Azure Özel Bağlantı hizmeti nedir?

Azure Özel Bağlantı hizmeti, Azure Özel Bağlantı tarafından desteklenen kendi hizmetinize başvurudur. Azure Standart Load Balancer arkasında çalışan hizmetiniz, hizmetinizdeki tüketicilerin kendi sanal ağlarından özel olarak erişebilmesi için Özel Bağlantı erişim için etkinleştirilebilir. Müşterileriniz sanal ağlarında özel bir uç nokta oluşturabilir ve bunu bu hizmetle eşleyebilir. Bu makalede hizmet sağlayıcısı tarafıyla ilgili kavramlar açıklanmaktadır.

Azure özel bağlantı hizmetinin diyagramı.

Şekil: Azure Özel Bağlantı Hizmeti.

İş akışı

Özel bağlantı hizmeti iş akışının diyagramı.

Şekil: hizmet iş akışını Azure Özel Bağlantı.

  • Uygulamanızı sanal ağınızdaki standart yük dengeleyicinin arkasında çalışacak şekilde yapılandırın. Uygulamanızı standart bir yük dengeleyicinin arkasında zaten yapılandırdıysanız bu adımı atlayabilirsiniz.

  • Yukarıdaki yük dengeleyiciye başvuran bir Özel Bağlantı Hizmeti oluşturun. Yük dengeleyici seçim işleminde trafiği almak istediğiniz ön uç IP yapılandırmasını seçin. Özel Bağlantı Hizmeti için NAT IP adresleri için bir alt ağ seçin. Alt ağda en az sekiz NAT IP adresinin kullanılabilir olması önerilir. Tüm tüketici trafiği, bu özel IP adresleri havuzundan hizmet sağlayıcısına ait gibi görünür. Özel Bağlantı Hizmeti için uygun özellikleri/ayarları seçin.

    Not

    Azure Özel Bağlantı Hizmeti yalnızca Standart Load Balancer desteklenir.

Hizmetinizi paylaşma

Bir Özel Bağlantı hizmeti oluşturduktan sonra Azure, hizmetiniz için sağladığınız ada göre diğer ad olarak adlandırılan genel olarak benzersiz adlı bir takma ad oluşturur. Hizmetinizin diğer adını veya kaynak URI'sini müşterilerinizle çevrimdışı olarak paylaşabilirsiniz. Tüketiciler diğer adı veya kaynak URI'sini kullanarak Özel Bağlantı bağlantısı başlatabilir.

Bağlantı isteklerinizi yönetme

Tüketici bir bağlantı başlattıktan sonra hizmet sağlayıcısı bağlantı isteğini kabul edebilir veya reddedebilir. Tüm bağlantı istekleri, Özel Bağlantı hizmetindeki privateendpointconnections özelliği altında listelenir.

Hizmetinizi silme

Özel Bağlantı hizmeti artık kullanımda değilse, silebilirsiniz. Ancak, hizmeti silmeden önce, onunla ilişkilendirilmiş özel uç nokta bağlantısı olmadığından emin olun. Tüm bağlantıları reddedebilir ve hizmeti silebilirsiniz.

Özellikler

Özel Bağlantı hizmeti aşağıdaki özellikleri belirtir:

Özellik Açıklama
Sağlama Durumu (provisioningState) Özel Bağlantı hizmeti için geçerli sağlama durumunu listeleyen salt okunur özellik. Geçerli sağlama durumları şunlardır: Silme, Başarısız,Başarılı,*Güncelleştirme. Sağlama durumu Başarılı olduğunda, Özel Bağlantı hizmetinizi başarıyla sağladınız.
Diğer ad (diğer ad) Diğer ad, hizmetiniz için genel olarak benzersiz bir salt okunur dizedir. Hizmetiniz için müşteri verilerini maskeler ve aynı zamanda hizmetiniz için kolay paylaşabileceğiniz bir ad oluşturur. bir Özel Bağlantı hizmeti oluşturduğunuzda, Azure hizmetiniz için müşterilerinizle paylaşabileceğiniz diğer adı oluşturur. Müşterileriniz hizmetinize bağlantı isteğinde bulunmak için bu diğer adı kullanabilir.
Görünürlük (görünürlük) Görünürlük, Özel Bağlantı hizmetinizin pozlama ayarlarını denetleen özelliktir. Hizmet sağlayıcıları, Azure rol tabanlı erişim denetimi izinlerine sahip aboneliklere hizmet maruziyetini sınırlamayı seçebilir. Etkilenmeyi sınırlamak için kısıtlanmış bir abonelik kümesi de kullanılabilir.
Otomatik Onay (autoApproval) Otomatik onay, Özel Bağlantı hizmetine otomatik erişimi denetler. Otomatik onay listesinde belirtilen abonelikler, bu aboneliklerdeki özel uç noktalardan bağlantı istendiğinde otomatik olarak onaylanır.
Yük dengeleyici ön uç IP yapılandırması (loadBalancerFrontendIpConfigurations) Özel Bağlantı hizmeti bir Standart Load Balancer ön uç IP adresine bağlıdır. Hizmeti hedefleyen tüm trafik SLB'nin ön ucuna ulaşır. Bu trafiği uygulamalarınızın çalıştığı uygun arka uç havuzlarına yönlendirmek için SLB kurallarını yapılandırabilirsiniz. Yük dengeleyici ön uç IP yapılandırmaları NAT IP yapılandırmalarından farklıdır.
NAT IP yapılandırması (ipConfigurations) Bu özellik, Özel Bağlantı hizmeti için NAT (Ağ Adresi Çevirisi) IP yapılandırmasını ifade eder. NAT IP'yi bir hizmet sağlayıcısının sanal ağındaki herhangi bir alt ağdan seçebilirsiniz. Özel Bağlantı hizmeti, Özel Bağlantı trafiğinde hedef tarafı NAT'lama gerçekleştirir. Bu NAT, kaynak (tüketici tarafı) ile hedef (hizmet sağlayıcısı) adres alanı arasında IP çakışması olmamasını sağlar. Hedef veya hizmet sağlayıcısı tarafında NAT IP adresi, hizmetiniz tarafından alınan tüm paketler için kaynak IP olarak görüntülenir. Hizmetiniz tarafından gönderilen tüm paketler için hedef IP görüntülenir.
Özel uç nokta bağlantıları (privateEndpointConnections) Bu özellik, Özel Bağlantı hizmetine bağlanan özel uç noktaları listeler. Birden çok özel uç nokta aynı Özel Bağlantı hizmetine bağlanabilir ve hizmet sağlayıcısı tek tek özel uç noktaların durumunu denetleyebilir.
TCP Proxy V2 (EnableProxyProtocol) Bu özellik, hizmet sağlayıcısının hizmet tüketicisi hakkındaki bağlantı bilgilerini almak için tcp proxy v2 kullanmasına olanak tanır. Hizmet Sağlayıcısı, proxy protokolü v2 üst bilgisini ayrıştırabilmek için alıcı yapılandırmalarını ayarlamakla sorumludur.

Ayrıntılar

  • Özel Bağlantı hizmete herhangi bir genel bölgedeki onaylı özel uç noktalardan erişilebilir. Özel uç noktaya aynı sanal ağdan ve bölgesel olarak eşlenmiş sanal ağlardan ulaşılabilir. Özel uç noktaya genel olarak eşlenmiş sanal ağlardan ve şirket içinden özel VPN veya ExpressRoute bağlantıları kullanılarak ulaşılabilir.

  • Özel Bağlantı Hizmeti oluşturulduktan sonra, kaynağın yaşam döngüsü için bir ağ arabirimi oluşturulur. Bu arabirim müşteri tarafından yönetilemez.

  • Özel Bağlantı Hizmeti, sanal ağ ve Standart Load Balancer ile aynı bölgede dağıtılmalıdır.

  • Tek bir Özel Bağlantı Hizmetine farklı sanal ağlara, aboneliklere ve/veya Active Directory kiracılarına ait birden çok Özel Uç Noktadan erişilebilir. Bağlantı bir bağlantı iş akışı aracılığıyla kurulur.

  • Farklı ön uç IP yapılandırmaları kullanılarak aynı Standart Load Balancer birden çok Özel Bağlantı hizmeti oluşturulabilir. Standart Load Balancer ve abonelik başına oluşturabileceğiniz Özel Bağlantı hizmet sayısının sınırları vardır. Ayrıntılar için Azure limitleri makalesini inceleyin.

  • Özel Bağlantı hizmeti, bağlı birden fazla NAT IP yapılandırmasına sahip olabilir. Birden fazla NAT IP yapılandırması seçmek, hizmet sağlayıcılarının ölçeklendirmesine yardımcı olabilir. Bugün, hizmet sağlayıcıları Özel Bağlantı hizmet başına en fazla sekiz NAT IP adresi atayabilir. Her NAT IP adresiyle, TCP bağlantılarınız için daha fazla bağlantı noktası atayabilir ve bu nedenle ölçeği genişletebilirsiniz. bir Özel Bağlantı hizmetine birden çok NAT IP adresi ekledikten sonra NAT IP adreslerini silemezsiniz. Bu kısıtlama, NAT IP adreslerini silerken etkin bağlantıların etkilenmemesini sağlamak için geçerli.

Diğer ad

Diğer ad , hizmetiniz için genel olarak benzersiz bir addır. Hizmetiniz için müşteri verilerini maskeler ve aynı zamanda hizmetiniz için kolay paylaşabileceğiniz bir ad oluşturur. bir Özel Bağlantı hizmeti oluşturduğunuzda, Azure hizmetiniz için müşterilerinizle paylaşabileceğiniz bir diğer ad oluşturur. Müşterileriniz hizmetinize bağlantı isteğinde bulunmak için bu diğer adı kullanabilir.

Diğer ad üç bölümden oluşur: Ön ek. GUID. Soneki

  • Ön ek, hizmet adıdır. Kendi ön ekinizi seçebilirsiniz. "Diğer Ad" oluşturulduktan sonra değiştiremezsiniz, bu nedenle ön ekinizi uygun şekilde seçin.

  • GUID platform tarafından sağlanacaktır. Bu GUID adı genel olarak benzersiz hale getirir.

  • Son ek Azure tarafından eklenir: region.azure.privatelinkservice

Tam diğer ad: Ön ek. {GUID}. region.azure.privatelinkservice

Hizmet maruziyetini denetleme

Özel Bağlantı hizmeti, hizmetinizin görünürlüğünü denetlemek için Görünürlük ayarında size üç seçenek sunar. Görünürlük ayarınız bir tüketicinin hizmetinize bağlanıp bağlanamayacağını belirler. En kısıtlayıcıdan en az kısıtlayıcıya kadar olan görünürlük ayarı seçenekleri şunlardır:

  • Yalnızca rol tabanlı erişim denetimi: Hizmetiniz sahip olduğunuz farklı sanal ağlardan özel tüketime yönelikse, aynı Active Directory kiracısıyla ilişkili aboneliklerin içinde rol tabanlı erişim denetimi kullanın. Rol tabanlı erişim denetimi aracılığıyla kiracılar arası görünürlüğe izin verilir.

  • Abonelikle kısıtlandı: Hizmetiniz farklı kiracılarda kullanılacaksa, güvendiğiniz sınırlı bir abonelik kümesine maruz kalma durumunu kısıtlayabilirsiniz. Yetkilendirmeler önceden onaylanabilir.

  • Diğer adınıza sahip herkes: Hizmetinizi genel kullanıma açmak ve Özel Bağlantı hizmet diğer adınıza sahip herkesin bağlantı istemesine izin vermek istiyorsanız bu seçeneği belirleyin.

Hizmet erişimini denetleme

Özel Bağlantı hizmetinizde görünürlük ayarıyla pozlama denetimine sahip olan tüketiciler, sanal ağlarında özel bir uç nokta oluşturabilir ve Özel Bağlantı hizmetinizle bağlantı isteğinde bulunabilir. Özel uç nokta bağlantısı, Özel Bağlantı hizmet nesnesinde Beklemede durumunda oluşturulur. Hizmet sağlayıcısı, bağlantı isteği üzerinde işlemden sorumludur. Bağlantıyı onaylayabilir, bağlantıyı reddedebilir veya bağlantıyı silebilirsiniz. Yalnızca onaylanan bağlantılar Özel Bağlantı hizmetine trafik gönderebilir.

Bağlantıları onaylama eylemi, Özel Bağlantı hizmetinde otomatik onay özelliği kullanılarak otomatikleştirilebilir. Otomatik Onay, hizmet sağlayıcılarının hizmetine otomatik erişim için bir abonelik kümesini önceden onaylama olanağıdır. Hizmet sağlayıcılarının otomatik onay listesine eklemesi için müşterilerin aboneliklerini çevrimdışı olarak paylaşması gerekir. Otomatik onay, görünürlük dizisinin bir alt kümesidir.

Görünürlük, pozlama ayarlarını denetlerken otomatik onay hizmetinizin onay ayarlarını denetler. Müşteri otomatik onay listesindeki bir abonelikten bağlantı isterse, bağlantı otomatik olarak onaylanır ve bağlantı kurulur. Hizmet sağlayıcılarının isteği el ile onaylaması gerekmez. Müşteri otomatik onay dizisinde değil de görünürlük dizisindeki bir abonelikten bağlantı isterse, istek hizmet sağlayıcısına ulaşır. Hizmet sağlayıcısının bağlantıları el ile onaylaması gerekir.

TCP Proxy v2 kullanarak bağlantı bilgilerini alma

Özel bağlantı hizmetinde, özel uç noktadan gelen paketlerin kaynak IP adresi, sağlayıcının sanal ağından ayrılan NAT IP'sini kullanarak hizmet sağlayıcısı tarafında ağ adresi çevrilir (NAT). Uygulamalar, hizmet tüketicilerinin gerçek kaynak IP adresi yerine ayrılan NAT IP adresini alır. Uygulamanızın tüketici tarafından gerçek bir kaynak IP adresine ihtiyacı varsa, hizmetinizde ara sunucu protokollerini etkinleştirebilir ve proxy protokolü üst bilgisinden bilgileri alabilirsiniz. Kaynak IP adresine ek olarak, proxy protokolü üst bilgisi özel uç noktanın LinkID değerini de taşır. Kaynak IP adresi ve LinkID birleşimi, hizmet sağlayıcılarının tüketicilerini benzersiz bir şekilde tanımlamasına yardımcı olabilir.

Ara Sunucu Protokolü hakkında daha fazla bilgi için burayı ziyaret edin.

Bu bilgiler aşağıdaki gibi özel bir Type-Length-Value (TLV) vektör kullanılarak kodlanır:

Özel TLV ayrıntıları:

Alan Uzunluk (Sekizli) Açıklama
Tür 1 PP2_TYPE_AZURE (0xEE)
Uzunluk 2 Değer uzunluğu
Değer 1 PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01)
4 Özel uç noktanın LINKID değerini temsil eden UINT32 (4 bayt). Küçük endian biçiminde kodlanmış.

Not

Hizmet sağlayıcısı, özel bağlantı hizmetinde ara sunucu protokolü etkinleştirildiğinde, standart yük dengeleyicinin arkasındaki hizmetin proxy protokolü üst bilgisini belirtime göre ayrıştıracak şekilde yapılandırıldığından emin olmakla sorumludur. Özel bağlantı hizmetinde ara sunucu protokolü ayarı etkinleştirildiyse ancak hizmet sağlayıcısının hizmeti üst bilgiyi ayrıştıracak şekilde yapılandırılmadıysa istek başarısız olur. Ayar özel bağlantı hizmetinde etkinleştirilmemişken hizmet sağlayıcısının hizmeti bir ara sunucu protokolü üst bilgisi bekliyorsa istek başarısız olur. Ara sunucu protokolü ayarı etkinleştirildikten sonra, ana bilgisayardan arka uç sanal makinelerine http/TCP sistem durumu yoklamalarına ara sunucu protokolü üst bilgisi de eklenir. İstemci bilgileri üst bilgide yer almıyor.

PROXYv2 (TLV) protokolünün parçası olan eşleştirme LINKID özelliğinde PrivateEndpointConnectionlinkIdentifierbulunabilir.

Daha fazla bilgi için bkz. Özel Bağlantı Hizmetleri API'si.

Sınırlamalar

Özel Bağlantı hizmetini kullanırken bilinen sınırlamalar şunlardır:

  • Yalnızca Standart Load Balancer'da desteklenir. Temel Load Balancer desteklenmez.

  • Yalnızca VM/VMSS kullanılırken arka uç havuzunun NIC tarafından yapılandırıldığı Standart Load Balancer desteklenir.

  • Yalnızca IPv4 trafiğini destekler

  • Yalnızca TCP ve UDP trafiğini destekler

  • Özel Bağlantı Hizmeti yaklaşık 5 dakika (300 saniye) boşta kalma zaman aşımına sahiptir. Bu sınıra ulaşılmasını önlemek için, Özel Bağlantı Hizmeti aracılığıyla bağlanan uygulamaların bu süreden daha düşük TCP Korumaları kullanması gerekir.

Sonraki adımlar