Azure Private Link — często zadawane pytania

• Prywatny punkt końcowy platformy Azure: prywatny punkt końcowy platformy Azure to interfejs sieciowy, który łączy Cię prywatnie i bezpiecznie z usługą obsługiwaną przez usługę Azure Private Link. Za pomocą prywatnych punktów końcowych możesz nawiązać połączenie z usługą PaaS platformy Azure, która obsługuje usługę Private Link lub z własną usługą Private Link.
• Usługa Azure Private Link: usługa Azure Private Link to usługa utworzona przez dostawcę usług. Obecnie usługę Private Link można dołączyć do konfiguracji adresu IP frontonu usługa Load Balancer w warstwie Standardowa.

Ruch jest wysyłany prywatnie przy użyciu sieci szkieletowej firmy Microsoft. Nie przechodzi przez Internet. Usługa Azure Private Link nie przechowuje danych klientów.

• Prywatne punkty końcowe zapewniają dostęp sieciowy do określonych zasobów za daną usługą zapewniając szczegółową segmentację. Ruch może docierać do zasobu usługi ze środowiska lokalnego bez korzystania z publicznych punktów końcowych.
• Punkt końcowy usługi pozostaje publicznie routingowym adresem IP. Prywatny punkt końcowy to prywatny adres IP w przestrzeni adresowej sieci wirtualnej, w której skonfigurowano prywatny punkt końcowy.

Wiele typów zasobów łącza prywatnego obsługuje dostęp za pośrednictwem prywatnych punktów końcowych. Zasoby obejmują usługi PaaS platformy Azure i własną usługę Private Link. Jest to relacja jeden do wielu.

Usługa Private Link odbiera połączenia z wielu prywatnych punktów końcowych. Prywatny punkt końcowy łączy się z jedną usługą Private Link.

Tak. Usługa Private Link musi wyłączyć zasady sieciowe, aby działały prawidłowo.

Tak. Aby korzystać z zasad, takich jak trasy zdefiniowane przez użytkownika i sieciowe grupy zabezpieczeń, należy włączyć zasady sieciowe dla podsieci w sieci wirtualnej dla prywatnego punktu końcowego. To ustawienie ma wpływ na wszystkie prywatne punkty końcowe w podsieci.

Tak. W tej samej sieci wirtualnej lub podsieci można mieć wiele prywatnych punktów końcowych. Mogą łączyć się z różnymi usługami.

Nie Nie potrzebujesz dedykowanej podsieci dla prywatnych punktów końcowych. Możesz wybrać prywatny adres IP punktu końcowego z dowolnej podsieci z sieci wirtualnej, w której wdrożono usługę.

Tak. Prywatne punkty końcowe mogą łączyć się z usługami Private Link lub z usługą Azure PaaS w dzierżawach firmy Microsoft Entra. Prywatne punkty końcowe w dzierżawach wymagają ręcznego zatwierdzenia żądania.

Tak. Prywatne punkty końcowe mogą łączyć się z zasobami paaS platformy Azure w różnych regionach świadczenia usługi Azure.

Po utworzeniu prywatnego punktu końcowego zostanie przypisana karta sieciowa tylko do odczytu. Nie można zmodyfikować karty sieciowej i pozostanie w cyklu życia prywatnego punktu końcowego.

Prywatne punkty końcowe to zasoby o wysokiej dostępności z umową SLA zgodnie z umową SLA dla usługi Azure Private Link. Jednak ponieważ są to zasoby regionalne, awaria dowolnego regionu świadczenia usługi Azure może mieć wpływ na dostępność. Aby uzyskać dostępność w przypadku awarii regionalnych, w różnych regionach można wdrożyć wiele punktów ściągniętych z tym samym zasobem docelowym. W ten sposób, jeśli jeden region ulegnie awarii, nadal możesz kierować ruch dla scenariuszy odzyskiwania za pośrednictwem pe w innym regionie, aby uzyskać dostęp do zasobu docelowego. Aby uzyskać informacje na temat sposobu obsługi regionalnych awarii po stronie usługi docelowej, zapoznaj się z dokumentacją usługi dotyczącą trybu failover i odzyskiwania. Ruch usługi Private Link jest zgodny z rozpoznawaniem usługi Azure DNS dla docelowego punktu końcowego.

Prywatne punkty końcowe to zasoby o wysokiej dostępności z umową SLA zgodnie z umową SLA dla usługi Azure Private Link. Prywatne punkty końcowe są niezależne od strefy: awaria strefy dostępności w regionie prywatnego punktu końcowego nie wpłynie na dostępność prywatnego punktu końcowego.

Ruch TCP i UDP są obsługiwane tylko dla prywatnego punktu końcowego. Aby uzyskać więcej informacji, zobacz Ograniczenia usługi Private Link.

Zaplecze usługi powinno znajdować się w sieci wirtualnej i za usługa Load Balancer w warstwie Standardowa.

Usługę Private Link można skalować na kilka różnych sposobów:

• Dodawanie maszyn wirtualnych zaplecza do puli za usługa Load Balancer w warstwie Standardowa
• Dodaj adres IP do usługi Private Link. Zezwalamy na maksymalnie 8 adresów IP na usługę Private Link.
• Dodaj nową usługę Private Link do usługa Load Balancer w warstwie Standardowa. Zezwalamy na maksymalnie osiem usług Private Link na usługa Load Balancer w warstwie Standardowa.

• Konfiguracja adresu IP translatora adresów sieciowych zapewnia, że przestrzeń adresowa źródła (odbiorcy) i miejsca docelowego (dostawcy usług) nie ma konfliktów adresów IP. Konfiguracja zapewnia źródłowy translator adresów sieciowych dla ruchu łącza prywatnego dla miejsca docelowego. Adres IP translatora adresów sieciowych będzie wyświetlany jako źródłowy adres IP dla wszystkich pakietów odebranych przez usługę i docelowy adres IP dla wszystkich pakietów wysyłanych przez usługę. Adres IP translatora adresów sieciowych można wybrać z dowolnej podsieci w sieci wirtualnej dostawcy usług.
• Każdy adres IP translatora adresów sieciowych zapewnia 64k połączeń TCP (64k portów) na maszynę wirtualną za usługa Load Balancer w warstwie Standardowa. Aby skalować i dodawać więcej połączeń, można dodać nowe adresy IP translatora adresów sieciowych lub dodać więcej maszyn wirtualnych za usługa Load Balancer w warstwie Standardowa. Spowoduje to skalowanie dostępności portów i umożliwi uzyskanie większej liczby połączeń. Połączenie iony będą dystrybuowane między adresami IP translatora adresów sieciowych i maszynami wirtualnymi za usługa Load Balancer w warstwie Standardowa.

Tak. Jedna usługa Private Link może odbierać połączenia z wielu prywatnych punktów końcowych. Jednak jeden prywatny punkt końcowy może łączyć się tylko z jedną usługą Private Link.

Ekspozycję można kontrolować przy użyciu konfiguracji widoczności w usłudze Private Link. Widoczność obsługuje trzy ustawienia:

• Brak — tylko subskrypcje z dostępem opartym na rolach mogą zlokalizować usługę.
• Restrykcyjne — tylko subskrypcje zatwierdzone i z dostępem opartym na rolach mogą zlokalizować usługę.
• Wszystkie — wszyscy mogą zlokalizować usługę.

Nie Usługa Private Link za pośrednictwem podstawowego modułu równoważenia obciążenia nie jest obsługiwana.

Nie Dedykowana podsieć nie jest wymagana dla usługi Private Link. Możesz wybrać dowolną podsieć w sieci wirtualnej, w której wdrożono usługę.

Nie Usługa Azure Private Link udostępnia tę funkcję. Nie musisz mieć nakładających się przestrzeni adresowych z przestrzenią adresową klienta.

Następne kroki

• Dowiedz się więcej o usłudze Azure Private Link