Планирование и реализация частных конечных точек
Частная конечная точка — это сетевой интерфейс, который использует частный IP-адрес из виртуальной сети. Этот сетевой интерфейс надежно подключается к службе через Приватный канал Azure. Частная конечная точка позволяет развернуть службу в виртуальной сети.
Эта служба может быть службой Azure, например:
- Хранилище Azure
- Azure Cosmos DB
- База данных SQL Azure
- Ваша собственная служба, использующая службу "Приватный канал Azure".
Свойства частной конечной точки
Частная конечная точка имеет следующие свойства.
| Свойство | Description |
|---|---|
| Имя. | Уникальное имя в группе ресурсов. |
| Подсеть | Подсеть для развертывания, расположение назначения частного IP-адреса. |
| Ресурс Приватного канала | Ресурс Приватного канала для подключения с помощью идентификатора ресурса или псевдонима из списка доступных типов. Для всего трафика, отправляемого на этот ресурс, создается уникальный идентификатор сети. |
| Целевой подресурс | Подресурс для подключения. Каждый тип ресурса Приватного канала имеет различные параметры в зависимости от предпочтений. |
| Метод утверждения соединения | Автоматический или ручной. В зависимости от разрешений управления доступом на основе ролей Azure частная конечная точка может быть утверждена автоматически. Если вы подключаетесь к ресурсу приватного канала без разрешений на основе ролей Azure, используйте ручной метод, чтобы разрешить владельцу ресурса утвердить подключение. |
| Сообщение запроса | Можно указать сообщение о том, что запрошенные подключения необходимо утверждать вручную. Это сообщение можно использовать для идентификации конкретного запроса. |
| Состояние подключения | Свойство только для чтения, которое указывает, активна ли частная конечная точка. Для отправки трафика можно использовать только частные конечные точки в состоянии "Утверждено". Более доступные состояния: Утверждено: подключение было автоматически или вручную утверждено и готово к использованию. Ожидание: подключение создается вручную и ожидает утверждения от владельца ресурса Приватного канала. Отклонено: подключение отклонил владелец ресурса Приватного канала. Отключено: подключение удалил владелец ресурса Приватного канала. Частная конечная точка станет информативной и подлежит удалению для очистки. |
При создании частных конечных точек учитывайте следующие моменты.
Частные конечные точки обеспечивают подключение между клиентами.
- Виртуальная сеть
- Виртуальные сети с региональным пирингом
- Виртуальные сети с глобальным пирингом
- Локальные среды, использующие VPN или Express Route
- Службы, включенные в Приватный канал
- Виртуальная сеть
Сетевые подключения могут быть инициированы только клиентами, подключающимися к частной конечной точке. У поставщиков услуг нет конфигурации маршрутизации для создания подключений с клиентами служб. Подключения можно устанавливать только в одном направлении.
Для жизненного цикла частной конечной точки также автоматически создается сетевой интерфейс только для чтения. Интерфейсу назначаются динамические частные IP-адреса из подсети, которая сопоставляется с ресурсом Приватного канала. Значение частного IP-адреса остается неизменным во время всего жизненного цикла частной конечной точки.
Частную конечную точку необходимо развернуть в том же регионе и подписке, где размещена виртуальная сеть.
Ресурс Приватного канала можно развернуть в регионе, отличном от региона виртуальной сети и частной конечной точки.
Можно создать несколько частных конечных точек с помощью одного и того же ресурса Приватного канала. Для одной сети, использующей общую конфигурацию DNS-сервера, рекомендуется использовать одну частную конечную точку для ресурса Приватного канала, чтобы избежать дублирования записей и конфликтов при разрешении DNS.
В одной виртуальной сети можно создать несколько частных конечных точек для одних и тех же или разных подсетей. Количество частных конечных точек, которые можно создать в рамках подписки, ограничено.
Подписка, содержащая ресурс приватного канала, должна быть зарегистрирована в поставщике сетевых ресурсов Майкрософт. Подписка, содержащая частную конечную точку, должна быть также зарегистрирована в поставщике сетевых ресурсов Майкрософт.
Сетевая безопасность частных конечных точек
При использовании частных конечных точек трафик защищен с помощью ресурса приватного канала. Платформа проверяет сетевые подключения, разрешая только те, которые достигают указанного ресурса приватного канала. Для доступа к дополнительным подресурсам в одной службе Azure требуются дополнительные частные конечные точки с соответствующими целевыми объектами. Например, в случае служба хранилища Azure потребуется отдельная частная конечная точка для доступа к файлам и подресурсам BLOB-объектов.
Частные конечные точки предоставляют частным образом доступный IP-адрес для службы Azure, но не обязательно ограничивают доступ к общедоступной сети. Однако для всех остальных служб Azure требуются дополнительные элементы управления доступом. Эти элементы управления гарантируют дополнительный уровень безопасности сети для ресурсов, обеспечивая защиту, которая помогает предотвратить доступ к службе Azure, связанной с ресурсом приватного канала.
Частные конечные точки поддерживают политики сети. Политики сети обеспечивают поддержку групп безопасности сети (NSG), определяемых пользователем маршрутов (UDR) и групп безопасности приложений (ASG).
Владелец ресурса Приватного канала может выполнять следующие действия в отношении подключения к частной конечной точке:
- Просмотр сведений обо всех подключениях к частной конечной точке.
- Утверждение подключения к частной конечной точке Соответствующая частная конечная точка включена для отправки трафика в ресурс приватного канала.
- Отклонение подключения к частной конечной точке. Соответствующая частная конечная точка обновляется, чтобы отразить состояние.
- Удаление подключения к частной конечной точке с любым состоянием. Соответствующая частная конечная точка обновляется с отключенным состоянием для отражения действия. На этом этапе владелец частной конечной точки может удалить только ресурс.
Доступ к ресурсу Приватного канала с помощью рабочего процесса утверждения
Подключиться к ресурсу Приватного канала можно с помощью следующих методов утверждения подключения.
Утверждать автоматически: используйте этот метод, если вы владеете конкретным ресурсом Приватного канала или имеете разрешение на доступ к нему. Требуемое разрешение основано на типе ресурса Приватного канала в следующем формате.
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
Запрос вручную: используйте этот метод, если у вас нет необходимых разрешений и вы хотите запросить доступ. Инициируется рабочий процесс утверждения. Частные конечные точки и более поздние подключения частной конечной точки создаются в состоянии ожидания . Владелец ресурса приватного канала должен утвердить это подключение. После утверждения частной конечной точке разрешается передавать трафик обычным образом, как показано на следующей схеме рабочего процесса утверждения.
Владелец ресурса Приватного канала может выполнять следующие действия в отношении подключения к частной конечной точке:
- Просмотр сведений обо всех подключениях к частной конечной точке.
- Утверждение подключения к частной конечной точке Соответствующая частная конечная точка включена для отправки трафика в ресурс приватного канала.
- Отклонение подключения к частной конечной точке. Соответствующая частная конечная точка обновляется, чтобы отразить состояние.
- Удаление подключения к частной конечной точке с любым состоянием. Соответствующая частная конечная точка обновляется с отключенным состоянием для отражения действия. На этом этапе владелец частной конечной точки может удалить только ресурс.
Примечание.
Только частная конечная точка в состоянии Утверждено может передавать трафик на заданный ресурс Приватного канала.
Подключение с помощью псевдонима
Псевдоним — это уникальный моникер, который создается, когда владелец службы создает службу Приватного канала за пределами стандартной подсистемы балансировки нагрузки. Владельцы служб могут совместно использовать этот псевдоним в автономном режиме с потребителями вашей службы.
Потребители могут запросить подключение к службе приватного канала с помощью универсального идентификатора ресурса (URI) ресурса или псевдонима. Чтобы подключиться с помощью псевдонима, создайте частную конечную точку с помощью метода подтверждения подключения вручную. Чтобы использовать этот метод, задайте для параметра ручного запроса значение True во время создания частной конечной точки.
Примечание.
Этот ручной запрос может быть автоматически утвержден, если подписка потребителя находится в списке разрешенных на стороне поставщика.
DNS configuration (Настройка DNS)
Параметры DNS, используемые для подключения к ресурсу Приватного канала, имеют важное значение. Возможно, существующие службы Azure уже используют конфигурацию DNS для подключения через общедоступную конечную точку. Для подключения к той же службе, что и частная конечная точка, требуются отдельные параметры DNS, зачастую настраиваемые с помощью частных зон DNS. При использовании полного доменного имени (FQDN) для подключения убедитесь в правильности параметров DNS. Настройки должны обеспечивать разрешение в частный IP-адрес частной конечной точки.
Сетевой интерфейс, связанный с частной конечной точкой, содержит сведения, необходимые для настройки DNS. Эти сведения включают в себя полное доменное имя и частные IP-адреса для ресурса Приватного канала.
Ограничения
В следующих информационных списках перечислены известные ограничения на использование частных конечных точек.
Статический IP-адрес
| Ограничение | Description |
|---|---|
| Конфигурация статических IP-адресов в настоящее время не поддерживается. | Служба Azure Kubernetes (AKS) Шлюз приложений Azure HDInsight Хранилища Служб восстановления Сторонние службы Приватный канал |
группу безопасности сети;
| Ограничение | Description |
|---|---|
| Действующие маршруты и правила безопасности недоступны для сетевого интерфейса частной конечной точки. | Действующие маршруты и правила безопасности не будут отображаться для сетевой карты частной конечной точки на портале Azure. |
| Журналы потоков NSG не поддерживаются. | Журналы потоков NSG недоступны для входящего трафика, предназначенного для частной конечной точки. |
| Группа безопасности приложений не может содержать больше 50 элементов. | Пятьдесят — это количество IP-конфигураций, которые можно связать с каждой соответствующей ASG, связанной с NSG в подсети частной конечной точки. Сбои подключения могут затрагивать больше 50 элементов. |
| Диапазоны портов назначения поддерживаются до 250 К. | Диапазоны портов назначения определяются путем перемножения SourceAddressPrefixes, DestinationAddressPrefixes и DestinationPortRanges. Пример правила для входящего трафика: Один источник * одно назначение * 4K portRanges = 4K Valid 10 источников * 10 назначений * 10 portRanges = 1 K Valid 50 источников * 50 назначений * 50 portRanges = 125 K Valid 50 источников * 50 назначений * 100 portRanges = 250 K Valid 100 источников * 100 назначений * 100 portRanges = 1M Invalid, NSG имеет слишком много источников/ назначений/портов. |
| Фильтрация исходного порта. | Фильтрация исходных портов редко используется в качестве допустимого сценария фильтрации трафика, предназначенного для частной конечной точки. |
| Функция недоступна в выбранных регионах. | В настоящее время недоступно в следующих регионах: Индия (запад) Центральная Австралия 2 Западная часть ЮАР Юго-Восточная Бразилия Регионы для государственных организаций Все регионы Китая |
Дополнительные рекомендации по NSG
Исходящий трафик, отклоненный из частной конечной точки, не является допустимым сценарием, так как поставщик услуг не может инициировать трафик.
Для следующих служб может потребоваться открыть все порты назначения при использовании частной конечной точки и добавления фильтров безопасности NSG:
- Azure Cosmos DB
- Azure Cosmos DB
UDR
| Ограничение | Description |
|---|---|
| Всегда рекомендуется использовать SNAT. | Из-за вариативной природы плоскости данных частной конечной точки рекомендуется использовать трафик SNAT, предназначенный для частной конечной точки, чтобы обеспечить учет возвращаемого трафика. |
| Функция недоступна в выбранных регионах. | В настоящее время недоступно в следующих регионах: Индия (запад) Центральная Австралия 2 Западная часть ЮАР Юго-Восточная Бразилия |
Группа безопасности приложений
| Ограничение | Description |
|---|---|
| Функция недоступна в выбранных регионах. | В настоящее время недоступно в следующих регионах: Индия (запад) Центральная Австралия 2 Западная часть ЮАР Юго-Восточная Бразилия |