Vad är en privat slutpunkt?

En privat slutpunkt är ett nätverksgränssnitt som använder en privat IP-adress från ditt virtuella nätverk. Med det här nätverksgränssnittet får du privat och säker anslutning till en tjänst som drivs av Azure Private Link. Genom att aktivera en privat slutpunkt tar du in tjänsten i ditt virtuella nätverk.

Tjänsten kan vara en Azure-tjänst som:

  • Azure Storage
  • Azure Cosmos DB
  • Azure SQL Database
  • Din egen tjänst med private link-tjänsten.

Egenskaper för privat slutpunkt

En privat slutpunkt anger följande egenskaper:

Property Beskrivning
Name Ett unikt namn i resursgruppen.
Undernät Det undernät som ska distribueras, där den privata IP-adressen tilldelas. För undernätskrav, se avsnittet Begränsningar senare i den här artikeln.
Private-link-resurs Den private-link-resurs som ska anslutas med hjälp av ett resurs-ID eller alias från listan över tillgängliga typer. En unik nätverksidentifierare genereras för all trafik som skickas till den här resursen.
Underresurs för mål Den underresurs som ska anslutas. Varje resurstyp för privat länk har olika alternativ att välja baserat på inställningar.
Anslut ion-godkännandemetod Automatisk eller manuell. Beroende på behörigheterna för rollbaserad åtkomstkontroll i Azure kan din privata slutpunkt godkännas automatiskt. Om du ansluter till en privat länkresurs utan rollbaserad Azure-behörighet använder du den manuella metoden för att tillåta resursens ägare att godkänna anslutningen.
Begärandemeddelande Du kan ange ett meddelande om att begärda anslutningar ska godkännas manuellt. Det här meddelandet kan användas för att identifiera en specifik begäran.
Anslutningsstatus En skrivskyddad egenskap som anger om den privata slutpunkten är aktiv. Endast privata slutpunkter i ett godkänt tillstånd kan användas för att skicka trafik. Fler tillgängliga tillstånd:
  • Godkänd: Anslutningen godkändes automatiskt eller manuellt och är redo att användas.
  • Väntar: Anslutningen skapades manuellt och väntar på godkännande av resursägaren för privat länk.
  • Avvisad: Anslutningen avvisades av resursägaren för den privata länken.
  • Frånkopplad: Anslutningen togs bort av resursägaren för privat länk. Den privata slutpunkten blir informativ och bör tas bort för rensning.
  • När du skapar privata slutpunkter bör du tänka på följande:

    • Privata slutpunkter möjliggör anslutning mellan kunderna från samma:

      • Virtuellt nätverk
      • Regionalt peer-kopplade virtuella nätverk
      • Globalt peer-kopplade virtuella nätverk
      • Lokala miljöer som använder VPN eller Express Route
      • Tjänster som drivs av Private Link
    • Nätverksanslutningar kan endast initieras av klienter som ansluter till den privata slutpunkten. Tjänstleverantörer har ingen routningskonfiguration för att skapa anslutningar till tjänstekunder. Anslut ions kan endast upprättas i en enda riktning.

    • Ett skrivskyddat nätverksgränssnitt skapas automatiskt för livscykeln för den privata slutpunkten. Gränssnittet tilldelas en dynamisk privat IP-adress från undernätet som mappar till resursen private-link. Värdet för den privata IP-adressen förblir oförändrat under hela livscykeln för den privata slutpunkten.

    • Den privata slutpunkten måste distribueras i samma region och prenumeration som det virtuella nätverket.

    • Resursen private-link kan distribueras i en annan region än den för det virtuella nätverket och den privata slutpunkten.

    • Flera privata slutpunkter kan skapas med samma private-link-resurs. För ett enda nätverk med en gemensam DNS-serverkonfiguration rekommenderar vi att du använder en enskild privat slutpunkt för en angiven privat länkresurs. Använd den här metoden för att undvika dubbletter av poster eller konflikter i DNS-matchning.

    • Flera privata slutpunkter kan skapas på samma eller olika undernät i samma virtuella nätverk. Det finns gränser för antalet privata slutpunkter som du kan skapa i en prenumeration. Mer information finns i Azure-gränser.

    • Prenumerationen som innehåller den privata länkresursen måste registreras med Microsofts nätverksresursprovider. Prenumerationen som innehåller den privata slutpunkten måste också registreras med Microsofts nätverksresursprovider. Mer information finns i Azure Resource Providers.

    En privat länkresurs är målmålet för en angiven privat slutpunkt. I följande tabell visas de tillgängliga resurser som stöder en privat slutpunkt:

    Resursnamn för privat länk Resurstyp Underresurser
    Application Gateway Microsoft.Network/applicationgateways Ip-konfigurationsnamn för klientdelen
    Azure AI-tjänster Microsoft.CognitiveServices/accounts konto
    Azure API för FHIR (resurser för snabb sjukvårdskompatibilitet) Microsoft.HealthcareApis/services fhir
    Azure App Configuration Microsoft.Appconfiguration/configurationStores configurationStores
    Azure App Service Microsoft.Web/hostingEnvironments värdmiljö
    Azure App Service Microsoft.Web/sites Platser
    Azure Automation Microsoft.Automation/automationAccounts Webhook, DSCAndHybridWorker
    Azure Backup Microsoft.RecoveryServices/valv AzureBackup, AzureSiteRecovery
    Azure Batch Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Azure Cache for Redis Microsoft.Cache/Redis redisCache
    Azure Cache for Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure AI-sökning Microsoft.Search/searchServices searchService
    Azure Container Registry Microsoft.ContainerRegistry/registries Registret
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Table
    Azure Cosmos DB för PostgreSQL Microsoft.DBforPostgreSQL/serverGroupsv2 Samordnare
    Virtuell Azure Cosmos DB for MongoDB-kärna Microsoft.DocumentDb/mongoClusters mongoCluster
    Öppna Azure-datautforskaren Microsoft.Kusto/clusters cluster
    Azure Data Factory Microsoft.DataFactory/fabriker dataFactory
    Azure-databas för MariaDB Microsoft.DBforMariaDB/servers mariadbServer
    Azure Database for MySQL – enskild server Microsoft.DBforMySQL/servers mysqlServer
    Azure Database for MySQL – flexibel server Microsoft.DBforMySQL/flexibleServers mysqlServer
    Azure Database for PostgreSQL – enskild server Microsoft.DBforPostgreSQL/servers postgresqlServer
    Azure Databricks Microsoft.Databricks/arbetsytor databricks_ui_api, browser_authentication
    Azure Device Provisioning Service Microsoft.Devices/provisioningServices iotDps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances API
    Azure Event Grid Microsoft.EventGrid/domains domain
    Azure Event Grid Microsoft.EventGrid/topics Avsnitt
    Azure Event Hub Microsoft.EventHub/namnrymder namnområde
    Azure File Sync Microsoft.StorageSync/storageSyncServices Filsynkroniseringstjänst
    Azure HDInsight Microsoft.HDInsight/clusters cluster
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Azure IoT Hub Microsoft.Devices/IotHubs iotHub
    Azure Key Vault Microsoft.KeyVault/vaults valv
    Azure Key Vault HSM (maskinvarusäkerhetsmodul) Microsoft.Keyvault/managedHSMs HSM
    Azure Kubernetes Service – Kubernetes API Microsoft.ContainerService/managedClusters management
    Azure Machine Learning Microsoft.MachineLearningServices/register amlregistry
    Azure Machine Learning Microsoft.MachineLearningServices/arbetsytor amlworkspace
    Azure Managed Disks Microsoft.Compute/diskAccesses hanterad disk
    Azure Media Services Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint
    Azure Migrate Microsoft.Migrate/assessmentProjects projekt
    Azure Monitor Private Link-omfång Microsoft.Insights/privatelinkscopes azuremonitor
    Azure Relay Microsoft.Relay/namespaces namnområde
    Azure Service Bus Microsoft.ServiceBus/namespaces namnområde
    Azure SignalR Service Microsoft.SignalRService/SignalR signalr
    Azure SignalR Service Microsoft.SignalRService/webPubSub webpubsub
    Azure SQL Database Microsoft.Sql/servers SQL Server (sqlServer)
    Azure SQL Managed Instance Microsoft.Sql/managedInstances managedInstance
    Azure Static Web Apps Microsoft.Web/staticSites staticSites
    Azure Storage Microsoft.Storage/storageAccounts Blob (blob, blob_secondary)
    Tabell (tabell, table_secondary)
    Kö (kö, queue_secondary)
    Fil (fil, file_secondary)
    Webb (webb, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure Synapse Microsoft.Synapse/privateLinkHubs webb
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Dev
    Azure Virtual Desktop – värdpooler Microsoft.DesktopVirtualization/hostpools anslutning
    Azure Virtual Desktop – arbetsytor Microsoft.DesktopVirtualization/workspaces feed
    globalt
    Device Update for IoT Hub Microsoft.DeviceUpdate/accounts DeviceUpdate
    Microsoft Purview Microsoft.Purview/accounts konto
    Microsoft Purview Microsoft.Purview/accounts portal
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Private Link-tjänsten (din egen tjänst) Microsoft.Network/privateLinkServices empty
    Privata länkar för resurshantering Microsoft.Authorization/resourceManagementPrivateLinks ResourceManagement

    Kommentar

    Du kan bara skapa privata slutpunkter på ett GPv2-lagringskonto (General Purpose v2).

    Nätverkssäkerhet för privata slutpunkter

    När du använder privata slutpunkter skyddas trafiken till en privat länkresurs. Plattformen validerar nätverksanslutningar så att endast de som når den angivna private-link-resursen tillåts. För att få åtkomst till fler underresurser inom samma Azure-tjänst krävs fler privata slutpunkter med motsvarande mål. När det gäller Azure Storage skulle du till exempel behöva separata privata slutpunkter för att komma åt fil- och blobunderresurserna .

    Privata slutpunkter tillhandahåller en privat tillgänglig IP-adress för Azure-tjänsten, men begränsar inte nödvändigtvis åtkomsten till det offentliga nätverket. Alla andra Azure-tjänster kräver dock ytterligare åtkomstkontroller. De här kontrollerna ger dina resurser ett extra nätverkssäkerhetslager, vilket ger skydd som förhindrar åtkomst till Azure-tjänsten som är associerad med private-link-resursen.

    Privata slutpunkter stöder nätverksprinciper. Nätverksprinciper möjliggör stöd för nätverkssäkerhetsgrupper (NSG), användardefinierade vägar (UDR) och programsäkerhetsgrupper (ASG). Mer information om hur du aktiverar nätverksprinciper för en privat slutpunkt finns i Hantera nätverksprinciper för privata slutpunkter. Information om hur du använder en ASG med en privat slutpunkt finns i Konfigurera en programsäkerhetsgrupp (ASG) med en privat slutpunkt.

    Du kan ansluta till en privat länkresurs med hjälp av följande metoder för anslutningsgodkännande:

    • Godkänn automatiskt: Använd den här metoden när du äger eller har behörighet för den specifika private-link-resursen. De behörigheter som krävs baseras på resurstypen private-link i följande format:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Begär manuellt: Använd den här metoden när du inte har de behörigheter som krävs och vill begära åtkomst. Ett arbetsflöde för godkännande initieras. Privata slutpunkter och senare privata slutpunktsanslutningar skapas i ett väntande tillstånd. Resursägaren för den privata länken ansvarar för att godkänna anslutningen. När den har godkänts är den privata slutpunkten aktiverad för att skicka trafik normalt, enligt följande arbetsflödesdiagram för godkännande:

    Diagram över arbetsflödets godkännandeprocess.

    Via en privat slutpunktsanslutning kan en resursägare med privat länk:

    • Granska all information om anslutning till privat slutpunkt.
    • Godkänn en privat slutpunktsanslutning. Motsvarande privata slutpunkt är aktiverad för att skicka trafik till resursen private-link.
    • Avvisa en privat slutpunktsanslutning. Motsvarande privata slutpunkt uppdateras för att återspegla statusen.
    • Ta bort en privat slutpunktsanslutning i alla tillstånd. Motsvarande privata slutpunkt uppdateras med ett frånkopplat tillstånd för att återspegla åtgärden. Ägaren av den privata slutpunkten kan bara ta bort resursen i det här läget.

    Kommentar

    Endast privata slutpunkter i tillståndet Godkänd kan skicka trafik till en angiven privat länkresurs.

    Anslut med hjälp av ett alias

    Ett alias är en unik moniker som genereras när en tjänstägare skapar en privat länktjänst bakom en standardlastbalanserare. Tjänstägare kan dela det här aliaset offline med användare av din tjänst.

    Konsumenterna kan begära en anslutning till en privat länktjänst med hjälp av antingen resurs-URI:n eller aliaset. Om du vill ansluta med hjälp av aliaset skapar du en privat slutpunkt med hjälp av metoden för manuellt anslutningsgodkännande. Om du vill använda metoden för manuell anslutningsgodkännande anger du parametern för manuell begäran till True under flödet för att skapa privat slutpunkt. Mer information finns i New-AzPrivateEndpoint och az network private-endpoint create.

    Kommentar

    Den här manuella begäran kan godkännas automatiskt om konsumentens prenumeration är tillåten på providersidan. Mer information finns i Kontrollera tjänståtkomst.

    DNS-konfiguration

    De DNS-inställningar som du använder för att ansluta till en privat länkresurs är viktiga. Befintliga Azure-tjänster kanske redan har en DNS-konfiguration som du kan använda när du ansluter via en offentlig slutpunkt. För att ansluta till samma tjänst via privat slutpunkt krävs separata DNS-inställningar, som ofta konfigureras via privata DNS-zoner. Kontrollera att DNS-inställningarna är korrekta när du använder det fullständigt kvalificerade domännamnet (FQDN) för anslutningen. Inställningarna måste matcha den privata IP-adressen för den privata slutpunkten.

    Nätverksgränssnittet som är associerat med den privata slutpunkten innehåller den information som krävs för att konfigurera DIN DNS. Informationen innehåller FQDN och den privata IP-adressen för en privat länkresurs.

    Fullständig, detaljerad information om rekommendationer för att konfigurera DNS för privata slutpunkter finns i DNS-konfiguration för privat slutpunkt.

    Begränsningar

    Följande information visar de kända begränsningarna för användningen av privata slutpunkter:

    Statisk IP-adress

    Begränsning beskrivning
    Konfigurationen av statiska IP-adresser stöds för närvarande inte. Azure Kubernetes Service (AKS)
    Azure Application Gateway
    HD Insight
    Recovery Services Vaults
    Private Link-tjänster från tredje part

    Nätverkssäkerhetsgrupp

    Begränsning beskrivning
    Effektiva vägar och säkerhetsregler är inte tillgängliga för nätverksgränssnittet för privata slutpunkter. Effektiva vägar och säkerhetsregler visas inte för det privata slutpunktskortet i Azure-portalen.
    NSG-flödesloggar stöds inte. NSG-flödesloggar är inte tillgängliga för inkommande trafik som är avsedd för en privat slutpunkt.
    Högst 50 medlemmar i en programsäkerhetsgrupp. Femtio är antalet IP-konfigurationer som kan kopplas till varje respektive ASG som är kopplat till NSG:n i det privata slutpunktsundernätet. Anslut ionsfel kan inträffa med fler än 50 medlemmar.
    Målportintervall stöds upp till en faktor på 250 K. Målportintervall stöds som en multiplikationskällaAddressPrefixes, DestinationAddressPrefixes och DestinationPortRanges.

    Exempel på inkommande regel:
    En källa * ett mål * 4K portRanges = 4K Giltiga
    10 källor * 10 mål * 10 portRanges = 1 K Giltiga
    50 källor * 50 mål * 50 portRanges = 125 K Giltiga
    50 källor * 50 mål * 100 portRanges = 250 K Giltiga
    100 källor * 100 mål * 100 portRanges = 1M Ogiltig, NSG har för många källor/mål/portar.
    Källportfiltrering tolkas som * Källportfiltrering används inte aktivt som ett giltigt scenario för trafikfiltrering för trafik som är avsedd för en privat slutpunkt.
    Funktionen är inte tillgänglig i utvalda regioner. För närvarande inte tillgänglig i följande regioner:
    Västra Indien
    Australien, centrala 2
    Sydafrika, västra
    Brasilien, sydöstra
    Alla regeringsregioner
    Alla Kina-regioner

    NSG fler överväganden

    • Utgående trafik som nekas från en privat slutpunkt är inte ett giltigt scenario eftersom tjänstleverantören inte kan komma från trafik.

    • Följande tjänster kan kräva att alla målportar är öppna när du använder en privat slutpunkt och lägger till NSG-säkerhetsfilter:

    UDR

    Begränsning beskrivning
    SNAT rekommenderas alltid. På grund av det privata slutpunktsdataplanets varierande karaktär rekommenderar vi SNAT-trafik som är avsedd för en privat slutpunkt för att säkerställa att returtrafiken respekteras.
    Funktionen är inte tillgänglig i utvalda regioner. För närvarande inte tillgänglig i följande regioner:
    Västra Indien
    Australien, centrala 2
    Sydafrika, västra
    Brasilien, sydöstra

    Programsäkerhetsgrupp

    Begränsning beskrivning
    Funktionen är inte tillgänglig i utvalda regioner. För närvarande inte tillgänglig i följande regioner:
    Västra Indien
    Australien, centrala 2
    Sydafrika, västra
    Brasilien, sydöstra

    Nästa steg