Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Private Link to odwołanie do własnej usługi obsługiwanej przez usługę Azure Private Link. Usługa, która działa za usługą Azure Standard Load Balancer, może zostać włączona do dostępu przez łącze prywatne, aby użytkownicy tej usługi mogli uzyskiwać do niej prywatny dostęp z własnych sieci wirtualnych. Klienci mogą utworzyć prywatny punkt końcowy w sieci wirtualnej i zamapować go na tę usługę. W tym artykule opisano pojęcia związane ze stroną dostawcy usług.
Rysunek: Usługa Azure Private Link.
Przepływ pracy
Rysunek: Przepływ pracy usługi Azure Private Link.
Tworzenie usługi Private Link
Skonfiguruj aplikację, aby działała za standardowym równoważnikiem obciążenia w sieci wirtualnej. Jeśli masz już aplikację skonfigurowaną za standardowym modułem równoważenia obciążenia, możesz pominąć ten krok.
Utwórz usługę Private Link odwołującą się do modułu równoważenia obciążenia powyżej. W procesie wyboru modułu równoważenia obciążenia wybierz konfigurację adresu IP frontend, w której chcesz odbierać ruch. Wybierz podsieć dla adresów IP NAT dla usługi Private Link. Zaleca się posiadanie co najmniej ośmiu adresów IP NAT dostępnych w podsieci. Cały ruch konsumentów będzie wyglądał, jakby pochodził z tej puli prywatnych adresów IP do dostawcy usług. Wybierz odpowiednie właściwości/ustawienia dla usługi Private Link.
Uwaga
Usługa Azure Private Link Service jest obsługiwana tylko przez Standard Load Balancer.
Udostępnianie usługi
Po utworzeniu usługi Private Link platforma Azure wygeneruje globalnie unikatową nazwę o nazwie alias na podstawie podanej nazwy usługi. Możesz udostępnić alias lub identyfikator URI zasobu usługi klientom w trybie offline. Użytkownicy mogą uruchomić połączenie usługi Private Link przy użyciu aliasu lub identyfikatora URI zasobu.
Zarządzanie żądaniami połączenia
Gdy użytkownik zainicjuje połączenie, dostawca usług może zaakceptować lub odrzucić żądanie połączenia. Wszystkie żądania połączenia zostaną wyświetlone pod właściwością "privateendpointconnections" w usłudze Private Link.
Usuń swoją usługę
Jeśli usługa Private Link nie jest już używana, możesz ją usunąć. Jednak przed usunięciem usługi upewnij się, że z usługą nie są skojarzone żadne połączenia prywatnego punktu końcowego. Możesz odrzucić wszystkie połączenia i usunąć usługę.
Właściwości
Usługa Private Link określa następujące właściwości:
| Własność | Wyjaśnienie |
|---|---|
| Stan wdrażania (provisioningState) | Właściwość tylko do odczytu zawierająca bieżący stan aprowizacji dla usługi Private Link. Odpowiednie stany aprowizacji to: Usuwanie, Niepowodzenie, Powodzenie,*Aktualizowanie. Gdy stan aprowizacji to Powodzenie, usługa Private Link została pomyślnie aprowizowana. |
| Alias (alias) | Alias jest globalnie unikatowym ciągiem tylko do odczytu przeznaczonym dla Twojej usługi. Pomaga ona maskować dane klienta dla usługi i jednocześnie tworzy łatwą w użyciu nazwę usługi. Podczas tworzenia usługi Private Link platforma Azure generuje alias dla usługi, którą można udostępniać swoim klientom. Twoi klienci mogą używać tego aliasu do żądania połączenia z usługą. |
| Widoczność | Widoczność to właściwość, która kontroluje ustawienia ekspozycji dla usługi Private Link. Dostawcy usług mogą ograniczyć dostęp do swojej usługi subskrypcjami z uprawnieniami kontroli dostępu opartymi na rolach platformy Azure. Ograniczony zestaw subskrypcji może również służyć do ograniczania ekspozycji. |
| Automatyczne zatwierdzanie (autoApproval) | Automatyczne zatwierdzanie steruje automatycznym dostępem do usługi Private Link. Subskrypcje określone na liście automatycznego zatwierdzania są zatwierdzane automatycznie po żądaniu połączenia z prywatnych punktów końcowych w tych subskrypcjach. |
| Konfiguracja adresu IP frontonu modułu równoważenia obciążenia (loadBalancerFrontendIpConfigurations) | Usługa Private Link jest powiązana z adresem IP frontonu Standardowego Load Balancer. Cały ruch skierowany do usługi dotrze do frontendu SLB. Reguły SLB można skonfigurować tak, aby kierować ten ruch do odpowiednich pul zaplecza, w których działają aplikacje. Konfiguracje adresów IP frontendu modułu równoważenia obciążenia różnią się od konfiguracji adresów IP NAT. |
| Konfiguracja adresów IP NAT (ipConfigurations) | Ta właściwość odnosi się do konfiguracji adresów IP NAT dla usługi Private Link. Adres NAT można wybrać z dowolnej podsieci w sieci wirtualnej dostawcy usług. Usługa Private Link przeprowadza translację adresów sieciowych po stronie docelowej na ruchu usługi Private Link. Ten NAT zapewnia brak konfliktu adresów IP między przestrzenią adresową źródła (po stronie konsumenta) a przestrzenią docelową (po stronie dostawcy usług). Po stronie docelowej lub dostawcy usług, adres IP NAT jest wyświetlany jako źródłowy adres IP dla wszystkich pakietów odebranych przez Twoją usługę. Docelowy adres IP jest wyświetlany dla wszystkich pakietów wysyłanych przez usługę. |
| Połączenia prywatnego punktu końcowego (privateEndpointConnections) | Ta właściwość zawiera listę prywatnych punktów końcowych łączących się z usługą Private Link. Wiele prywatnych punktów końcowych może łączyć się z tą samą usługą Private Link, a dostawca usług może kontrolować stan poszczególnych prywatnych punktów końcowych. |
| Tcp Proxy V2 (EnableProxyProtocol) | Ta właściwość umożliwia dostawcy usług pobieranie informacji o połączeniu użytkownika usługi przy użyciu serwera proxy tcp w wersji 2. Dostawca usług jest odpowiedzialny za skonfigurowanie konfiguracji odbiornika, aby móc analizować nagłówek protokołu proxy w wersji 2. |
Szczegóły
Dostęp do usługi Private Link można uzyskać z zatwierdzonych prywatnych punktów końcowych w dowolnym regionie publicznym. Do prywatnego punktu końcowego można uzyskać dostęp z tej samej sieci wirtualnej oraz regionalnie połączonych sieci wirtualnych. Prywatny punkt końcowy można uzyskać z globalnie równorzędnych sieci wirtualnych i lokalnych przy użyciu prywatnej sieci VPN lub połączeń usługi ExpressRoute.
Po utworzeniu usługi Private Link interfejs sieciowy jest tworzony na potrzeby cyklu życia zasobu. Ten interfejs nie jest zarządzany przez klienta.
Usługa Private Link musi być wdrożona w tym samym regionie co sieć wirtualna i Standardowy Load Balancer.
Dostęp do jednej usługi Private Link można uzyskać z wielu prywatnych punktów końcowych należących do różnych sieci wirtualnych, subskrypcji i/lub dzierżaw firmy Microsoft Entra. Połączenie jest ustanawiane za pośrednictwem procedury połączenia.
Wiele usług Private Link można utworzyć na tym samym Load Balancerze w warstwie Standard przy użyciu różnych konfiguracji adresów IP frontowych. Istnieją limity liczby usług Private Link, które można utworzyć na jeden Standardowy Load Balancerze oraz na subskrypcję. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).
Usługa Private Link może mieć więcej niż jedną konfigurację IP NAT powiązaną z nią. Wybranie więcej niż jednej konfiguracji NAT IP może pomóc dostawcom usług w skalowaniu. Obecnie dostawcy usług mogą przypisać do ośmiu adresów IP NAT na Private Link. Przy użyciu każdego adresu IP NAT, można przypisać więcej portów dla połączeń TCP, co pozwala na skalowanie w poziomie. Do usługi Private Link można dodać wiele adresów IP NAT, ale po skonfigurowaniu należy zachować co najmniej jeden adres IP NAT. Nie będzie można usunąć ostatniego pozostałego adresu IP translatora adresów sieciowych, aby upewnić się, że aktywne połączenia nie są zagrożone z powodu niedostępności adresów IP NAT.
Pseudonim
Alias to globalnie unikatowa nazwa twojej usługi. Pomaga ona maskować dane klienta dla usługi i jednocześnie tworzy łatwą w użyciu nazwę usługi. Podczas tworzenia usługi Private Link platforma Azure generuje alias dla usługi, którą można udostępniać swoim klientom. Twoi klienci mogą używać tego aliasu do żądania połączenia z usługą.
Alias składa się z trzech części: Prefiks.GUID.Przyrostek
Prefiks to nazwa usługi. Możesz wybrać własny prefiks. Po utworzeniu aliasu nie można go zmienić, dlatego odpowiednio wybierz prefiks.
Identyfikator GUID będzie dostarczany przez platformę. Ten identyfikator GUID sprawia, że nazwa jest globalnie unikatowa.
Sufiks jest dołączany przez platformę Azure: region.azure.privatelinkservice
Ukończ alias: prefiks. {GUID}.region.azure.privatelinkservice
Kontrola ekspozycji usługi
Usługa Private Link udostępnia trzy opcje w ustawieniu Widoczność , aby kontrolować ekspozycję usługi. Ustawienie widoczności określa, czy użytkownik może nawiązać połączenie z usługą. Poniżej przedstawiono opcje ustawień widoczności, od najbardziej restrykcyjnych do najmniej restrykcyjnych:
Kontrola dostępu oparta tylko na rolach: Jeśli Twoja usługa jest przeznaczona do użytku prywatnego z różnych sieci wirtualnych, które posiadasz, użyj kontroli dostępu opartej na rolach wewnątrz subskrypcji skojarzonych z tym samym dzierżawcą Microsoft Entra. Widoczność między dzierżawami jest dozwolona dzięki kontroli dostępu opartej na rolach.
Ograniczone według subskrypcji: Jeśli twoja usługa będzie wykorzystywana w różnych dzierżawach, możesz ograniczyć dostęp do ograniczonego zestawu zaufanych subskrypcji. Autoryzacje można wstępnie zatwierdzić.
Każda osoba mająca alias: jeśli chcesz upublicznić usługę i zezwolić wszystkim użytkownikom z aliasem usługi Private Link na żądanie połączenia, wybierz tę opcję.
Kontrola dostępu do usługi
Użytkownicy, którzy mają ekspozycję kontrolowaną przez ustawienie widoczności usługi Private Link, mogą utworzyć prywatny punkt końcowy w swoich sieciach wirtualnych i zażądać połączenia z usługą Private Link. Połączenie prywatnego punktu końcowego zostanie utworzone w stanie Oczekiwanie na obiekcie usługi Łącza Prywatnego. Dostawca usług jest odpowiedzialny za działanie na żądanie połączenia. Możesz zatwierdzić połączenie, odrzucić połączenie lub usunąć połączenie. Tylko zatwierdzone połączenia mogą wysyłać ruch do usługi Private Link.
Akcję zatwierdzania połączeń można zautomatyzować przy użyciu właściwości automatycznego zatwierdzania w usłudze Private Link. Automatyczne zatwierdzanie to możliwość wstępnego zatwierdzania zestawu subskrypcji na potrzeby automatycznego dostępu do usługi przez dostawców usług. Klienci będą musieli udostępniać swoje subskrypcje w trybie offline dostawcom usług, aby dodać je do listy automatycznego zatwierdzania. Automatyczne zatwierdzanie jest podzbiorem tablicy widoczności.
Widoczność kontroluje ustawienia ekspozycji, podczas gdy automatyczne zatwierdzanie kontroluje ustawienia zatwierdzania dla usługi. Jeśli klient zażąda połączenia z subskrypcji znajdującej się na liście automatycznego zatwierdzania, połączenie zostanie automatycznie zatwierdzone i nawiązane. Dostawcy usług nie muszą ręcznie zatwierdzać żądania. Jeśli klient zażąda połączenia z subskrypcji w tablicy widoczności, a nie w tablicy automatycznego zatwierdzania, żądanie dotrze do dostawcy usług. Dostawca usług musi ręcznie zatwierdzić połączenia.
Uzyskiwanie informacji o połączeniu przy użyciu serwera proxy TCP w wersji 2
Uwaga
Konfiguracja TCP Proxy v2 w usłudze Private Link jest aktywowana dla wszystkich load balancerów i ich maszyn wirtualnych backendu. Jeśli serwer proxy TCP w wersji 2 jest skonfigurowany na jednym zasobie PLS, skonfiguruj go również na innych zasobach PLS korzystających z tego samego modułu równoważenia obciążenia lub puli zaplecza, w przeciwnym razie sondy kondycji się nie powiodą.
W usłudze łącza prywatnego, źródłowy adres IP pakietów pochodzących z prywatnego punktu końcowego jest tłumaczony na adres IP (NAT) po stronie dostawcy usług przy użyciu adresu IP NAT przydzielonego z wirtualnej sieci dostawcy. Aplikacje otrzymują przydzielony adres IP NAT zamiast rzeczywistego adresu IP źródła konsumentów usługi. Jeśli aplikacja potrzebuje rzeczywistego źródłowego adresu IP po stronie konsumenta, możesz włączyć protokół proxy w usłudze i pobrać informacje z nagłówka protokołu proxy. Oprócz źródłowego adresu IP nagłówek protokołu proxy zawiera również identyfikator LinkID prywatnego punktu końcowego. Kombinacja źródłowego adresu IP i identyfikatora LinkID może pomóc dostawcom usług jednoznacznie identyfikować swoich klientów.
Aby uzyskać więcej informacji na temat protokołu proxy, odwiedź tutaj.
Ta informacja jest kodowana przy użyciu specjalnego wektora typu-długość-wartość (TLV) w następujący sposób:
Niestandardowe szczegóły TLV:
| Pole | Długość (oktety) | opis |
|---|---|---|
| Typ | 1 | PP2_TYPE_AZURE (0xEE) |
| Długość | 2 | Długość wartości |
| Wartość | 1 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
| 4 | UINT32 (4 bajty) reprezentujące LINKID prywatnego punktu końcowego. Zakodowane w małym formacie endian. |
Uwaga
Dostawca usług jest odpowiedzialny za upewnienie się, że usługa za standardowym modułem równoważenia obciążenia jest skonfigurowana do analizowania nagłówka protokołu proxy zgodnie ze specyfikacją, gdy protokół proxy jest włączony w usłudze łącza prywatnego. Żądanie zakończy się niepowodzeniem, jeśli ustawienie protokołu proxy jest włączone w usłudze łącza prywatnego, ale usługa dostawcy usług nie jest skonfigurowana do analizowania nagłówka. Żądanie zakończy się niepowodzeniem, jeśli usługa dostawcy usług oczekuje nagłówka protokołu proxy, podczas gdy opcja nie jest włączona w usłudze łącza prywatnego. Po włączeniu ustawienia protokołu proxy, jego nagłówek zostanie również uwzględniony w zapytaniach o stan HTTP/TCP z serwera do maszyn wirtualnych zaplecza. Informacje o kliencie nie są zawarte w nagłówku.
Dopasowanie LINKID, będące częścią protokołu PROXYv2 (TLV), można znaleźć jako właściwość linkIdentifier we PrivateEndpointConnection.
Aby uzyskać więcej informacji, zobacz Interfejs API usług Private Link.
Ograniczenia
Poniżej przedstawiono znane ograniczenia dotyczące korzystania z usługi Private Link:
Obsługiwane tylko w usłudze Standardowego Load Balancera. Nieobsługiwane przez Podstawowy Load Balancer.
Obsługiwane tylko w przypadku usługi Load Balancer, znajdującej się w standardowej warstwie, gdzie pula zaplecza jest skonfigurowana przez NIC. Nieobsługiwane na Standardowym Load Balancer, gdzie pula zaplecza jest konfigurowana za pomocą adresu IP.
Obsługuje tylko ruch IPv4
Obsługuje tylko ruch TCP i UDP
Usługa Private Link ma limit czasu bezczynności o wartości ok. 5 minut (300 sekund). Aby uniknąć osiągnięcia tego limitu, aplikacje łączące się za pośrednictwem usługi Private Link Service muszą używać protokołów TCP Keepalives o niższej wartości niż ten limit.
Aby reguła NAT dla ruchu przychodzącego z typem ustawionym na backend pool działała z usługą Azure Private Link Service, konieczne jest skonfigurowanie reguły równoważenia obciążenia.
Konfiguracja TCP Proxy v2 w usłudze Private Link jest aktywowana dla wszystkich usług równoważenia obciążenia i ich maszyn wirtualnych zaplecza. Jeśli serwer proxy TCP w wersji 2 jest skonfigurowany na jednym serwerze PLS, skonfiguruj go w innych zasobach PLS, jeśli dzielą ten sam równoważnik obciążenia lub pulę backend, w przeciwnym razie sondy kondycji się nie powiodą.