Vad är en privat slutpunkt?
En privat slutpunkt är ett nätverksgränssnitt som använder en privat IP-adress från ditt virtuella nätverk. Med det här nätverksgränssnittet får du privat och säker anslutning till en tjänst som drivs av Azure Private Link. Genom att aktivera en privat slutpunkt tar du in tjänsten i ditt virtuella nätverk.
Tjänsten kan vara en Azure-tjänst som:
- Azure Storage
- Azure Cosmos DB
- Azure SQL Database
- Din egen tjänst med private link-tjänsten.
Egenskaper för privat slutpunkt
En privat slutpunkt anger följande egenskaper:
| Property | Beskrivning |
|---|---|
| Name | Ett unikt namn i resursgruppen. |
| Undernät | Det undernät som ska distribueras, där den privata IP-adressen tilldelas. För undernätskrav, se avsnittet Begränsningar senare i den här artikeln. |
| Private-link-resurs | Den private-link-resurs som ska anslutas med hjälp av ett resurs-ID eller alias från listan över tillgängliga typer. En unik nätverksidentifierare genereras för all trafik som skickas till den här resursen. |
| Underresurs för mål | Den underresurs som ska anslutas. Varje resurstyp för privat länk har olika alternativ att välja baserat på inställningar. |
| Metod för anslutningsgodkännande | Automatisk eller manuell. Beroende på behörigheterna för rollbaserad åtkomstkontroll i Azure kan din privata slutpunkt godkännas automatiskt. Om du ansluter till en privat länkresurs utan rollbaserad Azure-behörighet använder du den manuella metoden för att tillåta resursens ägare att godkänna anslutningen. |
| Begärandemeddelande | Du kan ange ett meddelande om att begärda anslutningar ska godkännas manuellt. Det här meddelandet kan användas för att identifiera en specifik begäran. |
| Anslutningsstatus | En skrivskyddad egenskap som anger om den privata slutpunkten är aktiv. Endast privata slutpunkter i ett godkänt tillstånd kan användas för att skicka trafik. Fler tillgängliga tillstånd: |
När du skapar privata slutpunkter bör du tänka på följande:
Privata slutpunkter möjliggör anslutning mellan kunderna från samma:
- Virtuellt nätverk
- Regionalt peer-kopplade virtuella nätverk
- Globalt peer-kopplade virtuella nätverk
- Lokala miljöer som använder VPN eller Express Route
- Tjänster som drivs av Private Link
Nätverksanslutningar kan endast initieras av klienter som ansluter till den privata slutpunkten. Tjänstleverantörer har ingen routningskonfiguration för att skapa anslutningar till tjänstekunder. Anslutningar kan endast upprättas i en enda riktning.
Ett skrivskyddat nätverksgränssnitt skapas automatiskt för livscykeln för den privata slutpunkten. Gränssnittet tilldelas en dynamisk privat IP-adress från undernätet som mappar till resursen private-link. Värdet för den privata IP-adressen förblir oförändrat under hela livscykeln för den privata slutpunkten.
Den privata slutpunkten måste distribueras i samma region och prenumeration som det virtuella nätverket.
Resursen private-link kan distribueras i en annan region än den för det virtuella nätverket och den privata slutpunkten.
Flera privata slutpunkter kan skapas med samma private-link-resurs. För ett enda nätverk med en gemensam DNS-serverkonfiguration rekommenderar vi att du använder en enskild privat slutpunkt för en angiven privat länkresurs. Använd den här metoden för att undvika dubbletter av poster eller konflikter i DNS-matchning.
Flera privata slutpunkter kan skapas på samma eller olika undernät i samma virtuella nätverk. Det finns gränser för antalet privata slutpunkter som du kan skapa i en prenumeration. Mer information finns i Azure-gränser.
Prenumerationen som innehåller den privata länkresursen måste registreras med Microsofts nätverksresursprovider. Prenumerationen som innehåller den privata slutpunkten måste också registreras med Microsofts nätverksresursprovider. Mer information finns i Azure Resource Providers.
Private-link-resurs
En privat länkresurs är målmålet för en angiven privat slutpunkt. I följande tabell visas de tillgängliga resurser som stöder en privat slutpunkt:
| Resursnamn för privat länk | Resurstyp | Underresurser |
|---|---|---|
| Application Gateway | Microsoft.Network/applicationgateways | Ip-konfigurationsnamn för klientdelen |
| Azure AI-sökning | Microsoft.Search/searchServices | searchService |
| Azure AI-tjänster | Microsoft.CognitiveServices/accounts | konto |
| Azure API för FHIR (resurser för snabb sjukvårdskompatibilitet) | Microsoft.HealthcareApis/services | fhir |
| Azure API Management | Microsoft.ApiManagement/service | Gateway |
| Azure App Configuration | Microsoft.Appconfiguration/configurationStores | configurationStores |
| Azure App Service | Microsoft.Web/hostingEnvironments | värdmiljö |
| Azure App Service | Microsoft.Web/sites | Platser |
| Azure Attestation Service | Microsoft.Attestation/attestationProviders | standard |
| Azure Automation | Microsoft.Automation/automationAccounts | Webhook, DSCAndHybridWorker |
| Azure Backup | Microsoft.RecoveryServices/valv | AzureBackup, AzureSiteRecovery |
| Azure Batch | Microsoft.Batch/batchAccounts | batchAccount, nodeManagement |
| Azure Cache for Redis | Microsoft.Cache/Redis | redisCache |
| Azure Cache for Redis Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
| Azure Container Registry | Microsoft.ContainerRegistry/registries | register |
| Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | SQL, MongoDB, Cassandra, Gremlin, Table |
| Virtuell Azure Cosmos DB for MongoDB-kärna | Microsoft.DocumentDb/mongoClusters | mongoCluster |
| Azure Cosmos DB för PostgreSQL | Microsoft.DBforPostgreSQL/serverGroupsv2 | samordnare |
| Öppna Azure-datautforskaren | Microsoft.Kusto/clusters | cluster |
| Azure Data Factory | Microsoft.DataFactory/fabriker | dataFactory |
| Azure-databas för MariaDB | Microsoft.DBforMariaDB/servers | mariadbServer |
| Azure Database for MySQL – flexibel server | Microsoft.DBforMySQL/flexibleServers | mysqlServer |
| Azure Database for MySQL – enskild server | Microsoft.DBforMySQL/servers | mysqlServer |
| Azure Database for PostgreSQL – flexibel server | Microsoft.DBforPostgreSQL/flexibleServers | postgresqlServer |
| Azure Database for PostgreSQL – enskild server | Microsoft.DBforPostgreSQL/servers | postgresqlServer |
| Azure Databricks | Microsoft.Databricks/arbetsytor | databricks_ui_api, browser_authentication |
| Azure Device Provisioning Service | Microsoft.Devices/provisioningServices | iotDps |
| Azure Digital Twins | Microsoft.DigitalTwins/digitalTwinsInstances | API |
| Azure Event Grid | Microsoft.EventGrid/domains | domain |
| Azure Event Grid | Microsoft.EventGrid/topics | Avsnitt |
| Azure Event Hub | Microsoft.EventHub/namnrymder | namnområde |
| Azure File Sync | Microsoft.StorageSync/storageSyncServices | Filsynkroniseringstjänst |
| Azure HDInsight | Microsoft.HDInsight/clusters | cluster |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps | IoTApps |
| Azure IoT Hub | Microsoft.Devices/IotHubs | iotHub |
| Azure Key Vault | Microsoft.KeyVault/vaults | valv |
| Azure Key Vault HSM (maskinvarusäkerhetsmodul) | Microsoft.Keyvault/managedHSMs | HSM |
| Azure Kubernetes Service – Kubernetes API | Microsoft.ContainerService/managedClusters | management |
| Azure Machine Learning | Microsoft.MachineLearningServices/register | amlregistry |
| Azure Machine Learning | Microsoft.MachineLearningServices/arbetsytor | amlworkspace |
| Azure Managed Disks | Microsoft.Compute/diskAccesses | hanterad disk |
| Azure Media Services | Microsoft.Media/mediaservices | keydelivery, liveevent, streamingendpoint |
| Azure Migrate | Microsoft.Migrate/assessmentProjects | projekt |
| Azure Monitor Private Link-omfång | Microsoft.Insights/privatelinkscopes | azuremonitor |
| Azure Relay | Microsoft.Relay/namespaces | namnområde |
| Azure Service Bus | Microsoft.ServiceBus/namespaces | namnområde |
| Azure SignalR Service | Microsoft.SignalRService/SignalR | signalr |
| Azure SignalR Service | Microsoft.SignalRService/webPubSub | webpubsub |
| Azure SQL Database | Microsoft.Sql/servers | SQL Server (sqlServer) |
| Azure SQL Managed Instance | Microsoft.Sql/managedInstances | managedInstance |
| Azure Static Web Apps | Microsoft.Web/staticSites | staticSites |
| Azure Storage | Microsoft.Storage/storageAccounts | Blob (blob, blob_secondary) Tabell (tabell, table_secondary) Kö (kö, queue_secondary) Fil (fil, file_secondary) Webb (webb, web_secondary) Dfs (dfs, dfs_secondary) |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | webb |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Sql, SqlOnDemand, Dev |
| Azure Virtual Desktop – värdpooler | Microsoft.DesktopVirtualization/hostpools | anslutning |
| Azure Virtual Desktop – arbetsytor | Microsoft.DesktopVirtualization/workspaces | feed globalt |
| Device Update for IoT Hub | Microsoft.DeviceUpdate/accounts | DeviceUpdate |
| Integrationskonto (Premium) | Microsoft.Logic/integrationAccounts | integrationAccount |
| Microsoft Purview | Microsoft.Purview/accounts | konto |
| Microsoft Purview | Microsoft.Purview/accounts | portal |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| Private Link-tjänsten (din egen tjänst) | Microsoft.Network/privateLinkServices | empty |
| Privata länkar för resurshantering | Microsoft.Authorization/resourceManagementPrivateLinks | ResourceManagement |
Kommentar
Du kan bara skapa privata slutpunkter på ett Generell användning v2-lagringskonto (GPv2).
Nätverkssäkerhet för privata slutpunkter
När du använder privata slutpunkter skyddas trafiken till en privat länkresurs. Plattformen validerar nätverksanslutningar så att endast de som når den angivna private-link-resursen tillåts. För att få åtkomst till fler underresurser inom samma Azure-tjänst krävs fler privata slutpunkter med motsvarande mål. När det gäller Azure Storage skulle du till exempel behöva separata privata slutpunkter för att komma åt fil- och blobunderresurserna .
Privata slutpunkter tillhandahåller en privat tillgänglig IP-adress för Azure-tjänsten, men begränsar inte nödvändigtvis åtkomsten till det offentliga nätverket. Alla andra Azure-tjänster kräver dock ytterligare åtkomstkontroller. De här kontrollerna ger dina resurser ett extra nätverkssäkerhetslager, vilket ger skydd som förhindrar åtkomst till Azure-tjänsten som är associerad med private-link-resursen.
Privata slutpunkter stöder nätverksprinciper. Nätverksprinciper möjliggör stöd för nätverkssäkerhetsgrupper (NSG), användardefinierade vägar (UDR) och programsäkerhetsgrupper (ASG). Mer information om hur du aktiverar nätverksprinciper för en privat slutpunkt finns i Hantera nätverksprinciper för privata slutpunkter. Information om hur du använder en ASG med en privat slutpunkt finns i Konfigurera en programsäkerhetsgrupp (ASG) med en privat slutpunkt.
Åtkomst till en privat länkresurs med hjälp av arbetsflödet för godkännande
Du kan ansluta till en privat länkresurs med hjälp av följande metoder för anslutningsgodkännande:
Godkänn automatiskt: Använd den här metoden när du äger eller har behörighet för den specifika private-link-resursen. De behörigheter som krävs baseras på resurstypen private-link i följande format:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/actionBegär manuellt: Använd den här metoden när du inte har de behörigheter som krävs och vill begära åtkomst. Ett arbetsflöde för godkännande initieras. Privata slutpunkter och senare privata slutpunktsanslutningar skapas i ett väntande tillstånd. Resursägaren för den privata länken ansvarar för att godkänna anslutningen. När den har godkänts är den privata slutpunkten aktiverad för att skicka trafik normalt, enligt följande arbetsflödesdiagram för godkännande:
Via en privat slutpunktsanslutning kan en resursägare med privat länk:
- Granska all information om anslutning till privat slutpunkt.
- Godkänn en privat slutpunktsanslutning. Motsvarande privata slutpunkt är aktiverad för att skicka trafik till resursen private-link.
- Avvisa en privat slutpunktsanslutning. Motsvarande privata slutpunkt uppdateras för att återspegla statusen.
- Ta bort en privat slutpunktsanslutning i alla tillstånd. Motsvarande privata slutpunkt uppdateras med ett frånkopplat tillstånd för att återspegla åtgärden. Ägaren av den privata slutpunkten kan bara ta bort resursen i det här läget.
Kommentar
Endast privata slutpunkter i tillståndet Godkänd kan skicka trafik till en angiven privat länkresurs.
Ansluta med hjälp av ett alias
Ett alias är en unik moniker som genereras när en tjänstägare skapar en privat länktjänst bakom en standardlastbalanserare. Tjänstägare kan dela det här aliaset offline med användare av din tjänst.
Konsumenterna kan begära en anslutning till en privat länktjänst med hjälp av antingen resurs-URI:n eller aliaset. Om du vill ansluta med hjälp av aliaset skapar du en privat slutpunkt med hjälp av metoden för manuellt anslutningsgodkännande. Om du vill använda metoden för manuell anslutningsgodkännande anger du parametern för manuell begäran till True under flödet för att skapa privat slutpunkt. Mer information finns i New-AzPrivateEndpoint och az network private-endpoint create.
Kommentar
Den här manuella begäran kan godkännas automatiskt om konsumentens prenumeration är tillåten på providersidan. Mer information finns i Kontrollera tjänståtkomst.
DNS-konfiguration
De DNS-inställningar som du använder för att ansluta till en privat länkresurs är viktiga. Befintliga Azure-tjänster kanske redan har en DNS-konfiguration som du kan använda när du ansluter via en offentlig slutpunkt. För att ansluta till samma tjänst via privat slutpunkt krävs separata DNS-inställningar, som ofta konfigureras via privata DNS-zoner. Kontrollera att DNS-inställningarna är korrekta när du använder det fullständigt kvalificerade domännamnet (FQDN) för anslutningen. Inställningarna måste matcha den privata IP-adressen för den privata slutpunkten.
Nätverksgränssnittet som är associerat med den privata slutpunkten innehåller den information som krävs för att konfigurera DIN DNS. Informationen innehåller FQDN och den privata IP-adressen för en privat länkresurs.
Fullständig, detaljerad information om rekommendationer för att konfigurera DNS för privata slutpunkter finns i DNS-konfiguration för privat slutpunkt.
Begränsningar
Följande information visar de kända begränsningarna för användningen av privata slutpunkter:
Statisk IP-adress
| Begränsning | beskrivning |
|---|---|
| Konfigurationen av statiska IP-adresser stöds för närvarande inte. | Azure Kubernetes Service (AKS) Azure Application Gateway HD Insight Recovery Services Vaults Private Link-tjänster från tredje part |
Nätverkssäkerhetsgrupp
| Begränsning | beskrivning |
|---|---|
| Effektiva vägar och säkerhetsregler är inte tillgängliga för nätverksgränssnittet för privata slutpunkter. | Effektiva vägar och säkerhetsregler visas inte för det privata slutpunktskortet i Azure Portal. |
| NSG-flödesloggar stöds inte. | NSG-flödesloggar är inte tillgängliga för inkommande trafik som är avsedd för en privat slutpunkt. |
| Högst 50 medlemmar i en programsäkerhetsgrupp. | Femtio är antalet IP-konfigurationer som kan kopplas till varje respektive ASG som är kopplat till NSG:n i det privata slutpunktsundernätet. Anslutningsfel kan inträffa med fler än 50 medlemmar. |
| Målportintervall stöds upp till en faktor på 250 K. | Målportintervall stöds som en multiplikationskällaAddressPrefixes, DestinationAddressPrefixes och DestinationPortRanges. Exempel på inkommande regel: En källa * ett mål * 4K portRanges = 4K Giltiga 10 källor * 10 mål * 10 portRanges = 1 K Giltiga 50 källor * 50 mål * 50 portRanges = 125 K Giltiga 50 källor * 50 mål * 100 portRanges = 250 K Giltiga 100 källor * 100 mål * 100 portRanges = 1M Ogiltig, NSG har för många källor/mål/portar. |
| Källportfiltrering tolkas som * | Källportfiltrering används inte aktivt som ett giltigt scenario för trafikfiltrering för trafik som är avsedd för en privat slutpunkt. |
| Funktionen är inte tillgänglig i utvalda regioner. | För närvarande inte tillgänglig i följande regioner: Västra Indien Australien, centrala 2 Sydafrika, västra Brasilien, sydöstra Alla regeringsregioner Alla Kina-regioner |
NSG fler överväganden
Utgående trafik som nekas från en privat slutpunkt är inte ett giltigt scenario eftersom tjänstleverantören inte kan komma från trafik.
Följande tjänster kan kräva att alla målportar är öppna när du använder en privat slutpunkt och lägger till NSG-säkerhetsfilter:
- Azure Cosmos DB – Mer information finns i Tjänstportintervall.
UDR
| Begränsning | beskrivning |
|---|---|
| SNAT rekommenderas alltid. | På grund av det privata slutpunktsdataplanets varierande karaktär rekommenderar vi SNAT-trafik som är avsedd för en privat slutpunkt för att säkerställa att returtrafiken respekteras. |
| Funktionen är inte tillgänglig i utvalda regioner. | För närvarande inte tillgänglig i följande regioner: Västra Indien Australien, centrala 2 Sydafrika, västra Brasilien, sydöstra |
Programsäkerhetsgrupp
| Begränsning | beskrivning |
|---|---|
| Funktionen är inte tillgänglig i utvalda regioner. | För närvarande inte tillgänglig i följande regioner: Västra Indien Australien, centrala 2 Sydafrika, västra Brasilien, sydöstra |
Nästa steg
Mer information om privata slutpunkter och Private Link finns i Vad är Azure Private Link?.
Information om hur du kommer igång med att skapa en privat slutpunkt för en webbapp finns i Snabbstart: Skapa en privat slutpunkt med hjälp av Azure Portal.