Что собой представляет частная конечная точка?

Частная конечная точка — это сетевой интерфейс, использующий частный IP-адрес из виртуальной сети. Этот сетевой интерфейс надежно подключается к службе через Приватный канал Azure. Частная конечная точка позволяет развернуть службу в виртуальной сети.

Эта служба может быть службой Azure, например:

Свойства частной конечной точки

Частная конечная точка имеет следующие свойства.

Свойство Описание
Имя Уникальное имя в группе ресурсов.
Подсеть Подсеть для развертывания, расположение назначения частного IP-адреса. Требования к подсети см. в разделе Ограничения данной статьи.
Ресурс Приватного канала Ресурс Приватного канала для подключения с помощью идентификатора ресурса или псевдонима из списка доступных типов. Для всего трафика, отправляемого на этот ресурс, создается уникальный идентификатор сети.
Целевой подресурс Подресурс для подключения. Каждый тип ресурса Приватного канала имеет различные параметры в зависимости от предпочтений.
Метод утверждения соединения Автоматический или ручной. В зависимости от разрешений, заданных через управление доступом на основе ролей Azure (RBAC), частная конечная точка может утверждаться автоматически. При подключении к ресурсу приватного канала без разрешений Azure RBAC используйте ручной метод, чтобы владелец ресурса мог утвердить подключение.
Сообщение запроса Можно указать сообщение о том, что запрошенные подключения необходимо утверждать вручную. Это сообщение можно использовать для идентификации конкретного запроса.
Состояние подключения Свойство только для чтения, которое указывает, активна ли частная конечная точка. Для отправки трафика можно использовать только частные конечные точки в состоянии "Утверждено". Дополнительные доступные состояния:
  • Утверждено: подключение утверждено автоматически или вручную и готово к использованию.
  • Ожидание: подключение создается вручную и ожидает утверждения от владельца ресурса Приватного канала.
  • Отклонено: подключение отклонил владелец ресурса Приватного канала.
  • Отключено: подключение удалил владелец ресурса Приватного канала. Частная конечная точка станет информативной и подлежит удалению для очистки.
  • При создании частных конечных точек учитывайте следующие моменты.

    • Частные конечные точки обеспечивают подключение между клиентами.

      • Виртуальная сеть
      • Виртуальные сети с региональным пирингом
      • Виртуальные сети с глобальным пирингом
      • Локальные среды, использующие VPN или Express Route
      • Службы, включенные в Приватный канал
    • Сетевые подключения могут быть инициированы только клиентами, подключающимися к частной конечной точке. У поставщиков услуг нет конфигурации маршрутизации для создания подключений с клиентами служб. Подключения можно устанавливать только в одном направлении.

    • Для жизненного цикла частной конечной точки также автоматически создается сетевой интерфейс только для чтения. Интерфейсу назначаются динамические частные IP-адреса из подсети, которая сопоставляется с ресурсом Приватного канала. Значение частного IP-адреса остается неизменным во время всего жизненного цикла частной конечной точки.

    • Частную конечную точку необходимо развернуть в том же регионе и подписке, где размещена виртуальная сеть.

    • Ресурс Приватного канала можно развернуть в регионе, отличном от региона виртуальной сети и частной конечной точки.

    • Можно создать несколько частных конечных точек с помощью одного и того же ресурса Приватного канала. Для одной сети, использующей общую конфигурацию DNS-сервера, рекомендуется использовать одну частную конечную точку для ресурса Приватного канала, чтобы избежать дублирования записей и конфликтов при разрешении DNS.

    • В одной виртуальной сети можно создать несколько частных конечных точек для одних и тех же или разных подсетей. Количество частных конечных точек, которые можно создать в рамках подписки, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.

    • Подписка, содержащая ресурс приватного канала, должна быть зарегистрирована в поставщике сетевых ресурсов Майкрософт. Подписка, содержащая частную конечную точку, должна быть также зарегистрирована в поставщике сетевых ресурсов Майкрософт. Дополнительные сведения см. в статье, посвященной Azure Resource Manager.

    Ресурс Приватного канала является целевым объектом назначения заданной частной конечной точки. В следующей таблице перечислены доступные ресурсы, которые поддерживают частную конечную точку.

    Имя ресурса Приватного канала Тип ресурса Подресурсы
    конфигурация приложения Azure; Microsoft.Appconfiguration/configurationStores configurationStores
    Служба автоматизации Azure Microsoft.Automation/automationAccounts Веб-перехватчик, DSCAndHybridWorker
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Table
    Пакетная служба Azure Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Кэш Redis для Azure Microsoft.Cache/Redis; redisCache
    Кэш Azure для Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure Cognitive Services Microsoft.CognitiveServices/accounts account
    управляемые диски Azure. Microsoft.Compute/diskAccesses управляемый диск
    Реестр контейнеров Azure Microsoft.ContainerRegistry/registries реестр
    Служба Azure Kubernetes — API Kubernetes Microsoft.ContainerService/managedClusters управление
    Фабрика данных Azure Microsoft.DataFactory/factories; dataFactory
    Azure Data Explorer Microsoft.Kusto/clusters cluster
    База данных Azure для MariaDB Microsoft.DBforMariaDB/servers mariadbServer
    База данных Azure для MySQL Microsoft.DBforMySQL/servers mysqlServer
    База данных Azure для PostgreSQL — отдельный сервер Microsoft.DBforPostgreSQL/servers postgresqlServer
    Служба подготовки устройств Azure Microsoft.Devices/provisioningServices iotDps
    Центр Интернета вещей Azure Microsoft.Devices/IotHubs Центр Интернета вещей
    Azure IoT Central Microsoft.IoTCentral/IoTApps. IoTApps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances API
    Сетка событий Azure Microsoft.EventGrid/domains домен
    Сетка событий Azure Microsoft.EventGrid/topics Раздел
    концентратору событий Azure Microsoft.EventHub/namespaces пространство имен
    Azure HDInsight Microsoft.HDInsight/clusters cluster
    API Azure для FHIR (Ресурсы быстрого взаимодействия в сфере здравоохранения) Microsoft.HealthcareApis/services fhir
    Azure Key Vault HSM (аппаратный модуль безопасности) Microsoft.Keyvault/managedHSMs аппаратный модуль безопасности
    Хранилище ключей Azure; Microsoft.KeyVault/vaults Хранилище
    Машинное обучение Azure Microsoft.MachineLearningServices/workspaces amlworkspace
    Служба "Миграция Azure" Microsoft.Migrate/assessmentProjects project
    Шлюз приложений Microsoft.Network/applicationgateways шлюз приложений
    Служба Приватного канала (ваша собственная служба) Microsoft.Network/privateLinkServices empty
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Microsoft Purview Microsoft.Purview/accounts account
    Microsoft Purview Microsoft.Purview/accounts портал
    Azure Backup Microsoft.RecoveryServices/vaults Хранилище
    Ретранслятор Azure Microsoft.Relay/namespaces пространство имен
    Когнитивный поиск Azure Microsoft.Search/searchServices searchService
    Служебная шина Azure Microsoft.ServiceBus/namespaces пространство имен
    Служба SignalR Azure Microsoft.SignalRService/SignalR signalr
    Служба SignalR Azure Microsoft.SignalRService/webPubSub webpubsub
    База данных SQL Azure Microsoft.Sql/servers SQL Server (sqlServer)
    Хранилище Azure Microsoft.Storage/storageAccounts Большой двоичный объект (большой двоичный объект, вторичный_большой_двоичный_объект)
    Таблица (таблица, вторичная_таблица)
    Очередь (очередь, вторичная_очередь)
    Файл (файл, вторичный_файл)
    Сеть (сеть, вторичная_сеть)
    Файловая система Data Lake (dfs, dfs_secondary)
    Служба синхронизации файлов Azure Microsoft.StorageSync/storageSyncServices Служба синхронизации файлов
    Azure Synapse Microsoft.Synapse/privateLinkHubs web
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Dev
    Служба приложений Azure Microsoft.Web/hostingEnvironments среда размещения
    Служба приложений Azure Microsoft.Web/sites sites
    Служба статических веб-приложений Azure Microsoft.Web/staticSites staticSites
    Службы мультимедиа Azure Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint

    Примечание

    Частные конечные точки можно создавать только в учетной записи хранения общего назначения версии 2 (GPv2).

    Сетевая безопасность частных конечных точек

    При использовании частных конечных точек трафик защищен с помощью ресурса приватного канала. Платформа проверяет сетевые подключения, разрешая только те, которые достигают указанного ресурса приватного канала. Для доступа к другим ресурсам в этой же службе Azure требуются дополнительные частные конечные точки с соответствующими целевыми объектами. В случае со службой хранилища Azure, например, для доступа к подресурсам файлов и BLOB-объектов потребуются отдельные частные конечные точки.

    Частные конечные точки предоставляют частным образом доступный IP-адрес для службы Azure, но не обязательно ограничивают доступ к общедоступной сети. Служба приложений Azure и Функции Azure перестают быть общедоступными, если они связаны с частной конечной точкой. Однако для всех остальных служб Azure требуются дополнительные элементы управления доступом. Эти элементы управления гарантируют дополнительный уровень безопасности сети для ресурсов, обеспечивая защиту, которая помогает предотвратить доступ к службе Azure, связанной с ресурсом приватного канала.

    Частные конечные точки поддерживают политики сети. Политики сети обеспечивают поддержку групп безопасности сети (NSG), определяемых пользователем маршрутов (UDR) и групп безопасности приложений (ASG). Дополнительные сведения о включении политик сети для частной конечной точки см. в статье Управление политиками сети для частных конечных точек. Сведения об использовании ASG с частной конечной точкой см. в статье Настройка группы безопасности приложений (ASG) с частной конечной точкой.

    Подключиться к ресурсу Приватного канала можно с помощью следующих методов утверждения подключения.

    • Утверждать автоматически: используйте этот метод, если вы владеете конкретным ресурсом Приватного канала или имеете разрешение на доступ к нему. Требуемое разрешение основано на типе ресурса Приватного канала в следующем формате.

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Запрос вручную: используйте этот метод, если у вас нет необходимых разрешений и вы хотите запросить доступ. Инициируется рабочий процесс утверждения. Частная конечная точка и последующее подключение к частной конечной точке будут созданы в состоянии Ожидание. Владелец ресурса приватного канала должен утвердить это подключение. После утверждения частной конечной точке разрешается передавать трафик обычным образом, как показано на следующей схеме рабочего процесса утверждения.

    Диаграмма с процессом утверждения рабочего процесса.

    Владелец ресурса Приватного канала может выполнять следующие действия в отношении подключения к частной конечной точке:

    • Просмотр сведений обо всех подключениях к частной конечной точке.
    • Утверждение подключения к частной конечной точке Соответствующая частная конечная точка сможет отправлять трафик в ресурс Приватного канала.
    • Отклонение подключения к частной конечной точке. Соответствующая частная конечная точка будет обновлена, чтобы отражать это состояние.
    • Удаление подключения к частной конечной точке с любым состоянием. Соответствующая частная конечная точка будет обновлена, чтобы отражать состояние отключения. На этом этапе владелец частной конечной точки может удалить только ресурс.

    Примечание

    Только частная конечная точка в состоянии Утверждено может передавать трафик на заданный ресурс Приватного канала.

    Подключение с помощью псевдонима

    Псевдоним — это уникальный моникер, который создается, когда владелец службы создает службу Приватного канала за пределами стандартной подсистемы балансировки нагрузки. Владельцы служб могут совместно использовать этот псевдоним в автономном режиме с потребителями вашей службы.

    Потребители могут запрашивать подключение к службе Приватного канала с помощью URI ресурса или псевдонима. Чтобы подключиться с помощью псевдонима, создайте частную конечную точку с помощью метода подтверждения подключения вручную. Чтобы использовать этот метод, задайте для параметра ручного запроса значение True во время создания частной конечной точки. Дополнительные сведения см. в разделах New-AzPrivateEndpoint и az network private-endpoint create.

    Примечание

    Этот ручной запрос может быть автоматически утвержден, если подписка потребителя находится в списке разрешенных на стороне поставщика. Дополнительные сведения см. в статье, посвященной управлению доступом к службе.

    Настройка DNS

    Параметры DNS, используемые для подключения к ресурсу Приватного канала, имеют важное значение. Возможно, существующие службы Azure уже используют конфигурацию DNS для подключения через общедоступную конечную точку. Для подключения к той же службе, что и частная конечная точка, требуются отдельные параметры DNS, зачастую настраиваемые с помощью частных зон DNS. При использовании полного доменного имени (FQDN) для подключения убедитесь в правильности параметров DNS. Настройки должны обеспечивать разрешение в частный IP-адрес частной конечной точки.

    Сетевой интерфейс, связанный с частной конечной точкой, содержит сведения, необходимые для настройки DNS. Эти сведения включают в себя полное доменное имя и частные IP-адреса для ресурса Приватного канала.

    Более подробные сведения о рекомендациях по настройке DNS для частных конечных точек см. в разделе Конфигурация DNS для частных конечных точек.

    Ограничения

    В следующих информационных списках перечислены известные ограничения на использование частных конечных точек.

    Группа безопасности сети

    Ограничение Описание
    Действующие маршруты и правила безопасности недоступны для сетевого интерфейса частной конечной точки. Действующие маршруты и правила безопасности не будут отображаться для сетевой карты частной конечной точки на портале Azure.
    Журналы потоков NSG не поддерживаются. Журналы потоков NSG недоступны для входящего трафика, предназначенного для частной конечной точки.
    Группа безопасности приложений не может содержать больше 50 элементов. Пятьдесят — это количество IP-конфигураций, которые можно привязать к каждой соответствующей группе безопасности приложений (ASG), связанной с NSG в подсети частной конечной точки. Сбои подключения могут затрагивать больше 50 элементов.
    Диапазоны портов назначения поддерживаются до значения в 250 тыс. раз выше. Диапазоны портов назначения определяются путем перемножения SourceAddressPrefixes, DestinationAddressPrefixes и DestinationPortRanges.

    Пример правила для входящего трафика:
    1 источник * 1 назначение * 4 тыс. диапазонов портов = допустимо 4 тысячи
    10 источников * 10 назначений * 10 диапазонов портов = допустимо 1 тысяча
    50 источников * 50 назначений * 50 диапазонов портов = допустимо 125 тысяч
    50 источников * 50 назначений * 100 диапазонов портов = допустимо 250 тысяч
    100 источников * 100 назначений * 100 диапазонов портов = допустимо 1 млн, у NSG слишком много источников, назначений или портов.
    Фильтрация исходных портов интерпретируется как * Фильтрация исходных портов редко используется в качестве допустимого сценария фильтрации трафика, предназначенного для частной конечной точки.
    Функция недоступна в выбранных регионах. В настоящее время недоступно в следующих регионах:
    Западная Индия
    , Центральная Австралия 2
    Южная Африка, юго-восточная Часть
    Бразилии

    Дополнительные рекомендации по NSG

    • Исходящий трафик, отклоненный из частной конечной точки, не является допустимым сценарием, так как поставщик услуг не может инициировать трафик.

    • Для следующих служб может потребоваться открыть все порты назначения при использовании частной конечной точки и добавлении фильтров безопасности NSG:

    UDR

    Ограничение Описание
    SNAT рекомендуется использовать всегда. Из-за вариативной природы плоскости данных частной конечной точки рекомендуется использовать трафик SNAT, предназначенный для частной конечной точки, чтобы обеспечить учет возвращаемого трафика.
    Функция недоступна в выбранных регионах. В настоящее время недоступно в следующих регионах:
    Западная Индия
    Северная часть Соединенного Королевства
    Южная часть Соединенного Королевства 2
    Центральная Австралия 2
    Западная часть ЮАР
    Юго-Восточная Бразилия

    Группа безопасности приложений

    Ограничение Описание
    Функция недоступна в выбранных регионах. В настоящее время недоступно в следующих регионах:
    Западная Индия
    Северная часть Соединенного Королевства
    Южная часть Соединенного Королевства 2
    Центральная Австралия 2
    Западная часть ЮАР
    Юго-Восточная Бразилия

    Дальнейшие действия