Vad är en privat slutpunkt?

  • Artikel
  • 9 minuter för att läsa

En privat slutpunkt är ett nätverksgränssnitt som använder en privat IP-adress från ditt virtuella nätverk. Med det här nätverksgränssnittet får du privat och säker anslutning till en tjänst som drivs av Azure Private Link. Genom att aktivera en privat slutpunkt tar du in tjänsten i ditt virtuella nätverk.

Tjänsten kan vara en Azure-tjänst som:

Egenskaper för privat slutpunkt

En privat slutpunkt anger följande egenskaper:

Egenskap Beskrivning
Name Ett unikt namn i resursgruppen.
Undernät Det undernät som ska distribueras, där den privata IP-adressen tilldelas. Information om undernätskrav finns i avsnittet Begränsningar senare i den här artikeln.
Private-link-resurs Den private-link-resurs som ska anslutas med hjälp av ett resurs-ID eller alias från listan över tillgängliga typer. En unik nätverksidentifierare genereras för all trafik som skickas till den här resursen.
Underresurs för mål Den underresurs som ska anslutas. Varje resurstyp för privat länk har olika alternativ att välja baserat på inställningar.
Metod för anslutningsgodkännande Automatisk eller manuell. Beroende på behörigheterna för rollbaserad åtkomstkontroll (RBAC) i Azure kan din privata slutpunkt godkännas automatiskt. Om du ansluter till en privat länkresurs utan Azure RBAC-behörigheter använder du den manuella metoden för att tillåta resursens ägare att godkänna anslutningen.
Begär meddelande Du kan ange ett meddelande om att begärda anslutningar ska godkännas manuellt. Det här meddelandet kan användas för att identifiera en specifik begäran.
Anslutningsstatus En skrivskyddad egenskap som anger om den privata slutpunkten är aktiv. Endast privata slutpunkter i godkänt tillstånd kan användas för att skicka trafik. Ytterligare tillgängliga tillstånd:
  • Godkänd: Anslutningen godkändes automatiskt eller manuellt och är redo att användas.
  • Väntar: Anslutningen skapades manuellt och väntar på godkännande av resursägaren för private-link.
  • Avvisad: Anslutningen avvisades av resursägaren för private-link.
  • Frånkopplad: Anslutningen togs bort av resursägaren för private-link. Den privata slutpunkten blir informativ och bör tas bort för rensning.

    • När du skapar privata slutpunkter bör du tänka på följande:

    • Privata slutpunkter möjliggör anslutning mellan kunder från samma:

      • Virtuellt nätverk
      • Regionalt peer-kopplade virtuella nätverk
      • Globalt peerkopplade virtuella nätverk
      • Lokala miljöer som använder VPN eller Express Route
      • Tjänster som drivs av Private Link

    • Nätverksanslutningar kan endast initieras av klienter som ansluter till den privata slutpunkten. Tjänstleverantörer har ingen routningskonfiguration för att skapa anslutningar till tjänstekunder. Anslutningar kan endast upprättas i en enda riktning.

    • Ett skrivskyddat nätverksgränssnitt skapas automatiskt för livscykeln för den privata slutpunkten. Gränssnittet tilldelas en dynamisk privat IP-adress från undernätet som mappar till private-link-resursen. Värdet för den privata IP-adressen förblir oförändrat under hela livscykeln för den privata slutpunkten.

    • Den privata slutpunkten måste distribueras i samma region och prenumeration som det virtuella nätverket.

    • Resursen private-link kan distribueras i en annan region än den för det virtuella nätverket och den privata slutpunkten.

    • Flera privata slutpunkter kan skapas med samma private-link-resurs. För ett enskilt nätverk som använder en gemensam DNS-serverkonfiguration rekommenderar vi att du använder en enda privat slutpunkt för en angiven private-link-resurs. Använd den här metoden för att undvika dubbletter av poster eller konflikter i DNS-matchning.

    • Flera privata slutpunkter kan skapas i samma eller olika undernät i samma virtuella nätverk. Det finns gränser för antalet privata slutpunkter som du kan skapa i en prenumeration. Mer information finns i Azure-gränser.

    • Prenumerationen som innehåller den privata länkresursen måste vara registrerad hos Microsofts nätverksresursprovider. Prenumerationen som innehåller den privata slutpunkten måste också vara registrerad hos Microsofts nätverksresursprovider. Mer information finns i Azure-resursprovidrar.

    En private-link-resurs är målmålet för en angiven privat slutpunkt. I följande tabell visas de tillgängliga resurser som stöder en privat slutpunkt:

    Private-link-resursnamn Resurstyp Underresurser
    Azure App Configuration Microsoft.Appconfiguration/configurationStores configurationStores
    Azure Automation Microsoft.Automation/automationAccounts Webhook, DSCAndHybridWorker
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Table
    Azure Batch Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Azure Cache for Redis Microsoft.Cache/Redis redisCache
    Azure Cache for Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure Cognitive Services Microsoft.CognitiveServices/accounts konto
    Azure Managed Disks Microsoft.Compute/diskAccesses hanterad disk
    Azure Container Registry Microsoft.ContainerRegistry/registries registry
    Azure Kubernetes Service – Kubernetes API Microsoft.ContainerService/managedClusters management
    Azure Data Factory Microsoft.DataFactory/fabriker dataFactory
    Azure-datautforskaren Microsoft.Kusto/clusters cluster
    Azure-databas för MariaDB Microsoft.DBforMariaDB/servers mariadbServer
    Azure Database for MySQL Microsoft.DBforMySQL/servers mysqlServer
    Azure Database for PostgreSQL – enskild server Microsoft.DBforPostgreSQL/servers postgresqlServer
    Azure Device Provisioning Service Microsoft.Devices/provisioningServices iotDps
    Azure IoT Hub Microsoft.Devices/IotHubs iotHub
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances API
    Azure Event Grid Microsoft.EventGrid/domains domän
    Azure Event Grid Microsoft.EventGrid/topics ämne
    Azure Event Hub Microsoft.EventHub/namespaces namnområde
    Azure HDInsight Microsoft.HDInsight/clusters cluster
    Azure API för FHIR (resurser för snabb vårdsamverkan) Microsoft.HealthcareApis/services fhir
    Azure Key Vault HSM (maskinvarusäkerhetsmodul) Microsoft.Keyvault/managedHSMs HSM
    Azure Key Vault Microsoft.KeyVault/vaults valv
    Azure Machine Learning Microsoft.MachineLearningServices/workspaces amlworkspace
    Azure Migrate Microsoft.Migrate/assessmentProjects projekt
    Application Gateway Microsoft.Network/applicationgateways programgateway
    Private Link (din egen tjänst) Microsoft.Network/privateLinkServices tomt
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Microsoft Purview Microsoft.Purview/accounts konto
    Microsoft Purview Microsoft.Purview/accounts portal
    Azure Backup Microsoft.RecoveryServices/valv valv
    Azure Relay Microsoft.Relay/namespaces namnområde
    Azure Cognitive Search Microsoft.Search/searchServices searchService
    Azure Service Bus Microsoft.ServiceBus/namespaces namnområde
    Azure SignalR Service Microsoft.SignalRService/SignalR signalr
    Azure SignalR Service Microsoft.SignalRService/webPubSub webpubsub
    Azure SQL Database Microsoft.Sql/servers SQL Server (sqlServer)
    Azure Storage Microsoft.Storage/storageAccounts Blob (blob, blob_secondary)
    Tabell (tabell, table_secondary)
    Kö (kö, queue_secondary)
    Fil (fil, file_secondary)
    Webb (webb, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure File Sync Microsoft.StorageSync/storageSyncServices File Sync service
    Azure Synapse Microsoft.Synapse/privateLinkHubs webb
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Dev
    Azure App Service Microsoft.Web/hostingEnvironments värdmiljö
    Azure App Service Microsoft.Web/sites webbplatser
    Azure Static Web Apps Microsoft.Web/staticSites staticSites
    Azure Media Services Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint
    Azure Databricks Microsoft.Databricks/workspaces databricks_ui_api, browser_authentication

    Anteckning

    Du kan bara skapa privata slutpunkter på ett Generell användning v2-lagringskonto (GPv2).

    Nätverkssäkerhet för privata slutpunkter

    När du använder privata slutpunkter skyddas trafiken till en privat länkresurs. Plattformen validerar nätverksanslutningar, så att endast de som når den angivna private-link-resursen tillåts. För att få åtkomst till ytterligare underresurser i samma Azure-tjänst krävs ytterligare privata slutpunkter med motsvarande mål. När det gäller Azure Storage behöver du till exempel separata privata slutpunkter för att komma åt filen och blobunderresurserna.

    Privata slutpunkter tillhandahåller en privat tillgänglig IP-adress för Azure-tjänsten, men begränsar inte nödvändigtvis åtkomsten till det offentliga nätverket. Azure App Service och Azure Functions bli otillgängliga offentligt när de är associerade med en privat slutpunkt. Alla andra Azure-tjänster kräver dock ytterligare åtkomstkontroller. Dessa kontroller ger dina resurser ett extra nätverkssäkerhetslager, vilket ger skydd som förhindrar åtkomst till Azure-tjänsten som är associerad med private-link-resursen.

    Privata slutpunkter stöder nätverksprinciper. Nätverksprinciper möjliggör stöd för nätverkssäkerhetsgrupper (NSG), användardefinierade vägar (UDR) och programsäkerhetsgrupper (ASG). Mer information om hur du aktiverar nätverksprinciper för en privat slutpunkt finns i Hantera nätverksprinciper för privata slutpunkter. Information om hur du använder en ASG med en privat slutpunkt finns i Konfigurera en programsäkerhetsgrupp (ASG) med en privat slutpunkt.

    Du kan ansluta till en privat länkresurs med hjälp av följande metoder för anslutningsgodkännande:

    • Godkänn automatiskt: Använd den här metoden när du äger eller har behörighet för den specifika privata länkresursen. De behörigheter som krävs baseras på resurstypen private-link i följande format:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Begär manuellt: Använd den här metoden när du inte har de behörigheter som krävs och vill begära åtkomst. Ett arbetsflöde för godkännande initieras. Privata slutpunkter och senare privata slutpunktsanslutningar skapas i ett väntande tillstånd. Resursägaren för privat länk ansvarar för att godkänna anslutningen. När den har godkänts är den privata slutpunkten aktiverad för att skicka trafik normalt, som du ser i följande arbetsflödesdiagram för godkännande:

    Diagram över godkännandeprocessen för arbetsflödet.

    Över en privat slutpunktsanslutning kan en resursägare med privat länk:

    • Granska all anslutningsinformation för privat slutpunkt.
    • Godkänn en privat slutpunktsanslutning. Motsvarande privata slutpunkt aktiveras för att skicka trafik till resursen private-link.
    • Avvisa en privat slutpunktsanslutning. Motsvarande privata slutpunkt uppdateras för att återspegla statusen.
    • Ta bort en privat slutpunktsanslutning i alla tillstånd. Motsvarande privata slutpunkt uppdateras med ett frånkopplat tillstånd för att återspegla åtgärden. Den privata slutpunktsägaren kan bara ta bort resursen i det här läget.

    Anteckning

    Endast privata slutpunkter i ett godkänt tillstånd kan skicka trafik till en angiven privat länkresurs.

    Ansluta med hjälp av ett alias

    Ett alias är en unik moniker som genereras när en tjänstägare skapar en privat länktjänst bakom en standardlastbalanserare. Tjänstägare kan dela detta alias offline med användare av din tjänst.

    Konsumenterna kan begära en anslutning till en privat länktjänst med hjälp av antingen resurs-URI:n eller aliaset. Om du vill ansluta med hjälp av aliaset skapar du en privat slutpunkt med hjälp av metoden för manuell anslutningsgodkännande. Om du vill använda metoden för manuell anslutningsgodkännande anger du parametern för manuell begäran till True under flödet för att skapa privata slutpunkter. Mer information finns i New-AzPrivateEndpoint och az network private-endpoint create.

    Anteckning

    Den här manuella begäran kan godkännas automatiskt om konsumentens prenumeration är tillåten på providersidan. Mer information finns i Kontrollera tjänståtkomst.

    DNS-konfiguration

    De DNS-inställningar som du använder för att ansluta till en privat länkresurs är viktiga. Befintliga Azure-tjänster kanske redan har en DNS-konfiguration som du kan använda när du ansluter via en offentlig slutpunkt. För att ansluta till samma tjänst via privat slutpunkt krävs separata DNS-inställningar, som ofta konfigureras via privata DNS-zoner. Kontrollera att DNS-inställningarna är korrekta när du använder det fullständigt kvalificerade domännamnet (FQDN) för anslutningen. Inställningarna måste matcha den privata IP-adressen för den privata slutpunkten.

    Nätverksgränssnittet som är associerat med den privata slutpunkten innehåller den information som krävs för att konfigurera DIN DNS. Informationen innehåller FQDN och privat IP-adress för en privat länkresurs.

    Fullständig detaljerad information om rekommendationer för att konfigurera DNS för privata slutpunkter finns i DNS-konfiguration för privat slutpunkt.

    Begränsningar

    Följande information visar kända begränsningar för användningen av privata slutpunkter:

    Nätverkssäkerhetsgrupp

    Begränsning Beskrivning
    Effektiva vägar och säkerhetsregler är inte tillgängliga för nätverksgränssnittet för privata slutpunkter. Effektiva vägar och säkerhetsregler visas inte för det privata slutpunktskortet i Azure Portal.
    NSG-flödesloggar stöds inte. NSG-flödesloggar är inte tillgängliga för inkommande trafik som är avsedd för en privat slutpunkt.
    Högst 50 medlemmar i en programsäkerhetsgrupp. Femtio är antalet IP-konfigurationer som kan kopplas till varje respektive ASG som är kopplat till nätverkssäkerhetsgruppen i det privata slutpunktsundernätet. Anslutningsfel kan inträffa med fler än 50 medlemmar.
    Målportintervall stöds upp till en faktor på 250 000. Målportintervall stöds som en multiplikation SourceAddressPrefixes, DestinationAddressPrefixes och DestinationPortRanges.

    Exempel på inkommande regel:
    1 källa * 1 mål * 4K portRanges = 4K Giltiga
    10 källor * 10 mål * 10 portRanges = 1K Giltiga
    50 källor * 50 mål * 50 portRanges = 12 5K Giltiga
    50 källor * 50 mål * 100 portRanges = 250K Giltiga
    100 källor * 100 mål * 100 portRanges = 1M Ogiltig, NSG har för många källor/mål/portar.
    Källportfiltrering tolkas som * Källportfiltrering används inte aktivt som ett giltigt scenario för trafikfiltrering för trafik som är avsedd för en privat slutpunkt.
    Funktionen är inte tillgänglig i utvalda regioner. För närvarande inte tillgänglig i följande regioner:
    Västra Indien
    Australien, centrala 2
    Sydafrika, västra
    Brasilien, sydöstra

    Ytterligare överväganden för NSG

    • Utgående trafik som nekas från en privat slutpunkt är inte ett giltigt scenario eftersom tjänstleverantören inte kan komma från trafik.

    • Följande tjänster kan kräva att alla målportar är öppna när du använder en privat slutpunkt och lägger till NSG-säkerhetsfilter:

    UDR

    Begränsning Beskrivning
    SNAT rekommenderas alltid. På grund av variabeln hos det privata slutpunktsdataplanet rekommenderar vi att du använder SNAT-trafik till en privat slutpunkt för att säkerställa att returtrafiken respekteras.
    Funktionen är inte tillgänglig i utvalda regioner. För närvarande inte tillgänglig i följande regioner: Indien
    ,
    västra Storbritannien, norra
    Storbritannien, södra 2
    Australien, centrala 2
    Sydafrika, västra
    Brasilien, sydöstra

    Programsäkerhetsgrupp

    Begränsning Beskrivning
    Funktionen är inte tillgänglig i utvalda regioner. För närvarande inte tillgänglig i följande regioner: Indien
    ,
    västra Storbritannien, norra
    Storbritannien, södra 2
    Australien, centrala 2
    Sydafrika, västra
    Brasilien, sydöstra

    Nästa steg