Что собой представляет частная конечная точка?
Частная конечная точка — это сетевой интерфейс, который использует частный IP-адрес из виртуальной сети. Этот сетевой интерфейс надежно подключается к службе через Приватный канал Azure. Частная конечная точка позволяет развернуть службу в виртуальной сети.
Эта служба может быть службой Azure, например:
- Хранилище Azure
- Azure Cosmos DB
- База данных SQL Azure
- Ваша собственная служба, использующая службу "Приватный канал Azure".
Свойства частной конечной точки
Частная конечная точка имеет следующие свойства.
| Свойство | Описание |
|---|---|
| Имя. | Уникальное имя в группе ресурсов. |
| Подсеть | Подсеть для развертывания, расположение назначения частного IP-адреса. Требования к подсети см. в разделе Ограничения данной статьи. |
| Ресурс Приватного канала | Ресурс Приватного канала для подключения с помощью идентификатора ресурса или псевдонима из списка доступных типов. Для всего трафика, отправляемого на этот ресурс, создается уникальный идентификатор сети. |
| Целевой подресурс | Подресурс для подключения. Каждый тип ресурса Приватного канала имеет различные параметры в зависимости от предпочтений. |
| Метод утверждения соединения | Автоматический или ручной. В зависимости от разрешений управления доступом на основе ролей Azure частная конечная точка может быть утверждена автоматически. Если вы подключаетесь к ресурсу приватного канала без разрешений на основе ролей Azure, используйте ручной метод, чтобы разрешить владельцу ресурса утвердить подключение. |
| Сообщение запроса | Можно указать сообщение о том, что запрошенные подключения необходимо утверждать вручную. Это сообщение можно использовать для идентификации конкретного запроса. |
| Состояние подключения | Свойство только для чтения, которое указывает, активна ли частная конечная точка. Для отправки трафика можно использовать только частные конечные точки в состоянии "Утверждено". Дополнительные доступные состояния: |
При создании частных конечных точек учитывайте следующие моменты.
Частные конечные точки обеспечивают подключение между клиентами.
- Виртуальная сеть
- Виртуальные сети с региональным пирингом
- Виртуальные сети с глобальным пирингом
- Локальные среды, использующие VPN или Express Route
- Службы, включенные в Приватный канал
Сетевые подключения могут быть инициированы только клиентами, подключающимися к частной конечной точке. У поставщиков услуг нет конфигурации маршрутизации для создания подключений с клиентами служб. Подключения можно устанавливать только в одном направлении.
Для жизненного цикла частной конечной точки также автоматически создается сетевой интерфейс только для чтения. Интерфейсу назначаются динамические частные IP-адреса из подсети, которая сопоставляется с ресурсом Приватного канала. Значение частного IP-адреса остается неизменным во время всего жизненного цикла частной конечной точки.
Частную конечную точку необходимо развернуть в том же регионе и подписке, где размещена виртуальная сеть.
Ресурс Приватного канала можно развернуть в регионе, отличном от региона виртуальной сети и частной конечной точки.
Можно создать несколько частных конечных точек с помощью одного и того же ресурса Приватного канала. Для одной сети, использующей общую конфигурацию DNS-сервера, рекомендуется использовать одну частную конечную точку для ресурса Приватного канала, чтобы избежать дублирования записей и конфликтов при разрешении DNS.
В одной виртуальной сети можно создать несколько частных конечных точек для одних и тех же или разных подсетей. Количество частных конечных точек, которые можно создать в рамках подписки, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.
Подписка, содержащая ресурс приватного канала, должна быть зарегистрирована в поставщике сетевых ресурсов Майкрософт. Подписка, содержащая частную конечную точку, должна быть также зарегистрирована в поставщике сетевых ресурсов Майкрософт. Дополнительные сведения см. в статье, посвященной Azure Resource Manager.
Ресурс Приватного канала
Ресурс Приватного канала является целевым объектом назначения заданной частной конечной точки. В следующей таблице перечислены доступные ресурсы, которые поддерживают частную конечную точку.
| Имя ресурса Приватного канала | Тип ресурса | Вложенные ресурсы |
|---|---|---|
| Шлюз приложений | Microsoft.Network/applicationgateways | Имя конфигурации ВНЕШНЕГО IP-адреса |
| Поиск с использованием ИИ Azure | Microsoft.Search/searchServices | searchService |
| Службы ИИ Azure | Microsoft.CognitiveServices/accounts | организация |
| API Azure для FHIR (Ресурсы быстрого взаимодействия в сфере здравоохранения) | Microsoft.HealthcareApis/services | fhir |
| Управление API Azure | Microsoft.ApiManagement/service | Шлюз |
| Настройка приложения Azure | Microsoft.Appconfiguration/configurationStores | configurationStores |
| Служба приложений Azure | Microsoft.Web/hostingEnvironments | среда размещения |
| Служба приложений Azure | Microsoft.Web/sites | sites |
| Служба "Аттестация Azure" | Microsoft.Attestation/attestationProviders | standard |
| Azure Automation | Microsoft.Automation/automationAccounts | Веб-перехватчик, DSCAndHybridWorker |
| Azure Backup | Microsoft.RecoveryServices/vaults | AzureBackup, AzureSiteRecovery |
| Пакетная служба Azure | Microsoft.Batch/batchAccounts | batchAccount, nodeManagement |
| Кэш Azure для Redis | Microsoft.Cache/Redis; | redisCache |
| Кэш Azure для Redis Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
| Реестр контейнеров Azure | Microsoft.ContainerRegistry/registries | хранилища |
| Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | SQL, MongoDB, Cassandra, Gremlin, Table |
| Azure Cosmos DB для виртуальных ядер MongoDB | Microsoft.DocumentDb/mongoClusters | mongoCluster |
| Azure Cosmos DB for PostgreSQL | Microsoft.DBforPostgreSQL/serverGroupsv2 | согласующий |
| Azure Data Explorer | Microsoft.Kusto/clusters | cluster |
| Azure Data Factory | Microsoft.DataFactory/factories; | dataFactory |
| База данных Azure для MariaDB | Microsoft.DBforMariaDB/servers; | mariadbServer |
| База данных Azure для MySQL — гибкий сервер | Microsoft.DBforMySQL/flexibleServers | mysqlServer |
| База данных Azure для MySQL (Отдельный сервер). | Microsoft.DBforMySQL/servers; | mysqlServer |
| Гибкий сервер Базы данных Azure для PostgreSQL | Microsoft.DBforPostgreSQL/flexibleServers | postgresqlServer |
| База данных Azure для PostgreSQL — отдельный сервер | Microsoft.DBforPostgreSQL/servers | postgresqlServer |
| Azure Databricks | Microsoft.Databricks/workspaces | databricks_ui_api, browser_authentication |
| Служба подготовки устройств Azure | Microsoft.Devices/provisioningServices | iotDps |
| Azure Digital Twins | Microsoft.DigitalTwins/digitalTwinsInstances | API |
| Сетку событий Azure | Microsoft.EventGrid/domains | domain |
| Сетку событий Azure | Microsoft.EventGrid/topics | topic |
| Центр событий Azure | Microsoft.EventHub/namespaces | пространство имен |
| Служба синхронизации файлов Azure | Microsoft.StorageSync/storageSyncServices | Служба синхронизации файлов |
| Azure HDInsight | Microsoft.HDInsight/clusters | cluster |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps | IoTApps |
| Центр Интернета вещей Azure | Microsoft.Devices/IotHubs | Центр Интернета вещей |
| Azure Key Vault | Microsoft.KeyVault/vaults | Хранилище |
| Azure Key Vault HSM (аппаратный модуль безопасности) | Microsoft.Keyvault/managedHSMs | HSM |
| Служба Azure Kubernetes — API Kubernetes | Microsoft.ContainerService/managedClusters | управление |
| Машинное обучение Azure | Microsoft.MachineLearningServices/registries | amlregistry |
| Машинное обучение Azure | Microsoft.MachineLearningServices/workspaces | amlworkspace |
| управляемые диски Azure. | Microsoft.Compute/diskAccesses | управляемый диск |
| Службы мультимедиа Azure | Microsoft.Media/mediaservices | keydelivery, liveevent, streamingendpoint |
| Служба "Миграция Azure" | Microsoft.Migrate/assessmentProjects | проект |
| Область приватного канала Azure Monitor | Microsoft.Insights/privatelinkscopes | azuremonitor |
| Azure Relay | Microsoft.Relay/namespaces | пространство имен |
| Служебная шина Azure | Microsoft.ServiceBus/namespaces | пространство имен |
| Служба Azure SignalR | Microsoft.SignalRService/SignalR | signalr |
| Служба Azure SignalR | Microsoft.SignalRService/webPubSub | webpubsub |
| База данных SQL Azure | Microsoft.Sql/servers | SQL Server (sqlServer) |
| Управляемый экземпляр SQL Azure | Microsoft.Sql/managedInstances | managedInstance |
| Служба статических веб-приложений Azure | Microsoft.Web/staticSites | staticSites |
| Хранилище Azure | Microsoft.Storage/storageAccounts | Большой двоичный объект (большой двоичный объект, вторичный_большой_двоичный_объект) Таблица (таблица, вторичная_таблица) Очередь (очередь, вторичная_очередь) Файл (файл, вторичный_файл) Сеть (сеть, вторичная_сеть) Файловая система Data Lake (dfs, dfs_secondary) |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | web |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Sql, SqlOnDemand, Dev |
| Виртуальный рабочий стол Azure — пулы узлов | Microsoft.DesktopVirtualization/hostpools | подключение |
| Виртуальный рабочий стол Azure — рабочие области | Microsoft.DesktopVirtualization/workspaces | feed global |
| Обновление устройств для Центра Интернета вещей | Microsoft.DeviceUpdate/accounts | DeviceUpdate |
| Учетная запись интеграции (Премиум) | Microsoft.Logic/integrationAccounts | integrationAccount |
| Microsoft Purview | Microsoft.Purview/accounts | организация |
| Microsoft Purview | Microsoft.Purview/accounts | портал |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| Служба Приватного канала (ваша собственная служба) | Microsoft.Network/privateLinkServices | empty |
| Приватный канал управления ресурсами | Microsoft.Authorization/resourceManagementPrivateLinks | ResourceManagement |
Примечание.
Частные конечные точки можно создавать только в учетной записи хранения общего назначения версии 2 (GPv2).
Сетевая безопасность частных конечных точек
При использовании частных конечных точек трафик защищен с помощью ресурса приватного канала. Платформа проверяет сетевые подключения, разрешая только те, которые достигают указанного ресурса приватного канала. Для доступа к дополнительным подресурсам в одной службе Azure требуются дополнительные частные конечные точки с соответствующими целевыми объектами. Например, в случае служба хранилища Azure потребуется отдельные частные конечные точки для доступа к файлу и подресурсу BLOB-объектов.
Частные конечные точки предоставляют частным образом доступный IP-адрес для службы Azure, но не обязательно ограничивают доступ к общедоступной сети. Однако для всех остальных служб Azure требуются дополнительные элементы управления доступом. Эти элементы управления гарантируют дополнительный уровень безопасности сети для ресурсов, обеспечивая защиту, которая помогает предотвратить доступ к службе Azure, связанной с ресурсом приватного канала.
Частные конечные точки поддерживают политики сети. Политики сети обеспечивают поддержку групп безопасности сети (NSG), определяемых пользователем маршрутов (UDR) и групп безопасности приложений (ASG). Дополнительные сведения о включении политик сети для частной конечной точки см. в статье Управление политиками сети для частных конечных точек. Сведения об использовании ASG с частной конечной точкой см. в статье Настройка группы безопасности приложений (ASG) с частной конечной точкой.
Доступ к ресурсу Приватного канала с помощью рабочего процесса утверждения
Подключиться к ресурсу Приватного канала можно с помощью следующих методов утверждения подключения.
Утверждать автоматически: используйте этот метод, если вы владеете конкретным ресурсом Приватного канала или имеете разрешение на доступ к нему. Требуемое разрешение основано на типе ресурса Приватного канала в следующем формате.
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/actionЗапрос вручную: используйте этот метод, если у вас нет необходимых разрешений и вы хотите запросить доступ. Инициируется рабочий процесс утверждения. Частные конечные точки и более поздние подключения частной конечной точки создаются в состоянии ожидания . Владелец ресурса приватного канала должен утвердить это подключение. После утверждения частной конечной точке разрешается передавать трафик обычным образом, как показано на следующей схеме рабочего процесса утверждения.
Владелец ресурса Приватного канала может выполнять следующие действия в отношении подключения к частной конечной точке:
- Просмотр сведений обо всех подключениях к частной конечной точке.
- Утверждение подключения к частной конечной точке Соответствующая частная конечная точка включена для отправки трафика в ресурс приватного канала.
- Отклонение подключения к частной конечной точке. Соответствующая частная конечная точка обновляется, чтобы отразить состояние.
- Удаление подключения к частной конечной точке с любым состоянием. Соответствующая частная конечная точка обновляется с отключенным состоянием для отражения действия. На этом этапе владелец частной конечной точки может удалить только ресурс.
Примечание.
Только частная конечная точка в состоянии Утверждено может передавать трафик на заданный ресурс Приватного канала.
Подключение с помощью псевдонима
Псевдоним — это уникальный моникер, который создается, когда владелец службы создает службу Приватного канала за пределами стандартной подсистемы балансировки нагрузки. Владельцы служб могут совместно использовать этот псевдоним в автономном режиме с потребителями вашей службы.
Потребители могут запрашивать подключение к службе Приватного канала с помощью URI ресурса или псевдонима. Чтобы подключиться с помощью псевдонима, создайте частную конечную точку с помощью метода подтверждения подключения вручную. Чтобы использовать этот метод, задайте для параметра ручного запроса значение True во время создания частной конечной точки. Дополнительные сведения см. в разделах New-AzPrivateEndpoint и az network private-endpoint create.
Примечание.
Этот ручной запрос может быть автоматически утвержден, если подписка потребителя находится в списке разрешенных на стороне поставщика. Дополнительные сведения см. в статье, посвященной управлению доступом к службе.
DNS configuration (Настройка DNS)
Параметры DNS, используемые для подключения к ресурсу Приватного канала, имеют важное значение. Возможно, существующие службы Azure уже используют конфигурацию DNS для подключения через общедоступную конечную точку. Для подключения к той же службе, что и частная конечная точка, требуются отдельные параметры DNS, зачастую настраиваемые с помощью частных зон DNS. При использовании полного доменного имени (FQDN) для подключения убедитесь в правильности параметров DNS. Настройки должны обеспечивать разрешение в частный IP-адрес частной конечной точки.
Сетевой интерфейс, связанный с частной конечной точкой, содержит сведения, необходимые для настройки DNS. Эти сведения включают в себя полное доменное имя и частные IP-адреса для ресурса Приватного канала.
Более подробные сведения о рекомендациях по настройке DNS для частных конечных точек см. в разделе Конфигурация DNS для частных конечных точек.
Ограничения
В следующих информационных списках перечислены известные ограничения на использование частных конечных точек.
Статический IP-адрес
| Ограничение | Description |
|---|---|
| Конфигурация статических IP-адресов в настоящее время не поддерживается. | Служба Azure Kubernetes (AKS) Шлюз приложений Azure хранилища служб восстановления HD Insights сторонних Приватный канал |
группу безопасности сети;
| Ограничение | Description |
|---|---|
| Действующие маршруты и правила безопасности недоступны для сетевого интерфейса частной конечной точки. | Действующие маршруты и правила безопасности не будут отображаться для сетевой карты частной конечной точки на портале Azure. |
| Журналы потоков NSG не поддерживаются. | Журналы потоков NSG недоступны для входящего трафика, предназначенного для частной конечной точки. |
| Группа безопасности приложений не может содержать больше 50 элементов. | Пятьдесят — это количество IP-конфигураций, которые можно связать с каждой соответствующей ASG, связанной с NSG в подсети частной конечной точки. Сбои подключения могут затрагивать больше 50 элементов. |
| Диапазоны портов назначения поддерживаются до 250 К. | Диапазоны портов назначения определяются путем перемножения SourceAddressPrefixes, DestinationAddressPrefixes и DestinationPortRanges. Пример правила для входящего трафика: один источник * одно назначение * 4K portRanges = 4K Valid 10 sources * 10 destinations * 10 portRanges = 1 K Valid 50 sources * 50 destinations * 50 portRanges = 125 K Допустимые 50 источников * 50 назначений * 100 portRanges = 250 K Допустимые 100 источников * 100 назначений * 100 portRanges = 1M Invalid, NSG имеет слишком много источников/ назначений/портов. |
| Фильтрация исходных портов интерпретируется как * | Фильтрация исходных портов редко используется в качестве допустимого сценария фильтрации трафика, предназначенного для частной конечной точки. |
| Функция недоступна в выбранных регионах. | В настоящее время недоступно в следующих регионах: Западная Индия Центральная Австралия 2 Южная Африка Западная Бразилия Юго-Восточная Бразилия все регионы правительства все регионы Китая |
Дополнительные рекомендации по NSG
Исходящий трафик, отклоненный из частной конечной точки, не является допустимым сценарием, так как поставщик услуг не может инициировать трафик.
Для следующих служб может потребоваться открыть все порты назначения при использовании частной конечной точки и добавления фильтров безопасности NSG:
- Azure Cosmos DB. Дополнительные сведения см. в разделе "Диапазоны портов службы".
UDR
| Ограничение | Description |
|---|---|
| Всегда рекомендуется использовать SNAT. | Из-за вариативной природы плоскости данных частной конечной точки рекомендуется использовать трафик SNAT, предназначенный для частной конечной точки, чтобы обеспечить учет возвращаемого трафика. |
| Функция недоступна в выбранных регионах. | В настоящее время недоступно в следующих регионах: Западная Индия Центральная Австралия 2 Южная Африка Западная Бразилия Юго-Восточная Бразилия |
Группа безопасности приложений
| Ограничение | Description |
|---|---|
| Функция недоступна в выбранных регионах. | В настоящее время недоступно в следующих регионах: Западная Индия Центральная Австралия 2 Южная Африка Западная Бразилия Юго-Восточная Бразилия |
Следующие шаги
Дополнительные сведения о частных конечных точках и Приватном канале см. в статье Что собой представляет Приватный канал Azure?.
Чтобы приступить к созданию частной конечной точки для веб-приложения, обратитесь к разделу Краткое руководство. Создание частной конечной точки с помощью портала Azure.