Så här fungerar Azure Private Link

  • 10 minuter

Du är bekant med de grundläggande funktionerna och fördelarna med Private Link. Nu ska vi undersöka hur Private Link fungerar. I synnerhet ska vi överväga hur det fungerar med Private Endpoint och Private Link Service för att erbjuda privat åtkomst till Azure-tjänster. Den här informationen hjälper dig att utvärdera om Private Link är rätt lösning för ditt företag.

Private Link ger privat åtkomst till Azure-tjänster. Här innebär "privat" att anslutningen använder Microsoft Azure-stamnätverket i stället för Internet. För att göra den växeln ändrar Private Link anslutningsmetoden för Azure-resursen från offentlig slutpunkt till privat slutpunkt.

Nu har du inte åtkomst till Azure-resursen med hjälp av en offentlig IP-adress. I stället använder du en privat IP-adress som Azure tilldelar resursen från adressutrymmet i undernätet.

Den viktigaste takeawayen? Azure-resursen är nu i praktiken en del av ditt virtuella nätverk. Klienter i nätverket kan komma åt den här Private Link-resursen precis som andra nätverksresurser.

För ännu större säkerhet använder anslutningen till resursen nu Microsoft Azure-stamnätverket. Det vill: all trafik till och från resursen kringgår helt det offentliga Internet.

Resursens offentliga slutpunkt finns dock fortfarande, även om du inte använder den. Förekomsten av en offentlig slutpunkt, även en oanvänd, är fortfarande en säkerhetsrisk. Lyckligtvis är det möjligt att inaktivera Azure-resursens offentliga slutpunkt, vilket kringgår det potentiella säkerhetsproblemet.

Så här fungerar privat Slutpunkt i Azure

Hur flyttar du ett resursgränssnitt från offentligt till privat? Lägg till en privat Azure-slutpunkt i nätverkskonfigurationen. Privat slutpunkt är ett nätverksgränssnitt som skapar en privat anslutning mellan ditt virtuella nätverk och en angiven Azure-resurs.

Privat slutpunkt tar en oanvänd privat IP-adress från adressutrymmet för ett angivet undernät i det virtuella nätverket. Anta till exempel att du har ett undernät som använder adressutrymmet 10.1.0.0/24. Virtuella datorer i det undernätet använder IP-adresser som 10.1.0.20 eller 10.1.0.155.

Privat slutpunkt hämtar en IP-adress från samma adressutrymme, till exempel 10.1.0.32. Privat slutpunkt mappar sedan adressen till en angiven Azure-tjänst. Med hjälp av den privata IP-adressen förs tjänsten effektivt in i ditt virtuella nätverk.

Kommentar

Klienter som ansluter till en Private Link-resurs behöver inte använda den privata slutpunktens tilldelade IP-adress i anslutningssträng. Om du i stället konfigurerar den privata slutpunkten så att den integreras med din privata DNS-zon tilldelar Azure automatiskt ett FQDN till slutpunkten. Om Private Link-resursen till exempel är en Azure Storage-tabell blir FQDN ungefär som mystorageaccount1234.table.core.windows.net.

Här följer några viktiga saker att tänka på när du utvärderar privat slutpunkt:

  • Privat slutpunkt erbjuder privat anslutning mellan virtuella datorer och andra klienter i ditt virtuella Azure-nätverk och Private Link-baserade Azure-tjänster.
  • Privat slutpunkt erbjuder privat anslutning mellan dina regionalt peer-kopplade virtuella nätverk och Private Link-baserade Azure-tjänster.
  • Privat slutpunkt erbjuder privat anslutning mellan dina globalt peer-kopplade virtuella nätverk och Private Link-baserade Azure-tjänster.
  • Privat slutpunkt erbjuder privat anslutning mellan ditt lokala nätverk – anslutet via ExpressRoute Private Peering eller ett VPN – och Privata Link-baserade Azure-tjänster.
  • Du kan distribuera högst 1 000 privata slutpunktsgränssnitt per virtuellt nätverk.
  • Du kan distribuera högst 64 000 privata slutpunktsgränssnitt per Azure-prenumeration.
  • Du kan mappa högst 1 000 privata slutpunktsgränssnitt till samma Private Link-resurs.

Varning

Även om det är möjligt att mappa flera privata slutpunktsgränssnitt till en enskild resurs rekommenderas det inte eftersom detta kan leda till DNS-konflikter och andra problem. Det bästa sättet är att endast mappa en enskild privat slutpunkt till en enskild Private Link-resurs.

  • Anslut ions är ett sätt, vilket innebär att endast klienter kan ansluta till ett privat slutpunktsgränssnitt. Om en Azure-tjänst mappas till ett privat slutpunktsgränssnitt kan providern av den tjänsten inte ansluta till (eller ens uppfatta) gränssnittet för den privata slutpunkten.
  • Ett distribuerat privat slutpunktsgränssnitt är skrivskyddat, vilket innebär att ingen kan ändra det. Ingen kan till exempel mappa gränssnittet till en annan resurs och ingen kan heller ändra gränssnittets IP-adress.
  • Även om du måste distribuera den privata slutpunkten i samma region som ditt virtuella nätverk, kan Private Link-resursen finnas i en annan region.

Kommentar

Vad är skillnaden mellan en tjänstslutpunkt och en privat slutpunkt? En tjänstslutpunkt konfigurerar en Azure-resurs för att endast tillåta anslutningar från ett angivet virtuellt nätverk. Anslutningen görs dock fortfarande via resursens offentliga slutpunkt, så vissa säkerhetsrisker kvarstår. Privat slutpunkt tar bort dessa risker genom att stödja inaktivering av en resurs offentliga slutpunkt.

Azure Private Link Service ger fördelarna med Private Link till dina anpassade Azure-tjänster. Det enda kravet är att du kör din anpassade tjänst bakom Azure Standard Load Balancer. Du kan sedan skapa en Private Link Service-resurs och koppla den till lastbalanseraren.

Varning

Azure erbjuder två versioner av lastbalanseraren: basic och standard. Basic Load Balancer stöder inte Private Link Service, så se till att du använder Standard Load Balancer.

När du har skapat Private Link Service-resursen utfärdar Azure ett alias för resursen, som är en globalt unik skrivskyddad sträng med syntaxprefixet.guid.suffix:

  • prefix. Ett namn som du anger för den anpassade tjänsten.
  • guid. Ett globalt unikt ID som genereras automatiskt av Azure.
  • suffix. Textregionen.azure.privatelinkservice; regionen är den region där Private Link-tjänsten distribueras.

Du delar private link-tjänstens alias med användarna av din anpassade tjänst. Varje konsument konfigurerar sedan en privat slutpunkt i sitt eget virtuella Azure-nätverk. Konsumenten mappar sedan slutpunkten till Private Link Service-aliaset.

Här är några viktiga saker att tänka på när du utvärderar Private Link-tjänsten:

  • Din Private Link-tjänst kan nås via en privat slutpunkt i alla offentliga regioner.
  • Private Link-tjänsten måste distribueras i samma region som standardlastbalanseraren och det virtuella nätverk som är värd för din anpassade Azure-tjänst.
  • Du kan distribuera högst 800 Private Link Service-resurser per Azure-prenumeration.
  • Högst 1 000 privata slutpunktsgränssnitt kan mappas till en enskild Private Link Service-resurs.
  • Du kan distribuera flera Private Link Service-resurser på samma standardlastbalanserare med olika IP-konfigurationer på klientsidan.

Färdigställa allt

Är målet att få åtkomst till en Azure-resurs utan att använda det offentliga Internet? Vill du erbjuda en anpassad Azure-resurs privat? Om du svarade ja på en eller båda frågorna får Private Link, Private Endpoint och Private Link Service jobbet gjort på följande sätt:

  • Om du vill få privat åtkomst till en Azure PaaS-tjänst eller en Azure-tjänst från en Microsoft-partner skapar du en privat slutpunkt i ett undernät i ditt virtuella Azure-nätverk. Den privata slutpunkten använder Private Link för att komma åt Azure-tjänsten med hjälp av en privat IP-adress via Microsoft Azure-stamnätet. Peer-kopplade virtuella nätverk och lokala nätverk som använder privat ExpressRoute-peering eller en VPN-tunnel kan också komma åt Azure-tjänsten via den privata slutpunkten.
  • Om du vill erbjuda privat åtkomst till en anpassad Azure-tjänst placerar du tjänsten bakom en standardlastbalanserare, skapar en Private Link Service-resurs och kopplar den till lastbalanserarens IP-konfiguration på klientsidan.

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing Azures services via a private IP address mapped by Private Endpoint.