Jak działa usługa Azure Private Link

  • 10 min

Znasz podstawowe funkcje i zalety usługi Private Link. Teraz zbadajmy, jak działa usługa Private Link. W szczególności rozważmy, jak działa z prywatnym punktem końcowym i usługą Private Link, aby oferować prywatny dostęp do usług platformy Azure. Te informacje pomagają ocenić, czy usługa Private Link jest właściwym rozwiązaniem dla Twojej firmy.

Usługa Private Link zapewnia prywatny dostęp do usług platformy Azure. W tym miejscu "prywatne" oznacza, że połączenie korzysta z sieci szkieletowej platformy Microsoft Azure zamiast Internetu. Aby zmienić ten przełącznik, usługa Private Link zmienia metodę łączności dla zasobu platformy Azure z publicznego punktu końcowego na prywatny punkt końcowy.

Teraz nie uzyskujesz dostępu do zasobu platformy Azure przy użyciu publicznego adresu IP. Zamiast tego należy użyć prywatnego adresu IP przypisywanego przez platformę Azure do zasobu z przestrzeni adresowej podsieci.

Klucz na wynos? Zasób platformy Azure jest teraz częścią sieci wirtualnej. Klienci w sieci mogą uzyskiwać dostęp do tego zasobu usługi Private Link tak samo jak każdy inny zasób sieciowy.

Aby zapewnić jeszcze większe bezpieczeństwo, połączenie z zasobem korzysta teraz z sieci szkieletowej platformy Microsoft Azure. Oznacza to, że cały ruch do i z zasobu całkowicie pomija publiczny Internet.

Publiczny punkt końcowy zasobu nadal istnieje, mimo że nie jest używany. Obecność publicznego punktu końcowego, nawet nieużywanego, jest nadal zagrożeniem bezpieczeństwa. Na szczęście można wyłączyć publiczny punkt końcowy zasobu platformy Azure, który pomija ten potencjalny problem z zabezpieczeniami.

Jak działa prywatny punkt końcowy platformy Azure

Jak przenieść interfejs zasobu z publicznego na prywatny? Dodaj prywatny punkt końcowy platformy Azure do konfiguracji sieci. Prywatny punkt końcowy to interfejs sieciowy, który tworzy połączenie prywatne między siecią wirtualną a określonym zasobem platformy Azure.

Prywatny punkt końcowy pobiera nieużywany prywatny adres IP z przestrzeni adresowej określonej podsieci w sieci wirtualnej. Załóżmy na przykład, że masz podsieć używającą przestrzeni adresowej 10.1.0.0/24. Maszyny wirtualne w tej podsieci używają adresów IP, takich jak 10.1.0.20 lub 10.1.0.155.

Prywatny punkt końcowy pobiera adres IP z tej samej przestrzeni adresowej, na przykład 10.1.0.32. Prywatny punkt końcowy następnie mapuje ten adres na określoną usługę platformy Azure. Efektywne korzystanie z prywatnego adresu IP powoduje przejście usługi do sieci wirtualnej.

Uwaga

Klienci łączący się z zasobem usługi Private Link nie muszą używać przypisanego adresu IP prywatnego punktu końcowego w parametry połączenia. Zamiast tego, jeśli skonfigurujesz prywatny punkt końcowy do integracji z prywatną strefą DNS, platforma Azure automatycznie przypisze nazwę FQDN do punktu końcowego. Jeśli na przykład zasób usługi Private Link jest tabelą usługi Azure Storage, nazwa FQDN będzie podobna do mystorageaccount1234.table.core.windows.net.

Poniżej przedstawiono kilka kluczowych kwestii, które należy wziąć pod uwagę podczas oceniania prywatnego punktu końcowego:

  • Prywatny punkt końcowy oferuje prywatną łączność między maszynami wirtualnymi i innymi klientami w sieci wirtualnej platformy Azure i usługach platformy Azure opartych na usłudze Private Link.
  • Prywatny punkt końcowy oferuje prywatną łączność między regionalnie równorzędną sieciami wirtualnymi i usługami platformy Azure opartymi na usłudze Private Link.
  • Prywatny punkt końcowy oferuje prywatną łączność między globalnie równorzędną sieciami wirtualnymi i usługami platformy Azure opartymi na usłudze Private Link.
  • Prywatny punkt końcowy oferuje prywatną łączność między siecią lokalną — połączoną za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute lub sieci VPN — a usługami platformy Azure opartymi na usłudze Private Link.
  • Można wdrożyć maksymalnie 1000 prywatnych interfejsów punktu końcowego na sieć wirtualną.
  • Możesz wdrożyć maksymalnie 64 000 prywatnych interfejsów punktu końcowego na subskrypcję platformy Azure.
  • Można mapować maksymalnie 1000 prywatnych interfejsów punktu końcowego na ten sam zasób usługi Private Link.

Uwaga

Chociaż istnieje możliwość mapowania wielu interfejsów prywatnego punktu końcowego na jeden zasób, nie jest to zalecane, ponieważ może to prowadzić do konfliktów DNS i innych problemów. Najlepszym rozwiązaniem jest mapowanie tylko pojedynczego prywatnego punktu końcowego na pojedynczy zasób usługi Private Link.

  • Połączenie są jednym ze sposobów, co oznacza, że tylko klienci mogą łączyć się z interfejsem prywatnego punktu końcowego. Jeśli usługa platformy Azure jest mapowana na interfejs prywatnego punktu końcowego, dostawca tej usługi nie może połączyć się (a nawet postrzegać) interfejsu prywatnego punktu końcowego.
  • Wdrożony interfejs prywatnego punktu końcowego jest tylko do odczytu, co oznacza, że nikt nie może go modyfikować. Na przykład nikt nie może mapować interfejsu na inny zasób ani nie może zmienić adresu IP interfejsu.
  • Mimo że należy wdrożyć prywatny punkt końcowy w tym samym regionie co sieć wirtualna, zasób usługi Private Link może znajdować się w innym regionie.

Uwaga

Jaka jest różnica między punktem końcowym usługi a prywatnym punktem końcowym? Punkt końcowy usługi konfiguruje zasób platformy Azure tak, aby zezwalał na połączenia tylko z określonej sieci wirtualnej. Jednak to połączenie jest nadal wykonywane za pośrednictwem publicznego punktu końcowego zasobu, więc niektóre zagrożenia bezpieczeństwa pozostają. Prywatny punkt końcowy usuwa te zagrożenia, obsługując wyłączenie publicznego punktu końcowego zasobu.

Usługa Azure Private Link oferuje korzyści wynikające z usługi Private Link do niestandardowych usług platformy Azure. Jedynym wymaganiem jest uruchomienie usługi niestandardowej za platformą Azure usługa Load Balancer w warstwie Standardowa. Następnie możesz utworzyć zasób usługi Private Link i dołączyć go do modułu równoważenia obciążenia.

Uwaga

Platforma Azure oferuje dwie wersje modułu równoważenia obciążenia: podstawową i standardową. Usługa Load Balancer w warstwie Podstawowa nie obsługuje usługi Private Link, dlatego upewnij się, że używasz usługa Load Balancer w warstwie Standardowa.

Po utworzeniu zasobu usługi Private Link platforma Azure wystawia alias zasobu, który jest globalnie unikatowym ciągiem tylko do odczytu z prefiksem składni.identyfikator guid.sufiks:

  • prefiks. Nazwa podana dla usługi niestandardowej.
  • identyfikator guid. Globalnie unikatowy identyfikator generowany automatycznie przez platformę Azure.
  • sufiks. Region tekstowy region.azure.privatelinkservice; region to region, w którym wdrożono usługę Private Link.

Alias usługi Private Link jest udostępniany użytkownikom usługi niestandardowej. Następnie każdy odbiorca konfiguruje prywatny punkt końcowy we własnej sieci wirtualnej platformy Azure. Następnie użytkownik mapuje punkt końcowy na alias usługi Private Link.

Poniżej przedstawiono kilka kluczowych kwestii, które należy wziąć pod uwagę podczas oceniania usługi Private Link:

  • Dostęp do usługi Private Link można uzyskać za pośrednictwem prywatnego punktu końcowego w dowolnym regionie publicznym.
  • Usługa Private Link musi być wdrożona w tym samym regionie co standardowy moduł równoważenia obciążenia i sieć wirtualna, która hostuje niestandardową usługę platformy Azure.
  • Możesz wdrożyć maksymalnie 800 zasobów usługi Private Link na subskrypcję platformy Azure.
  • Maksymalnie 1000 interfejsów prywatnego punktu końcowego można mapować na pojedynczy zasób usługi Private Link.
  • Możesz wdrożyć wiele zasobów usługi Private Link w tym samym standardowym module równoważenia obciążenia przy użyciu różnych konfiguracji adresów IP frontonu.

Zebranie wszystkich elementów

Czy twoim celem jest uzyskanie dostępu do zasobu platformy Azure bez korzystania z publicznego Internetu? Czy chcesz zaoferować niestandardowy zasób platformy Azure prywatnie? Jeśli udzielono odpowiedzi na jedno lub oba pytania, usługa Private Link, prywatny punkt końcowy i usługa Private Link zostaną wykonane w następujący sposób:

  • Aby prywatnie uzyskać dostęp do usługi Azure PaaS lub usługi platformy Azure od partnera firmy Microsoft, utwórz prywatny punkt końcowy w podsieci sieci wirtualnej platformy Azure. Ten prywatny punkt końcowy używa usługi Private Link do uzyskiwania dostępu do usługi platformy Azure przy użyciu prywatnego adresu IP za pośrednictwem sieci szkieletowej platformy Microsoft Azure. Równorzędne sieci wirtualne i sieci lokalne korzystające z prywatnej komunikacji równorzędnej usługi ExpressRoute lub tunel VPN mogą również uzyskiwać dostęp do usługi platformy Azure za pośrednictwem prywatnego punktu końcowego.
  • Aby zapewnić prywatny dostęp do niestandardowej usługi platformy Azure, umieść usługę za standardowym modułem równoważenia obciążenia, utwórz zasób usługi Private Link i dołącz go do konfiguracji adresu IP frontonu modułu równoważenia obciążenia.

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing Azures services via a private IP address mapped by Private Endpoint.