Özel uç nokta nedir?

  • Makale
  • Okumak için 9 dakika

Özel uç nokta, sanal ağınızdaki bir özel IP adresini kullanan bir ağ arabirimidir. Bu ağ arabirimi sizi Azure Özel Bağlantı ile desteklenen bir hizmete özel olarak ve güvenle bağlar. Özel uç noktayı etkinleştirerek hizmeti sanal ağınıza getirmiş olursunuz.

Hizmet aşağıdakiler gibi bir Azure hizmeti olabilir:

Özel uç nokta özellikleri

Özel uç nokta aşağıdaki özellikleri belirtir:

Özellik Açıklama
Ad Kaynak grubu içinde benzersiz bir ad.
Alt ağ Özel IP adresinin atandığı dağıtılacak alt ağ. Alt ağ gereksinimleri için bu makalenin devamında yer alan Sınırlamalar bölümüne bakın.
Özel bağlantı kaynağı Kullanılabilir türler listesinden kaynak kimliği veya diğer ad kullanarak bağlanılacak özel bağlantı kaynağı. Bu kaynağa gönderilen tüm trafik için benzersiz bir ağ tanımlayıcısı oluşturulur.
Hedef alt kaynak Bağlanacak alt kaynak. Her özel bağlantı kaynak türünün tercihe göre seçecek çeşitli seçenekleri vardır.
Bağlantı onay yöntemi Otomatik veya el ile. Azure rol tabanlı erişim denetimi (RBAC) izinlerine bağlı olarak özel uç noktanız otomatik olarak onaylanabilir. Azure RBAC izinleri olmadan bir özel bağlantı kaynağına bağlanıyorsanız, kaynağın sahibinin bağlantıyı onaylamasına izin vermek için el ile yöntemini kullanın.
İstek iletisi İstenen bağlantıların el ile onaylanması için bir ileti belirtebilirsiniz. Bu ileti belirli bir isteği tanımlamak için kullanılabilir.
Bağlantı durumu Özel uç noktanın etkin olup olmadığını belirten salt okunur bir özellik. Trafiği göndermek için yalnızca onaylanan durumdaki özel uç noktalar kullanılabilir. Diğer kullanılabilir durumlar:
  • Onaylandı: Bağlantı otomatik olarak veya el ile onaylandı ve kullanılmaya hazır.
  • Beklemede: Bağlantı el ile oluşturuldu ve özel bağlantı kaynak sahibi tarafından onay bekliyor.
  • Reddedildi: Bağlantı özel bağlantı kaynak sahibi tarafından reddedildi.
  • Bağlantısı kesildi: Bağlantı, özel bağlantı kaynağı sahibi tarafından kaldırıldı. Özel uç nokta bilgilendirici hale gelir ve temizleme için silinmelidir.

    • Özel uç noktalar oluştururken aşağıdakileri göz önünde bulundurun:

    • Özel uç noktalar, müşteriler arasında aynı bağlantının etkinleştirilmesini sağlar:

      • Sanal ağ
      • Bölgesel olarak eşlenmiş sanal ağlar
      • Genel olarak eşlenmiş sanal ağlar
      • VPN veya Express Route kullanan şirket içi ortamlar
      • Özel Bağlantı tarafından desteklenen hizmetler

    • Ağ bağlantıları yalnızca özel uç noktaya bağlanan istemciler tarafından başlatılabilir. Hizmet sağlayıcılarının hizmet müşterilerine bağlantı oluşturmak için yönlendirme yapılandırması yoktur. Bağlantılar yalnızca tek bir yönde kurulabilir.

    • Özel uç noktanın yaşam döngüsü için otomatik olarak salt okunur bir ağ arabirimi oluşturulur. Arabirime alt ağdan özel bağlantı kaynağına eşlenen dinamik bir özel IP adresi atanır. Özel IP adresinin değeri, özel uç noktanın yaşam döngüsünün tamamı için değişmeden kalır.

    • Özel uç noktanın sanal ağ ile aynı bölgede ve abonelikte dağıtılması gerekir.

    • Özel bağlantı kaynağı, sanal ağ ve özel uç nokta için olandan farklı bir bölgede dağıtılabilir.

    • Aynı özel bağlantı kaynağıyla birden çok özel uç nokta oluşturulabilir. Ortak bir DNS sunucusu yapılandırması kullanan tek bir ağ için önerilen uygulama, belirtilen özel bağlantı kaynağı için tek bir özel uç nokta kullanmaktır. DNS çözümlemesinde yinelenen girdileri veya çakışmaları önlemek için bu uygulamayı kullanın.

    • Aynı sanal ağ içindeki aynı veya farklı alt ağlarda birden çok özel uç nokta oluşturulabilir. Abonelikte oluşturabileceğiniz özel uç nokta sayısının sınırları vardır. Daha fazla bilgi için bkz. Azure sınırları.

    • Özel bağlantı kaynağını içeren aboneliğin Microsoft ağ kaynak sağlayıcısına kayıtlı olması gerekir. Özel uç noktayı içeren aboneliğin de Microsoft ağ kaynak sağlayıcısına kaydedilmesi gerekir. Daha fazla bilgi için bkz. Azure Kaynak Sağlayıcıları.

    Özel bağlantı kaynağı, belirtilen özel uç noktanın hedef hedefidir. Aşağıdaki tabloda özel uç noktayı destekleyen kullanılabilir kaynaklar listelenir:

    Özel bağlantı kaynak adı Kaynak türü Alt kaynaklar
    Azure Uygulama Yapılandırması Microsoft.Appconfiguration/configurationStores configurationStores
    Azure Otomasyonu Microsoft.Automation/automationAccounts Web Kancası, DSCAndHybridWorker
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Tablo
    Azure Batch Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Redis için Azure Cache Microsoft.Cache/Redis redisCache
    Redis için Azure Cache Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure Bilişsel Hizmetler Microsoft.CognitiveServices/accounts account
    Azure Yönetilen Diskleri Microsoft.Compute/diskAccesses yönetilen disk
    Azure Container Registry Microsoft.ContainerRegistry/kayıt defterleri registry
    Azure Kubernetes Service - Kubernetes API'si Microsoft.ContainerService/managedClusters yönetim
    Azure Data Factory Microsoft.DataFactory/factory Datafactory
    Azure Veri Gezgini Microsoft.Kusto/clusters cluster
    MariaDB için Azure Veritabanı Microsoft.DBforMariaDB/servers mariadbServer
    MySQL için Azure Veritabanı Microsoft.DBforMySQL/servers mysqlServer
    PostgreSQL için Azure Veritabanı - Tek sunucu Microsoft.DBforPostgreSQL/servers postgresqlServer
    Azure Cihaz Sağlama Hizmeti Microsoft.Devices/provisioningServices iotDps
    Azure IoT Hub Microsoft.Devices/IotHubs iotHub
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances API
    Azure Event Grid Microsoft.EventGrid/domains etki alanı
    Azure Event Grid Microsoft.EventGrid/topics konu başlığı
    Azure Event Hub Microsoft.EventHub/ad alanları ad alanı
    Azure HDInsight Microsoft.HDInsight/clusters cluster
    FHIR için Azure API (Hızlı Sağlık Hizmetleri Birlikte Çalışabilirlik Kaynakları) Microsoft.HealthcareApis/services fhir
    Azure Key Vault HSM (donanım güvenlik modülü) Microsoft.Keyvault/managedHSMs HSM
    Azure Key Vault Microsoft.KeyVault/vaults kasa
    Azure Machine Learning Microsoft.MachineLearningServices/workspaces amlworkspace
    Azure Geçişi Microsoft.Migrate/assessmentProjects proje
    Application Gateway Microsoft.Network/applicationgateways application gateway
    Özel Bağlantı hizmeti (kendi hizmetiniz) Microsoft.Network/privateLinkServices empty
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Microsoft Purview Microsoft.Purview/accounts account
    Microsoft Purview Microsoft.Purview/accounts portal
    Azure Backup Microsoft.RecoveryServices/vaults kasa
    Azure Geçişi Microsoft.Relay/ad alanları ad alanı
    Azure Bilişsel Arama Microsoft.Search/searchServices searchService
    Azure Service Bus Microsoft.ServiceBus/ad alanları ad alanı
    Azure SignalR Hizmeti Microsoft.SignalRService/SignalR sinyalleyici
    Azure SignalR Hizmeti Microsoft.SignalRService/webPubSub webpubsub
    Azure SQL Veritabanı Microsoft.Sql/servers SQL Server (sqlServer)
    Azure Depolama Microsoft.Storage/storageAccounts Blob (blob, blob_secondary)
    Tablo (tablo, table_secondary)
    Kuyruk (kuyruk, queue_secondary)
    Dosya (dosya, file_secondary)
    Web (web, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure Dosya Eşitleme Microsoft.StorageSync/storageSyncServices Dosya Eşitleme Hizmeti
    Azure Synapse Microsoft.Synapse/privateLinkHubs web
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Dev
    Azure App Service Microsoft.Web/hostingEnvironments barındırma ortamı
    Azure App Service Microsoft.Web/sites Siteler
    Azure Statik Web Uygulamaları Microsoft.Web/staticSites staticSites
    Azure Media Services Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint
    Azure Databricks Microsoft.Databricks/workspaces databricks_ui_api, browser_authentication

    Not

    Özel uç noktaları yalnızca Genel Amaçlı v2 (GPv2) depolama hesabında oluşturabilirsiniz.

    Özel uç noktaların ağ güvenliği

    Özel uç noktaları kullandığınızda trafiğin güvenliği bir özel bağlantı kaynağına sağlanır. Platform, ağ bağlantılarını doğrulayarak yalnızca belirtilen özel bağlantı kaynağına ulaşanlara izin verir. Aynı Azure hizmeti içindeki ek alt kaynaklara erişmek için karşılık gelen hedeflere sahip ek özel uç noktalar gerekir. Örneğin Azure Depolama söz konusu olduğunda dosya ve blob alt kaynaklarına erişmek için ayrı özel uç noktalara ihtiyacınız olacaktır.

    Özel uç noktalar, Azure hizmeti için özel olarak erişilebilir bir IP adresi sağlar, ancak genel ağ erişimini kısıtlamaz. Azure App Service ve Azure İşlevleri özel bir uç noktayla ilişkilendirildiğinde genel olarak erişilemez hale gelir. Ancak diğer tüm Azure hizmetleri için ek erişim denetimleri gerekir. Bu denetimler, kaynaklarınıza ek bir ağ güvenlik katmanı sağlayarak özel bağlantı kaynağıyla ilişkili Azure hizmetine erişimi önlemeye yardımcı olan koruma sağlar.

    Özel uç noktalar ağ ilkelerini destekler. Ağ ilkeleri Ağ Güvenlik Grupları (NSG), Kullanıcı Tanımlı Yollar (UDR) ve Uygulama Güvenlik Grupları (ASG) için destek sağlar. Özel uç nokta için ağ ilkelerini etkinleştirme hakkında daha fazla bilgi için bkz. Özel uç noktalar için ağ ilkelerini yönetme. AsG'yi özel uç noktayla kullanmak için bkz. Özel uç noktayla uygulama güvenlik grubu (ASG) yapılandırma.

    Aşağıdaki bağlantı onay yöntemlerini kullanarak bir özel bağlantı kaynağına bağlanabilirsiniz:

    • Otomatik olarak onayla: Belirli bir özel bağlantı kaynağına sahip olduğunuzda veya bu kaynak için izinlere sahip olduğunuzda bu yöntemi kullanın. Gerekli izinler, aşağıdaki biçimdeki özel bağlantı kaynak türünü temel alır:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • El ile istek: Gerekli izinlere sahip değilseniz ve erişim isteğinde bulunmak istediğinizde bu yöntemi kullanın. Onay iş akışı başlatılır. Özel uç nokta ve daha sonraki özel uç nokta bağlantıları Bekleme durumunda oluşturulur. Özel bağlantı kaynak sahibi bağlantıyı onaylamakla sorumludur. Onaylandıktan sonra, aşağıdaki onay iş akışı diyagramında gösterildiği gibi özel uç nokta trafiği normal şekilde gönderecek şekilde etkinleştirilir:

    İş akışı onay işleminin diyagramı.

    Özel uç nokta bağlantısı üzerinden, özel bağlantı kaynak sahibi şunları yapabilir:

    • Tüm özel uç nokta bağlantı ayrıntılarını gözden geçirin.
    • Özel uç nokta bağlantısını onaylama. Özel bağlantı kaynağına trafik göndermek için ilgili özel uç nokta etkinleştirilir.
    • Özel uç nokta bağlantısını reddedin. İlgili özel uç nokta, durumu yansıtacak şekilde güncelleştirilir.
    • Herhangi bir durumdaki özel uç nokta bağlantısını silin. İlgili özel uç nokta, eylemi yansıtacak şekilde bağlantısız bir durumla güncelleştirilir. Özel uç nokta sahibi bu noktada yalnızca kaynağı silebilir.

    Not

    Yalnızca Onaylandı durumundaki özel uç noktalar belirtilen özel bağlantı kaynağına trafik gönderebilir.

    Diğer ad kullanarak bağlanma

    Diğer ad, hizmet sahibi standart yük dengeleyicinin arkasında özel bağlantı hizmeti oluşturduğunda oluşturulan benzersiz bir bilinen addır. Hizmet sahipleri bu diğer adı hizmetinizin tüketicileriyle çevrimdışı olarak paylaşabilir.

    Tüketiciler, kaynak URI'sini veya diğer adı kullanarak özel bağlantı hizmetine bağlantı isteğinde bulunabilir. Diğer adı kullanarak bağlanmak için, el ile bağlantı onay yöntemini kullanarak özel bir uç nokta oluşturun. El ile bağlantı onay yöntemini kullanmak için, özel uç nokta oluşturma akışı sırasında el ile istek parametresini True olarak ayarlayın. Daha fazla bilgi için bkz. New-AzPrivateEndpoint ve az network private-endpoint create.

    Not

    Tüketicinin aboneliği sağlayıcı tarafında izin verilenler listesindeyse bu el ile istek otomatik olarak onaylanabilir. Daha fazla bilgi edinmek için hizmet erişimini denetleme bölümüne gidin.

    DNS yapılandırması

    Özel bağlantı kaynağına bağlanmak için kullandığınız DNS ayarları önemlidir. Mevcut Azure hizmetleri, genel uç nokta üzerinden bağlanırken kullanabileceğiniz bir DNS yapılandırmasına zaten sahip olabilir. Özel uç nokta üzerinden aynı hizmete bağlanmak için, genellikle özel DNS bölgeleri aracılığıyla yapılandırılan ayrı DNS ayarları gereklidir. Bağlantı için tam etki alanı adını (FQDN) kullandığınızda DNS ayarlarınızın doğru olduğundan emin olun. Ayarların özel uç noktanın özel IP adresine çözümlenmesi gerekir.

    Özel uç noktayla ilişkili ağ arabirimi, DNS'nizi yapılandırmak için gereken bilgileri içerir. Bilgiler, özel bağlantı kaynağının FQDN'sini ve özel IP adresini içerir.

    Özel uç noktalar için DNS yapılandırma önerileri hakkında ayrıntılı bilgi için bkz. Özel uç nokta DNS yapılandırması.

    Sınırlamalar

    Aşağıdaki bilgiler, özel uç noktaların kullanımıyla ilgili bilinen sınırlamaları listeler:

    Ağ güvenlik grubu

    Sınırlama Açıklama
    Özel uç nokta ağ arabirimi için geçerli yollar ve güvenlik kuralları kullanılamıyor. Azure portal özel uç nokta NIC için geçerli yollar ve güvenlik kuralları görüntülenmez.
    NSG akış günlükleri desteklenmiyor. Özel uç noktayı hedefleyen gelen trafik için NSG akış günlükleri kullanılamıyor.
    Uygulama Güvenlik Grubu'nda en fazla 50 üye. Elli, özel uç nokta alt ağındaki NSG ile birleştirilmiş her ilgili ASG'ye bağlanabilen IP Yapılandırmalarının sayısıdır. Bağlantı hataları 50'den fazla üyeyle oluşabilir.
    250.000'e kadar desteklenen hedef bağlantı noktası aralıkları. Hedef bağlantı noktası aralıkları bir çarpma SourceAddressPrefixes, DestinationAddressPrefixes ve DestinationPortRanges olarak desteklenir.

    Örnek gelen kuralı:
    1 kaynak * 1 hedef * 4K portRanges = 4K Geçerli
    10 kaynak * 10 hedef * 10 portRanges = 1K Geçerli
    50 kaynak * 50 hedef * 50 portRanges = 125 Geçerli
    50 kaynak * 50 hedef * 100 portRanges = 250K Geçerli
    100 kaynak * 100 hedef * 100 portRanges = 1M Geçersiz, NSG'de çok fazla kaynak/hedef/bağlantı noktası var.
    Kaynak bağlantı noktası filtreleme * olarak yorumlanır Kaynak bağlantı noktası filtreleme, özel uç noktaya yönelik trafik için geçerli bir trafik filtreleme senaryosu olarak etkin olarak kullanılmaz.
    Özellik belirli bölgelerde kullanılamıyor. Şu anda şu bölgelerde kullanılamıyor:
    Batı Hindistan Orta Avustralya
    2
    Güney Afrika Batı
    Brezilya Güneydoğu

    NSG ile ilgili ek konular

    • Hizmet sağlayıcısı trafiği oluşturabildiğinden özel uç noktadan reddedilen trafik geçerli bir senaryo değildir.

    • Aşağıdaki hizmetler, özel uç noktalardan yararlanırken ve NSG güvenlik filtreleri eklerken tüm hedef bağlantı noktalarının açık olmasını gerektirebilir:

    UDR

    Sınırlama Açıklama
    SNAT her zaman önerilir. Özel uç nokta veri düzleminin değişken doğası gereği, dönüş trafiğinin uygulandığından emin olmak için özel uç noktayı hedefleyen SNAT trafiğinin kullanılması önerilir.
    Özellik belirli bölgelerde kullanılamıyor. Şu anda şu bölgelerde kullanılamıyor:
    Batı Hindistan
    Birleşik Krallık Kuzey
    Birleşik Krallık Güney 2
    Avustralya Orta 2
    Güney Afrika Batı
    Brezilya Güneydoğu

    Uygulama güvenlik grubu

    Sınırlama Açıklama
    Özellik belirli bölgelerde kullanılamıyor. Şu anda şu bölgelerde kullanılamıyor:
    Batı Hindistan
    Birleşik Krallık Kuzey
    Birleşik Krallık Güney 2
    Avustralya Orta 2
    Güney Afrika Batı
    Brezilya Güneydoğu

    Sonraki adımlar