Czym jest usługa Azure Private Link?
Usługa Azure Private Link to odwołanie do własnej usługi obsługiwanej przez usługę Azure Private Link. Usługę działającą za usługą Azure usługa Load Balancer w warstwie Standardowa można włączyć w celu uzyskania dostępu do usługi Private Link, aby użytkownicy usługi mogli uzyskiwać do niej dostęp prywatnie z własnych sieci wirtualnych. Klienci mogą utworzyć prywatny punkt końcowy w sieci wirtualnej i zamapować go na tę usługę. W tym artykule opisano pojęcia związane ze stroną dostawcy usług.
Rysunek: Usługa Azure Private Link.
Przepływ pracy
Rysunek: Przepływ pracy usługi Azure Private Link.
Tworzenie usługi Private Link
Skonfiguruj aplikację do uruchamiania za standardowym modułem równoważenia obciążenia w sieci wirtualnej. Jeśli masz już aplikację skonfigurowaną za standardowym modułem równoważenia obciążenia, możesz pominąć ten krok.
Utwórz usługę Private Link odwołującą się do modułu równoważenia obciążenia powyżej. W procesie wyboru modułu równoważenia obciążenia wybierz konfigurację adresu IP frontonu, w której chcesz odbierać ruch. Wybierz podsieć dla adresów IP translatora adresów sieciowych dla usługi Private Link. Zaleca się posiadanie co najmniej ośmiu adresów IP translatora adresów sieciowych dostępnych w podsieci. Cały ruch konsumentów będzie się pojawiać z tej puli prywatnych adresów IP do dostawcy usług. Wybierz odpowiednie właściwości/ustawienia dla usługi Private Link.
Uwaga
Usługa Azure Private Link jest obsługiwana tylko w usługa Load Balancer w warstwie Standardowa.
Udostępnianie usługi
Po utworzeniu usługi Private Link platforma Azure wygeneruje globalnie unikatową nazwę o nazwie alias na podstawie podanej nazwy usługi. Możesz udostępnić alias lub identyfikator URI zasobu usługi klientom w trybie offline. Użytkownicy mogą uruchomić połączenie usługi Private Link przy użyciu aliasu lub identyfikatora URI zasobu.
Zarządzanie żądaniami połączenia
Gdy użytkownik zainicjuje połączenie, dostawca usług może zaakceptować lub odrzucić żądanie połączenia. Wszystkie żądania połączenia zostaną wyświetlone w ramach właściwości privateendpointconnections w usłudze Private Link.
Usuwanie usługi
Jeśli usługa Private Link nie jest już używana, możesz ją usunąć. Jednak przed usunięciem usługi upewnij się, że z usługą nie są skojarzone żadne połączenia prywatnego punktu końcowego. Możesz odrzucić wszystkie połączenia i usunąć usługę.
Właściwości
Usługa Private Link określa następujące właściwości:
Właściwości | Wyjaśnienie |
---|---|
Stan aprowizacji (provisioningState) | Właściwość tylko do odczytu zawierająca bieżący stan aprowizacji dla usługi Private Link. Odpowiednie stany aprowizacji to: Usuwanie, Niepowodzenie, Powodzenie,*Aktualizowanie. Gdy stan aprowizacji to Powodzenie, usługa Private Link została pomyślnie aprowizowana. |
Alias (alias) | Alias to globalnie unikatowy ciąg tylko do odczytu dla usługi. Pomaga ona maskować dane klienta dla usługi i jednocześnie tworzy łatwą w użyciu nazwę usługi. Podczas tworzenia usługi Private Link platforma Azure generuje alias dla usługi, którą można udostępniać swoim klientom. Twoi klienci mogą używać tego aliasu do żądania połączenia z usługą. |
Widoczność (widoczność) | Widoczność to właściwość, która kontroluje ustawienia ekspozycji dla usługi Private Link. Dostawcy usług mogą ograniczyć narażenie na swoją usługę do subskrypcji przy użyciu uprawnień kontroli dostępu na podstawie ról platformy Azure. Ograniczony zestaw subskrypcji może również służyć do ograniczania ekspozycji. |
Automatyczne zatwierdzanie (autoApproval) | Automatyczne zatwierdzanie steruje automatycznym dostępem do usługi Private Link. Subskrypcje określone na liście automatycznego zatwierdzania są zatwierdzane automatycznie po żądaniu połączenia z prywatnych punktów końcowych w tych subskrypcjach. |
Konfiguracja adresu IP frontonu modułu równoważenia obciążenia (loadBalancerFrontendIpConfigurations) | Usługa Private Link jest powiązana z adresem IP frontonu usługa Load Balancer w warstwie Standardowa. Cały ruch przeznaczony dla usługi osiągnie fronton SLB. Reguły SLB można skonfigurować tak, aby kierować ten ruch do odpowiednich pul zaplecza, w których działają aplikacje. Konfiguracje adresów IP frontonu modułu równoważenia obciążenia różnią się od konfiguracji adresów IP translatora adresów sieciowych. |
Konfiguracja adresów IP translatora adresów sieciowych (ipConfigurations) | Ta właściwość odnosi się do konfiguracji adresów IP translatora adresów sieciowych (translatora adresów sieciowych) dla usługi Private Link. Adres IP translatora adresów sieciowych można wybrać z dowolnej podsieci w sieci wirtualnej dostawcy usług. Usługa Private Link wykonuje translatora adresów sieciowych po stronie docelowej w ruchu usługi Private Link. Ten translator adresów sieciowych zapewnia brak konfliktu adresów IP między przestrzenią adresową źródła (po stronie konsumenta) i docelową (dostawcą usług). Po stronie docelowej lub dostawcy usług adres IP translatora adresów sieciowych jest wyświetlany jako źródłowy adres IP dla wszystkich pakietów odebranych przez usługę. Docelowy adres IP jest wyświetlany dla wszystkich pakietów wysyłanych przez usługę. |
Połączenia prywatnego punktu końcowego (privateEndpointConnections) | Ta właściwość zawiera listę prywatnych punktów końcowych łączących się z usługą Private Link. Wiele prywatnych punktów końcowych może łączyć się z tą samą usługą Private Link, a dostawca usług może kontrolować stan poszczególnych prywatnych punktów końcowych. |
Tcp Proxy V2 (EnableProxyProtocol) | Ta właściwość umożliwia dostawcy usług pobieranie informacji o połączeniu użytkownika usługi przy użyciu serwera proxy tcp w wersji 2. Dostawca usług jest odpowiedzialny za skonfigurowanie konfiguracji odbiornika, aby móc analizować nagłówek protokołu proxy w wersji 2. |
Szczegóły
Dostęp do usługi Private Link można uzyskać z zatwierdzonych prywatnych punktów końcowych w dowolnym regionie publicznym. Prywatny punkt końcowy można uzyskać z tej samej sieci wirtualnej i regionalnych równorzędnych sieci wirtualnych. Prywatny punkt końcowy można uzyskać z globalnie równorzędnych sieci wirtualnych i lokalnych przy użyciu prywatnej sieci VPN lub połączeń usługi ExpressRoute.
Po utworzeniu usługi Private Link interfejs sieciowy jest tworzony na potrzeby cyklu życia zasobu. Ten interfejs nie jest zarządzany przez klienta.
Usługa Private Link musi być wdrożona w tym samym regionie co sieć wirtualna i usługa Load Balancer w warstwie Standardowa.
Dostęp do pojedynczej usługi Private Link można uzyskać z wielu prywatnych punktów końcowych należących do różnych sieci wirtualnych, subskrypcji i/lub dzierżaw usługi Active Directory. Połączenie jest ustanawiane za pośrednictwem przepływu pracy połączenia.
Wiele usług Private Link można utworzyć w tym samym usługa Load Balancer w warstwie Standardowa przy użyciu różnych konfiguracji adresów IP frontonu. Istnieją limity liczby usług Private Link, które można utworzyć na usługa Load Balancer w warstwie Standardowa i na subskrypcję. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).
Usługa Private Link może mieć więcej niż jedną konfigurację adresów IP translatora adresów sieciowych. Wybranie więcej niż jednej konfiguracji adresów IP translatora adresów sieciowych może pomóc dostawcom usług w skalowaniu. Obecnie dostawcy usług mogą przypisać do ośmiu adresów IP translatora adresów sieciowych na usługę Private Link. Przy użyciu każdego adresu IP translatora adresów sieciowych można przypisać więcej portów dla połączeń TCP, a tym samym skalować w poziomie. Do usługi Private Link można dodać wiele adresów IP translatora adresów sieciowych, ale po skonfigurowaniu należy zachować co najmniej jeden adres IP translatora adresów sieciowych. Nie będzie można usunąć ostatniego pozostałego adresu IP translatora adresów sieciowych, aby upewnić się, że aktywne połączenia nie mają wpływu na niedostępne adresy IP translatora adresów sieciowych.
Alias
Alias to globalnie unikatowa nazwa twojej usługi. Pomaga ona maskować dane klienta dla usługi i jednocześnie tworzy łatwą w użyciu nazwę usługi. Podczas tworzenia usługi Private Link platforma Azure generuje alias dla usługi, którą można udostępniać swoim klientom. Twoi klienci mogą używać tego aliasu do żądania połączenia z usługą.
Alias składa się z trzech części: Prefiks.Identyfikator GUID.Przyrostek
Prefiks to nazwa usługi. Możesz wybrać własny prefiks. Po utworzeniu aliasu nie można go zmienić, dlatego odpowiednio wybierz prefiks.
Identyfikator GUID będzie udostępniany przez platformę. Ten identyfikator GUID sprawia, że nazwa jest globalnie unikatowa.
Sufiks jest dołączany przez platformę Azure: region.azure.privatelinkservice
Ukończ alias: prefiks. {GUID}.region.azure.privatelinkservice
Kontrola ekspozycji usługi
Usługa Private Link udostępnia trzy opcje w ustawieniu Widoczność , aby kontrolować ekspozycję usługi. Ustawienie widoczności określa, czy użytkownik może nawiązać połączenie z usługą. Poniżej przedstawiono opcje ustawień widoczności, od najbardziej restrykcyjnych do najmniej restrykcyjnych:
Tylko kontrola dostępu oparta na rolach: jeśli usługa jest do użytku prywatnego z różnych sieci wirtualnych, użyj kontroli dostępu opartej na rolach wewnątrz subskrypcji skojarzonych z tą samą dzierżawą usługi Active Directory. Widoczność między dzierżawami jest dozwolona za pośrednictwem kontroli dostępu opartej na rolach.
Ograniczone według subskrypcji: jeśli twoja usługa będzie zużywana w różnych dzierżawach, możesz ograniczyć narażenie na ograniczony zestaw zaufanych subskrypcji. Autoryzacje można wstępnie zatwierdzić.
Każda osoba mająca alias: jeśli chcesz upublicznić usługę i zezwolić wszystkim użytkownikom z aliasem usługi Private Link na żądanie połączenia, wybierz tę opcję.
Kontrola dostępu do usługi
Użytkownicy, którzy mają ekspozycję kontrolowaną przez ustawienie widoczności usługi Private Link, mogą utworzyć prywatny punkt końcowy w swoich sieciach wirtualnych i zażądać połączenia z usługą Private Link. Połączenie prywatnego punktu końcowego zostanie utworzone w stanie Oczekiwanie na obiekt usługi Private Link. Dostawca usług jest odpowiedzialny za działanie na żądanie połączenia. Możesz zatwierdzić połączenie, odrzucić połączenie lub usunąć połączenie. Tylko zatwierdzone połączenia mogą wysyłać ruch do usługi Private Link.
Akcję zatwierdzania połączeń można zautomatyzować przy użyciu właściwości automatycznego zatwierdzania w usłudze Private Link. Automatyczne zatwierdzanie to możliwość wstępnego zatwierdzania zestawu subskrypcji na potrzeby automatycznego dostępu do usługi przez dostawców usług. Klienci będą musieli udostępniać swoje subskrypcje w trybie offline dostawcom usług, aby dodać je do listy automatycznego zatwierdzania. Automatyczne zatwierdzanie jest podzbiorem tablicy widoczności.
Widoczność kontroluje ustawienia ekspozycji, podczas gdy automatyczne zatwierdzanie kontroluje ustawienia zatwierdzania dla usługi. Jeśli klient zażąda połączenia z subskrypcji na liście automatycznego zatwierdzania, połączenie zostanie automatycznie zatwierdzone i zostanie nawiązane połączenie. Dostawcy usług nie muszą ręcznie zatwierdzać żądania. Jeśli klient zażąda połączenia z subskrypcji w tablicy widoczności, a nie w tablicy automatycznego zatwierdzania, żądanie dotrze do dostawcy usług. Dostawca usług musi ręcznie zatwierdzić połączenia.
Uzyskiwanie informacji o połączeniu przy użyciu serwera proxy TCP w wersji 2
W usłudze łącza prywatnego źródłowy adres IP pakietów pochodzących z prywatnego punktu końcowego to adres sieciowy przetłumaczony (NAT) po stronie dostawcy usług przy użyciu adresu IP translatora adresów sieciowych przydzielonego z sieci wirtualnej dostawcy. Aplikacje otrzymują przydzielony adres IP translatora adresów sieciowych zamiast rzeczywistego źródłowego adresu IP odbiorców usługi. Jeśli aplikacja potrzebuje rzeczywistego źródłowego adresu IP po stronie konsumenta, możesz włączyć protokół proxy w usłudze i pobrać informacje z nagłówka protokołu proxy. Oprócz źródłowego adresu IP nagłówek protokołu proxy zawiera również identyfikator LinkID prywatnego punktu końcowego. Kombinacja źródłowego adresu IP i identyfikatora LinkID może pomóc dostawcom usług jednoznacznie identyfikować swoich klientów.
Aby uzyskać więcej informacji na temat protokołu proxy, odwiedź tutaj.
Te informacje są kodowane przy użyciu niestandardowego wektora typu-length-value (TLV) w następujący sposób:
Niestandardowe szczegóły TLV:
Pole | Długość (oktety) | opis |
---|---|---|
Type | 1 | PP2_TYPE_AZURE (0xEE) |
Długość | 2 | Długość wartości |
Wartość | 1 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
100 | UINT32 (4 bajty) reprezentujące LINKID prywatnego punktu końcowego. Zakodowane w małym formacie endian. |
Uwaga
Dostawca usług jest odpowiedzialny za upewnienie się, że usługa za standardowym modułem równoważenia obciążenia jest skonfigurowana do analizowania nagłówka protokołu proxy zgodnie ze specyfikacją, gdy protokół proxy jest włączony w usłudze łącza prywatnego. Żądanie zakończy się niepowodzeniem, jeśli ustawienie protokołu proxy jest włączone w usłudze łącza prywatnego, ale usługa dostawcy usług nie jest skonfigurowana do analizowania nagłówka. Żądanie zakończy się niepowodzeniem, jeśli usługa dostawcy usług oczekuje nagłówka protokoły proxy, a ustawienie nie jest włączone w usłudze łącza prywatnego. Po włączeniu ustawienia protokołu proxy nagłówek protokołu proxy zostanie również uwzględniony w sondach kondycji HTTP/TCP z hosta do maszyn wirtualnych zaplecza. Informacje o kliencie nie są zawarte w nagłówku.
Dopasowanie LINKID
będące częścią protokołu PROXYv2 (TLV) można znaleźć we PrivateEndpointConnection
właściwości linkIdentifier
.
Aby uzyskać więcej informacji, zobacz Interfejs API usług Private Link.
Ograniczenia
Poniżej przedstawiono znane ograniczenia dotyczące korzystania z usługi Private Link:
Obsługiwane tylko w usługa Load Balancer w warstwie Standardowa. Nieobsługiwane w usłudze Load Balancer w warstwie Podstawowa.
Obsługiwane tylko w przypadku usługa Load Balancer w warstwie Standardowa, w których pula zaplecza jest skonfigurowana przez kartę sieciową. Nieobsługiwane w usługa Load Balancer w warstwie Standardowa, w których pula zaplecza jest konfigurowana przez adres IP.
Obsługuje tylko ruch IPv4
Obsługuje tylko ruch TCP i UDP
Usługa Private Link ma limit czasu bezczynności o wartości ok. 5 minut (300 sekund). Aby uniknąć osiągnięcia tego limitu, aplikacje łączące się za pośrednictwem usługi Private Link muszą używać protokołów TCP Keepalives niższe niż w tym czasie.
Aby reguła NAT dla ruchu przychodzącego z typem ustawionym na pulę zaplecza działała z usługą Azure Private Link, należy skonfigurować regułę równoważenia obciążenia.