Perguntas mais frequentes (FAQ) sobre o Azure Private Link

  • Azure Private Endpoint: Azure Private Endpoint é uma interface de rede que o liga de forma privada e segura a um serviço alimentado por Azure Private Link. Pode utilizar o Private Endpoints para ligar a um serviço Azure PaaS que suporta Private Link ou ao seu próprio Serviço de Private Link.
  • Azure Private Link Serviço: Azure Private Link serviço é um serviço criado por um prestador de serviços. Atualmente, um serviço de Private Link pode ser anexado à configuração IP frontal de uma Balanceador de Carga Standard.

O tráfego é enviado em privado usando a espinha dorsal da Microsoft. Não atravessa a internet. Azure Private Link não armazena os dados dos clientes.

Qual é a diferença entre pontos finais de serviço e pontos finais privados?

  • Os Pontos Finais Privados concedem acesso à rede a recursos específicos por detrás de um determinado serviço que presta segmentação granular. O tráfego pode chegar ao recurso de serviço a partir das instalações sem utilizar pontos finais públicos.
  • Um Endpoint de serviço continua a ser um endereço IP publicamente rotaível. Um Ponto Final Privado é um IP privado no espaço de endereço da rede virtual onde o ponto final privado está configurado.

Vários tipos de recursos de ligação privada suportam o acesso através de Pontos Finais Privados. Os recursos incluem os serviços Azure PaaS e o seu próprio Serviço de Private Link. É uma relação de um para muitos.

Um serviço Private Link recebe ligações de vários Pontos Finais Privados. Um ponto final privado liga-se a um serviço de Private Link.

Sim. Tanto o Private Endpoint como o Private Link Service precisam de desativar as políticas de rede para funcionar corretamente. Ambos têm propriedades independentes umas das outras.

Ponto Final Privado

Posso criar vários Pontos Finais Privados no mesmo VNet? Podem ligar-se a serviços diferentes?

Sim. Pode ter vários Pontos Finais Privados na mesma VNet ou sub-rede. Podem ligar-se a diferentes serviços.

Preciso de uma sub-rede dedicada para private endpoints?

N.º Não precisa de uma sub-rede dedicada para private endpoints. Pode escolher um IP de Ponto Final Privado a partir de qualquer sub-rede do VNet onde o seu serviço é implantado.

Sim. Os pontos finais privados podem ligar-se a serviços de Private Link ou a um Azure PaaS através dos inquilinos do Azure Ative Directory. Os pontos finais privados que se conectam entre inquilinos requerem uma aprovação manual do pedido.

O Private Endpoint pode ligar-se aos recursos do Azure PaaS em todas as regiões de Azure?

Sim. Os pontos finais privados podem ligar-se aos recursos do Azure PaaS em todas as regiões de Azure.

Posso modificar o meu Cartão de Interface de Rede De Ponto Final Privado (NIC)?

Quando um ponto final privado é criado, um NIC apenas de leitura é atribuído. Isto não pode ser modificado e permanecerá para o ciclo de vida do ponto final privado.

Como devo proceder para obter disponibilidade enquanto utiliza os Pontos Finais Privados em caso de falhas regionais?

Os pontos finais privados são recursos altamente disponíveis com um SLA como SLA para Azure Private Link. No entanto, uma vez que são recursos regionais, qualquer paralisação da região de Azure pode ter impacto na disponibilidade. Para conseguir a disponibilidade em caso de falhas regionais, várias EE ligadas ao mesmo recurso de destino poderiam ser implantadas em diferentes regiões. Desta forma, se uma região se descaír, ainda pode encaminhar o tráfego para os seus cenários de recuperação através de PE em diferentes regiões para aceder ao recurso de destino. Para obter informações sobre como as falhas regionais são tratadas no lado do serviço de destino, por favor reveja a documentação do serviço sobre failover e recuperação. Private Link tráfego segue a resolução do Azure DNS para o ponto final de destino.

Como devo proceder para obter disponibilidade enquanto utiliza pontos finais privados em caso de falhas na Zona de Disponibilidade?

Os pontos finais privados são recursos altamente disponíveis com um SLA como SLA para Azure Private Link. Os pontos finais privados são zona agnóstica: uma falha na zona de disponibilidade na região do Ponto Privado não terá impacto na disponibilidade do Ponto Final Privado.

Os pontos finais privados suportam o tráfego do ICMP?

O tráfego de TCP e UDP só é suportado para um ponto final privado. Para mais informações, consulte Private Link limitações.

Serviço de Ligação Privada

Os seus apoios de serviço devem estar num Rede Virtual e atrás de um Balanceador de Carga Standard.

Pode escalar o seu Serviço de Private Link de várias maneiras:

  • Adicione VMs de backend à piscina atrás do seu Balanceador de Carga Standard
  • Adicione um IP ao Serviço Private Link. Permitimos até 8 IPs por Private Link Serviço.
  • Adicione novo Serviço de Private Link à Balanceador de Carga Standard. Permitimos até oito serviços Private Link por Balanceador de Carga Standard.
  • A configuração NAT IP garante que não existe um conflito IP entre o espaço de endereço de origem (lado do consumidor) e o destino (prestador de serviços), fornecendo a origem NAT no Private Link tráfego no lado do destino (lado do prestador de serviços). O endereço NAT IP aparecerá como Source IP para todos os pacotes recebidos pelo seu serviço e destino IP para todos os pacotes enviados pelo seu serviço. O NAT IP pode ser escolhido a partir de qualquer sub-rede no Rede Virtual de um prestador de serviços.
  • Cada NAT IP fornece ligações TCP de 64k (portas de 64k) por VM atrás do Balanceador de Carga Standard. Para escalar e adicionar mais ligações, pode adicionar novos IPs NAT ou adicionar mais VMs por trás do Balanceador de Carga Standard. Ao fazê-lo, irá escalar a disponibilidade da porta e permitir mais ligações. As ligações serão distribuídas por IPs e VMs nat por detrás do Balanceador de Carga Standard.

Posso ligar o meu serviço a vários pontos privados?

Sim. Um serviço Private Link pode receber ligações de vários pontos finais privados. No entanto, um Ponto Final Privado só pode ligar-se a um Serviço Private Link.

Pode controlar a exposição utilizando a configuração de visibilidade no serviço Private Link. A visibilidade suporta três configurações:

  • Nenhuma - Apenas as subscrições com acesso Azure RBAC podem localizar o serviço.
  • Restritivo - Apenas as subscrições aprovadas e com acesso Azure RBAC podem localizar o serviço.
  • Todos podem localizar o serviço.

N.º Private Link Serviço sobre uma Balanceador de Carga Básica não é suportado.

N.º Private Link Serviços não requerem uma sub-rede dedicada. Pode escolher qualquer sub-rede no seu VNet onde o seu serviço está implantado.

N.º Azure Private Link fornece esta funcionalidade para si. Não é obrigado a ter espaço de endereço não sobreposto com o espaço de endereço do seu cliente.

Passos seguintes