Vad är Azure Private Link tjänst?

Azure Private Link tjänst är referensen till din egen tjänst som drivs av Azure Private Link. Din tjänst som körs bakom Azure Standard Load Balancer kan aktiveras för Private Link åtkomst så att användare av tjänsten kan komma åt den privat från sina egna virtuella nätverk. Dina kunder kan skapa en privat slutpunkt i sitt virtuella nätverk och mappa den till den här tjänsten. Den här artikeln beskriver begrepp som rör tjänstleverantörssidan.

Arbetsflöde för tjänsten Private Link

Bild: Azure Private Link Service.

Arbetsflöde

Private Link tjänstarbetsflöde

Bild: Azure Private Link tjänstarbetsflöde.

  • Konfigurera programmet så att det körs bakom en standardlastbalanserare i det virtuella nätverket. Om du redan har konfigurerat ditt program bakom en standardlastbalanserare kan du hoppa över det här steget.

  • Skapa en Private Link-tjänst som refererar till lastbalanseraren ovan. I markeringsprocessen för lastbalanseraren väljer du ip-konfigurationen för klientdelen där du vill ta emot trafiken. Välj ett undernät för NAT IP-adresser för Private Link-tjänsten. Vi rekommenderar att minst åtta NAT IP-adresser är tillgängliga i undernätet. All konsumenttrafik verkar komma från den här poolen med privata IP-adresser till tjänstleverantören. Välj lämpliga egenskaper/inställningar för Private Link-tjänsten.

    Anteckning

    Azure Private Link Service stöds endast på Standard Load Balancer.

Dela din tjänst

När du har skapat en Private Link-tjänst genererar Azure en globalt unik moniker med namnet "alias" baserat på namnet du anger för din tjänst. Du kan dela antingen aliaset eller resurs-URI:n för din tjänst med dina kunder offline. Konsumenter kan starta en Private Link anslutning med hjälp av aliaset eller resurs-URI:n.

Hantera dina anslutningsbegäranden

När en konsument har initierat en anslutning kan tjänstleverantören godkänna eller avvisa anslutningsbegäran. Alla anslutningsbegäranden visas under egenskapen privateendpointconnections i Private Link-tjänsten.

Ta bort din tjänst

Om tjänsten Private Link inte längre används kan du ta bort den. Innan du tar bort tjänsten kontrollerar du dock att det inte finns några privata slutpunktsanslutningar kopplade till den. Du kan avvisa alla anslutningar och ta bort tjänsten.

Egenskaper

En Private Link-tjänst anger följande egenskaper:

Egenskap Förklaring
Etableringstillstånd (provisioningState) En skrivskyddad egenskap som visar det aktuella etableringstillståndet för Private Link-tjänsten. Tillämpliga etableringstillstånd är: "Ta bort; Misslyckades; Lyckades; Uppdaterar". När etableringstillståndet är "Lyckades" har du etablerat din Private Link-tjänst.
Alias (alias) Alias är en globalt unik skrivskyddad sträng för din tjänst. Det hjälper dig att maskera kunddata för din tjänst och skapar samtidigt ett namn som är enkelt att dela för din tjänst. När du skapar en Private Link-tjänst genererar Azure aliaset för din tjänst som du kan dela med dina kunder. Dina kunder kan använda det här aliaset för att begära en anslutning till tjänsten.
Synlighet (synlighet) Synlighet är egenskapen som styr exponeringsinställningarna för din Private Link-tjänst. Tjänstleverantörer kan välja att begränsa exponeringen för sina tjänster till prenumerationer med Azure-behörigheter för rollbaserad åtkomstkontroll (Azure RBAC), en begränsad uppsättning prenumerationer eller alla Azure-prenumerationer.
Automatiskt godkännande (autoapproval) Automatiskt godkännande styr automatisk åtkomst till Private Link-tjänsten. Prenumerationerna som anges i listan med automatiskt godkännande godkänns automatiskt när en anslutning begärs från privata slutpunkter i dessa prenumerationer.
Load Balancer IP-konfiguration för klientdelen (loadBalancerFrontendIpConfigurations) Private Link-tjänsten är kopplad till klientdelens IP-adress för en Standard Load Balancer. All trafik som är avsedd för tjänsten når klientdelen av SLB. Du kan konfigurera SLB-regler för att dirigera trafiken till lämpliga serverdelspooler där dina program körs. IP-konfigurationer för lastbalanserarens klientdel skiljer sig från NAT IP-konfigurationer.
NAT IP-konfiguration (ipConfigurations) Den här egenskapen refererar till IP-konfigurationen för NAT (network address translation) för Private Link-tjänsten. NAT IP kan väljas från valfritt undernät i en tjänstleverantörs virtuella nätverk. Private Link-tjänsten utför NAT-ing på målsidan för Private Link trafik. Detta säkerställer att det inte finns någon IP-konflikt mellan källadressutrymmet (konsumentsidan) och målleverantören. På målsidan (tjänstprovidersidan) visas NAT IP-adressen som käll-IP för alla paket som tas emot av din tjänst och mål-IP för alla paket som skickas av din tjänst.
Privata slutpunktsanslutningar (privateEndpointConnections) Den här egenskapen visar de privata slutpunkter som ansluter till Private Link-tjänsten. Flera privata slutpunkter kan ansluta till samma Private Link och tjänstleverantören kan styra tillståndet för enskilda privata slutpunkter.
TCP Proxy V2 (EnableProxyProtocol) Med den här egenskapen kan tjänstleverantören använda tcp proxy v2 för att hämta anslutningsinformation om tjänstkonsumenten. Tjänstprovidern ansvarar för att konfigurera mottagarkonfigurationer för att kunna parsa proxyprotokollets v2-huvud.

Information

  • Private Link tjänst kan nås från godkända privata slutpunkter i alla offentliga regioner. Den privata slutpunkten kan nås från samma virtuella nätverk, regionalt peerkopplade virtuella nätverk, globalt peerkopplade virtuella nätverk och lokalt med privata VPN- eller ExpressRoute-anslutningar.

  • När du skapar en Private Link Service skapas ett nätverksgränssnitt för resursens livscykel. Det här gränssnittet kan inte hanteras av kunden.

  • Private Link-tjänsten måste distribueras i samma region som det virtuella nätverket och Standard Load Balancer.

  • En enda Private Link-tjänst kan nås från flera privata slutpunkter som tillhör olika virtuella nätverk, prenumerationer och/eller Active Directory-klienter. Anslutningen upprättas via ett anslutningsarbetsflöde.

  • Flera Private Link tjänster kan skapas på samma Standard Load Balancer med olika IP-konfigurationer på klientsidan. Det finns gränser för antalet Private Link tjänster som du kan skapa per Standard Load Balancer och per prenumeration. Läs mer i informationen om begränsningar för Azure.

  • Private Link-tjänsten kan ha fler än en NAT IP-konfiguration som är länkad till den. Om du väljer fler än en NAT IP-konfiguration kan du hjälpa tjänsteleverantörer att skala. I dag kan tjänstleverantörer tilldela upp till åtta NAT IP-adresser per Private Link tjänst. Med varje NAT IP-adress kan du tilldela fler portar för dina TCP-anslutningar och därmed skala ut. När du har lagt till flera NAT IP-adresser i en Private Link-tjänst kan du inte ta bort NAT IP-adresserna. Detta görs för att säkerställa att aktiva anslutningar inte påverkas när NAT IP-adresserna tas bort.

Alias

Alias är ett globalt unikt namn för din tjänst. Det hjälper dig att maskera kunddata för din tjänst och skapar samtidigt ett namn som är enkelt att dela för din tjänst. När du skapar en Private Link-tjänst genererar Azure ett alias för din tjänst som du kan dela med dina kunder. Dina kunder kan använda det här aliaset för att begära en anslutning till tjänsten.

Aliaset består av tre delar: Prefix. GUID. Suffix

  • Prefixet är tjänstnamnet. Du kan välja ditt eget prefix. När "Alias" har skapats kan du inte ändra det, så välj prefixet på rätt sätt.
  • GUID tillhandahålls av plattformen. Detta hjälper till att göra namnet globalt unikt.
  • Suffixet läggs till av Azure: region.azure.privatelinkservice

Fullständigt alias: Prefix. {GUID}. region.azure.privatelinkservice

Kontrollera tjänstexponering

Tjänsten Private Link ger dig tre alternativ i synlighetsinställningen för att kontrollera exponeringen för din tjänst. Synlighetsinställningen avgör om en konsument kan ansluta till din tjänst. Här är alternativen för synlighetsinställningar, från de mest restriktiva till minst restriktiva:

  • Endast rollbaserad åtkomstkontroll: Om din tjänst är för privat användning från olika virtuella nätverk som du äger kan du använda RBAC som en mekanism för åtkomstkontroll i prenumerationer som är associerade med samma Active Directory-klientorganisation. Obs! Synlighet mellan klientorganisationer tillåts via RBAC.
  • Begränsad efter prenumeration: Om din tjänst kommer att användas i olika klientorganisationer kan du begränsa exponeringen till en begränsad uppsättning prenumerationer som du litar på. Auktoriseringar kan förhandsgodkännas.
  • Alla med ditt alias: Om du vill göra tjänsten offentlig och tillåta att alla med ditt Private Link-tjänstalias begär en anslutning väljer du det här alternativet.

Kontrollera tjänståtkomst

Konsumenter som har exponering (styrs av synlighetsinställning) för din Private Link-tjänst kan skapa en privat slutpunkt i sina virtuella nätverk och begära en anslutning till din Private Link-tjänst. Den privata slutpunktsanslutningen skapas i tillståndet "Väntar" på Private Link-tjänstobjektet. Tjänstleverantören ansvarar för att agera på anslutningsbegäran. Du kan antingen godkänna anslutningen, avvisa anslutningen eller ta bort anslutningen. Endast anslutningar som är godkända kan skicka trafik till Private Link-tjänsten.

Åtgärden att godkänna anslutningarna kan automatiseras med hjälp av egenskapen för automatiskt godkännande i Private Link-tjänsten. Automatiskt godkännande är en möjlighet för tjänstleverantörer att i förväg godkänna en uppsättning prenumerationer för automatisk åtkomst till tjänsten. Kunder måste dela sina prenumerationer offline för att tjänsteleverantörer ska kunna lägga till dem i listan över automatiska godkännanden. Automatiskt godkännande är en delmängd av synlighetsmatrisen. Synlighet styr exponeringsinställningarna medan automatiskt godkännande styr godkännandeinställningarna för din tjänst. Om en kund begär en anslutning från en prenumeration i listan över automatiskt godkännande godkänns anslutningen automatiskt och anslutningen upprättas. Tjänstleverantörer behöver inte godkänna begäran manuellt längre. Å andra sidan, om en kund begär en anslutning från en prenumeration i synlighetsmatrisen och inte i matrisen för automatiskt godkännande, når begäran tjänstleverantören, men tjänsteleverantören måste godkänna anslutningarna manuellt.

Hämta anslutningsinformation med TCP Proxy v2

När du använder private link-tjänsten är käll-IP-adressen för paketen som kommer från den privata slutpunkten nätverksadress översatt (NAT) på tjänstleverantörssidan med hjälp av DEN NAT-IP som allokerats från leverantörens virtuella nätverk. Därför får programmen den allokerade NAT IP-adressen i stället för den faktiska käll-IP-adressen för tjänstkonsumenterna. Om ditt program behöver den faktiska käll-IP-adressen från konsumentsidan kan du aktivera Proxyprotokoll för din tjänst och hämta informationen från proxyprotokollhuvudet. Förutom källans IP-adress har proxyprotokollhuvudet även LinkID för den privata slutpunkten. En kombination av källans IP-adress och LinkID kan hjälpa tjänsteleverantörer att unikt identifiera sina konsumenter. Mer information om proxyprotokoll finns här.

Den här informationen kodas med hjälp av en anpassad TLV-vektor (Type-Length-Value) enligt följande:

Anpassad information om TLV:

Fält Längd (oktetter) Beskrivning
Typ 1 PP2_TYPE_AZURE (0xEE)
Längd 2 Värdelängd
Värde 1 PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01)
4 UINT32 (4 byte) som representerar LINKID för den privata slutpunkten. Kodad i lite endianskt format.

Anteckning

Tjänstleverantören ansvarar för att se till att tjänsten bakom standardlastbalanseraren är konfigurerad för att parsa proxyprotokollhuvudet enligt specifikationen när proxyprotokollet är aktiverat på private link-tjänsten. Begäran misslyckas om proxyprotokollinställningen är aktiverad på private link-tjänsten, men tjänstleverantörens tjänst inte har konfigurerats för att parsa huvudet. På samma sätt misslyckas begäran om tjänstleverantörens tjänst förväntar sig ett proxyprotokollhuvud medan inställningen inte är aktiverad på private link-tjänsten. När inställningen för proxyprotokoll har aktiverats inkluderas även proxyprotokollhuvudet i HTTP/TCP-hälsoavsökningar från värden till de virtuella serverdelsdatorerna, även om det inte finns någon klientinformation i huvudet.

Matchningen LINKID som är en del av PROTOKOLLET PROXYv2 (TLV) finns i PrivateEndpointConnection som -egenskapen linkIdentifier. Mer information finns i Private Link Services API.

Begränsningar

Följande är de kända begränsningarna när du använder Private Link-tjänsten:

  • Stöds endast på Standard Load Balancer. Stöds inte på Basic Load Balancer.
  • Stöds endast på Standard Load Balancer där serverdelspoolen konfigureras av nätverkskortet när du använder VM/VMSS.
  • Stöder endast IPv4-trafik
  • Stöder endast TCP- och UDP-trafik
  • Private Link Service har en tidsgräns för inaktivitet på ~5 minuter (300 sekunder). För att undvika att den här gränsen nås måste program som ansluter via Private Link Service använda TCP Keep Alives lägre än den tiden.

Nästa steg