
  • Zatwierdzone: połączenie zostało automatycznie lub ręcznie zatwierdzone i jest gotowe do użycia.
  • Oczekujące: połączenie zostało utworzone ręcznie i oczekuje na zatwierdzenie przez właściciela zasobu łącza prywatnego.
  • Odrzucono: połączenie zostało odrzucone przez właściciela zasobu łącza prywatnego.
  • Rozłączone: połączenie zostało usunięte przez właściciela zasobu łącza prywatnego. Prywatny punkt końcowy staje się informacyjny i powinien zostać usunięty w celu oczyszczenia.
  • Podczas tworzenia prywatnych punktów końcowych rozważ następujące kwestie:

    • Prywatne punkty końcowe umożliwiają łączność między klientami z tego samego poziomu:

      • Sieć wirtualna
      • Regionalnie równorzędne sieci wirtualne
      • Globalnie równorzędne sieci wirtualne
      • Środowiska lokalne korzystające z sieci VPN lub usługi Express Route
      • Usługi obsługiwane przez Private Link
    • Połączenia sieciowe można inicjować tylko przez klientów łączących się z prywatnym punktem końcowym. Dostawcy usług nie mają konfiguracji routingu do tworzenia połączeń z klientami usług. Połączenia można ustanowić tylko w jednym kierunku.

    • Interfejs sieciowy tylko do odczytu jest automatycznie tworzony na potrzeby cyklu życia prywatnego punktu końcowego. Interfejs jest przypisany dynamiczny prywatny adres IP z podsieci, która mapuje na zasób łącza prywatnego. Wartość prywatnego adresu IP pozostaje niezmieniona dla całego cyklu życia prywatnego punktu końcowego.

    • Prywatny punkt końcowy musi zostać wdrożony w tym samym regionie i subskrypcji co sieć wirtualna.

    • Zasób łącza prywatnego można wdrożyć w innym regionie niż dla sieci wirtualnej i prywatnego punktu końcowego.

    • Wiele prywatnych punktów końcowych można utworzyć przy użyciu tego samego zasobu łącza prywatnego. W przypadku pojedynczej sieci korzystającej z typowej konfiguracji serwera DNS zalecane jest użycie jednego prywatnego punktu końcowego dla określonego zasobu łącza prywatnego. Użyj tej praktyki, aby uniknąć zduplikowanych wpisów lub konfliktów w rozpoznawaniu nazw DNS.

    • Wiele prywatnych punktów końcowych można utworzyć w tej samej lub innej podsieci w tej samej sieci wirtualnej. Istnieją ograniczenia liczby prywatnych punktów końcowych, które można utworzyć w ramach subskrypcji. Aby uzyskać więcej informacji, zobacz Limity platformy Azure.

    • Subskrypcja zawierająca zasób łącza prywatnego musi być zarejestrowana u dostawcy zasobów sieciowych firmy Microsoft. Subskrypcja zawierająca prywatny punkt końcowy musi być również zarejestrowana u dostawcy zasobów sieciowych firmy Microsoft. Aby uzyskać więcej informacji, zobacz Azure Resource Providers (Dostawcy zasobów platformy Azure).

    Zasób łącza prywatnego to docelowy element docelowy określonego prywatnego punktu końcowego. W poniższej tabeli wymieniono dostępne zasoby, które obsługują prywatny punkt końcowy:

    Nazwa zasobu łącza prywatnego Typ zasobu Podźródła
    Azure App Configuration Microsoft.Appconfiguration/configurationStores configurationStores
    Azure Automation Microsoft.Automation/automationAccounts Webhook, DSCAndHybridWorker
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Table
    Usługa Azure Batch Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Azure Cache for Redis Microsoft.Cache/Redis redisCache
    Azure Cache for Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure Cognitive Services Microsoft.CognitiveServices/accounts account
    Dyski zarządzane platformy Azure Microsoft.Compute/diskAccesses dysk zarządzany
    Azure Container Registry Microsoft.ContainerRegistry/rejestry registry
    Azure Kubernetes Service — interfejs API kubernetes Microsoft.ContainerService/managedClusters zarządzanie
    Azure Data Factory Microsoft.DataFactory/factory dataFactory
    Azure Data Explorer Microsoft.Kusto/clusters cluster
    Azure Database for MariaDB Microsoft.DBforMariaDB/servers mariadbServer
    Azure Database for MySQL Microsoft.DBforMySQL/servers mysqlServer
    Azure Database for PostgreSQL — pojedynczy serwer Microsoft.DBforPostgreSQL/servers postgresqlServer
    Azure Device Provisioning Service Microsoft.Devices/provisioningServices iotDps
    Azure IoT Hub Microsoft.Devices/IotHubs iotHub
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances interfejs API
    Azure Event Grid Microsoft.EventGrid/domains domena
    Azure Event Grid Microsoft.EventGrid/topics temat
    Centrum zdarzeń Azure Microsoft.EventHub/przestrzenie nazw namespace
    Azure HDInsight Microsoft.HDInsight/clusters cluster
    Interfejs API platformy Azure dla standardu FHIR (zasoby współdziałania fast healthcare) Microsoft.HealthcareApis/services fhir
    Moduł HSM platformy Azure Key Vault (sprzętowy moduł zabezpieczeń) Microsoft.Keyvault/managedHSMs Sprzętowy moduł zabezpieczeń
    Azure Key Vault Microsoft.KeyVault/vaults magazyn
    Azure Machine Learning Microsoft.MachineLearningServices/workspaces amlworkspace
    Azure Migrate Microsoft.Migrate/assessmentProjects projekt
    Application Gateway Microsoft.Network/applicationgateways brama aplikacji
    usługa Private Link (Twoja usługa) Microsoft.Network/privateLinkServices puste
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Microsoft Purview Microsoft.Purview/accounts account
    Microsoft Purview Microsoft.Purview/accounts portal
    Azure Backup Microsoft.RecoveryServices/vaults magazyn
    Azure Relay Microsoft.Relay/przestrzenie nazw namespace
    Azure Cognitive Search Microsoft.Search/searchServices searchService
    Usługa Azure Service Bus Microsoft.ServiceBus/przestrzenie nazw namespace
    Azure SignalR Service Microsoft.SignalRService/SignalR Signalr
    Azure SignalR Service Microsoft.SignalRService/webPubSub webpubsub
    Azure SQL Database Microsoft.Sql/servers SQL Server (sqlServer)
    Azure Storage Microsoft.Storage/storageAccounts Obiekt blob (obiekt blob, blob_secondary)
    Tabela (tabela, table_secondary)
    Kolejka (kolejka, queue_secondary)
    Plik (plik, file_secondary)
    Sieć Web (internet, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure File Sync Microsoft.StorageSync/storageSyncServices usługa File Sync
    Azure Synapse Microsoft.Synapse/privateLinkHubs web
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Dev
    Azure App Service Microsoft.Web/hostingEnvironments środowisko hostingu
    Azure App Service Microsoft.Web/sites lokacje
    Azure Static Web Apps Microsoft.Web/staticSites staticSites
    Azure Media Services Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint
    Azure Databricks Microsoft.Databricks/workspaces databricks_ui_api, browser_authentication

    Uwaga

    Prywatne punkty końcowe można tworzyć tylko na koncie magazynu Ogólnego przeznaczenia v2 (GPv2).

    Zabezpieczenia sieci prywatnych punktów końcowych

    W przypadku korzystania z prywatnych punktów końcowych ruch jest zabezpieczony dla zasobu łącza prywatnego. Platforma weryfikuje połączenia sieciowe, umożliwiając tylko te, które docierają do określonego zasobu łącza prywatnego. Aby uzyskać dostęp do dodatkowych zasobów podrzędnych w ramach tej samej usługi platformy Azure, wymagane są dodatkowe prywatne punkty końcowe z odpowiednimi elementami docelowymi. Na przykład w przypadku usługi Azure Storage potrzebne są oddzielne prywatne punkty końcowe, aby uzyskać dostęp do plików i zasobów podrzędnych obiektów blob .

    Prywatne punkty końcowe zapewniają prywatnie dostępny adres IP dla usługi platformy Azure, ale niekoniecznie ograniczają do niej dostęp do sieci publicznej. Azure App Service i Azure Functions stają się niedostępne publicznie, gdy są one skojarzone z prywatnym punktem końcowym. Wszystkie inne usługi platformy Azure wymagają jednak dodatkowych kontroli dostępu. Te mechanizmy kontroli zapewniają dodatkową warstwę zabezpieczeń sieci dla zasobów, zapewniając ochronę, która pomaga zapobiec dostępowi do usługi platformy Azure skojarzonej z zasobem łącza prywatnego.

    Prywatne punkty końcowe obsługują zasady sieci. Zasady sieciowe umożliwiają obsługę sieciowych grup zabezpieczeń, tras zdefiniowanych przez użytkownika i grup zabezpieczeń aplikacji (ASG). Aby uzyskać więcej informacji na temat włączania zasad sieciowych dla prywatnego punktu końcowego, zobacz Zarządzanie zasadami sieciowymi dla prywatnych punktów końcowych. Aby użyć usługi ASG z prywatnym punktem końcowym, zobacz Konfigurowanie grupy zabezpieczeń aplikacji (ASG) z prywatnym punktem końcowym.

    Za pomocą następujących metod zatwierdzania połączenia można nawiązać połączenie z zasobem łącza prywatnego:

    • Automatycznie zatwierdzaj: użyj tej metody, jeśli jesteś właścicielem lub masz uprawnienia do określonego zasobu łącza prywatnego. Wymagane uprawnienia są oparte na typie zasobu łącza prywatnego w następującym formacie:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Żądanie ręczne: użyj tej metody, jeśli nie masz wymaganych uprawnień i chcesz zażądać dostępu. Zostanie zainicjowany przepływ pracy zatwierdzania. Prywatny punkt końcowy i późniejsze połączenia prywatnego punktu końcowego zostaną utworzone w stanie Oczekiwanie . Właściciel zasobu łącza prywatnego jest odpowiedzialny za zatwierdzenie połączenia. Po zatwierdzeniu prywatny punkt końcowy jest włączony do normalnego wysyłania ruchu, jak pokazano na poniższym diagramie przepływu pracy zatwierdzania:

    Diagram procesu zatwierdzania przepływu pracy.

    Za pośrednictwem połączenia prywatnego punktu końcowego właściciel zasobu łącza prywatnego może:

    • Przejrzyj wszystkie szczegóły połączenia prywatnego punktu końcowego.
    • Zatwierdź połączenie z prywatnym punktem końcowym. Odpowiedni prywatny punkt końcowy zostanie włączony do wysyłania ruchu do zasobu łącza prywatnego.
    • Odrzuć połączenie z prywatnym punktem końcowym. Odpowiedni prywatny punkt końcowy zostanie zaktualizowany w celu odzwierciedlenia stanu.
    • Usuń połączenie prywatnego punktu końcowego w dowolnym stanie. Odpowiedni prywatny punkt końcowy zostanie zaktualizowany o stan rozłączenia, aby odzwierciedlić akcję. Właściciel prywatnego punktu końcowego może w tym momencie usunąć tylko zasób.

    Uwaga

    Tylko prywatne punkty końcowe w stanie Zatwierdzone mogą wysyłać ruch do określonego zasobu łącza prywatnego.

    Nawiązywanie połączenia przy użyciu aliasu

    Alias to unikatowy moniker generowany, gdy właściciel usługi tworzy usługę private-link za standardowym modułem równoważenia obciążenia. Właściciele usług mogą udostępniać ten alias w trybie offline użytkownikom usługi.

    Konsumenci mogą zażądać połączenia z usługą private-link przy użyciu identyfikatora URI zasobu lub aliasu. Aby nawiązać połączenie przy użyciu aliasu, utwórz prywatny punkt końcowy przy użyciu metody ręcznego zatwierdzania połączenia. Aby użyć metody ręcznego zatwierdzania połączenia, ustaw parametr żądania ręcznego na wartość True podczas przepływu tworzenia prywatnego punktu końcowego. Aby uzyskać więcej informacji, zobacz New-AzPrivateEndpoint i az network private-endpoint create.

    Uwaga

    To ręczne żądanie można automatycznie zatwierdzić, jeśli subskrypcja konsumenta jest wyświetlana po stronie dostawcy. Aby dowiedzieć się więcej, przejdź do tematu kontrolowanie dostępu do usługi.

    Konfiguracja usługi DNS

    Ustawienia DNS używane do nawiązywania połączenia z zasobem łącza prywatnego są ważne. Istniejące usługi platformy Azure mogą już mieć konfigurację DNS, której można użyć podczas nawiązywania połączenia za pośrednictwem publicznego punktu końcowego. Aby nawiązać połączenie z tą samą usługą za pośrednictwem prywatnego punktu końcowego, wymagane są oddzielne ustawienia DNS, często skonfigurowane za pośrednictwem prywatnych stref DNS. Upewnij się, że ustawienia DNS są poprawne podczas korzystania z w pełni kwalifikowanej nazwy domeny (FQDN) dla połączenia. Ustawienia muszą zostać rozpoznane jako prywatny adres IP prywatnego punktu końcowego.

    Interfejs sieciowy skojarzony z prywatnym punktem końcowym zawiera informacje wymagane do skonfigurowania systemu DNS. Informacje obejmują nazwę FQDN i prywatny adres IP zasobu łącza prywatnego.

    Aby uzyskać szczegółowe informacje na temat zaleceń dotyczących konfigurowania usługi DNS dla prywatnych punktów końcowych, zobacz Konfiguracja dns prywatnego punktu końcowego.

    Ograniczenia

    Poniższe informacje zawierają listę znanych ograniczeń dotyczących korzystania z prywatnych punktów końcowych:

    Sieciowa grupa zabezpieczeń

    Ograniczenie Opis
    Obowiązujące trasy i reguły zabezpieczeń są niedostępne dla interfejsu sieciowego prywatnego punktu końcowego. Obowiązujące trasy i reguły zabezpieczeń nie będą wyświetlane dla karty sieciowej prywatnego punktu końcowego w Azure Portal.
    Dzienniki przepływu sieciowej grupy zabezpieczeń nie są obsługiwane. Dzienniki przepływu sieciowej grupy zabezpieczeń są niedostępne dla ruchu przychodzącego przeznaczonego dla prywatnego punktu końcowego.
    Nie więcej niż 50 członków w grupie zabezpieczeń aplikacji. Pięćdziesiąt to liczba konfiguracji adresów IP, które mogą być powiązane z każdą odpowiednią grupą asg, która jest połączona z sieciową grupą zabezpieczeń w podsieci prywatnego punktu końcowego. Błędy połączeń mogą wystąpić z ponad 50 elementami członkowskimi.
    Zakresy portów docelowych są obsługiwane do współczynnika 250 tys. Zakresy portów docelowych są obsługiwane jako mnożenie SourceAddressPrefixes, DestinationAddressPrefixes i DestinationPortRanges.

    Przykładowa reguła ruchu przychodzącego:
    1 źródło * 1 miejsce docelowe * 4K portRanges = 4K Prawidłowe 10 źródeł * 10 miejsc docelowych * 10 portRanges = 1K Prawidłowe

    50 źródeł * 50 miejsc docelowych * 50 portRanges = 125K Valid
    50 sources * 50 destinations * 100 portRanges = 250K Valid
    100 sources * 100 destinations * 100 portRanges = 1M Invalid, NSG ma zbyt wiele źródeł/miejsc docelowych/portów.
    Filtrowanie portów źródłowych jest interpretowane jako * Filtrowanie portów źródłowych nie jest aktywnie używane jako prawidłowy scenariusz filtrowania ruchu dla ruchu kierowanego do prywatnego punktu końcowego.
    Funkcja niedostępna w wybranych regionach. Obecnie niedostępne w następujących regionach:
    Zachodnie Indie
    Australia Środkowa 2
    Republika Południowej Afryki Południowo-Wschodniej

    Dodatkowe zagadnienia dotyczące sieciowej grupy zabezpieczeń

    • Ruch wychodzący odrzucony z prywatnego punktu końcowego nie jest prawidłowym scenariuszem, ponieważ dostawca usług nie może pochodzić z ruchu.

    • Następujące usługi mogą wymagać otwarcia wszystkich portów docelowych podczas korzystania z prywatnego punktu końcowego i dodawania filtrów zabezpieczeń sieciowej grupy zabezpieczeń:

    UDR

    Ograniczenie Opis
    Funkcja SNAT jest zalecana przez cały czas. Ze względu na zmienny charakter prywatnej płaszczyzny danych punktu końcowego zaleca się ruch SNAT kierowany do prywatnego punktu końcowego w celu zapewnienia, że ruch powrotny jest honorowany.
    Funkcja niedostępna w wybranych regionach. Obecnie niedostępne w następujących regionach:
    Indie Zachodnie
    Zjednoczone Królestwo Północne Zjednoczone Królestwo
    Południowe 2 Australia Środkowa 2

    Rpa Zachodnia
    Brazylia Południowo-Wschodnia

    Grupa zabezpieczeń aplikacji

    Ograniczenie Opis
    Funkcja niedostępna w wybranych regionach. Obecnie niedostępne w następujących regionach:
    Indie Zachodnie
    Zjednoczone Królestwo Północne Zjednoczone Królestwo
    Południowe 2 Australia Środkowa 2

    Rpa Zachodnia
    Brazylia Południowo-Wschodnia

    Następne kroki