Azure Özel Bağlantı hizmeti nedir?
Azure Özel Bağlantı hizmeti, Azure Özel Bağlantı tarafından desteklenen kendi hizmetinize başvurudur. Azure Standart Load Balancer arkasında çalışan hizmetiniz, hizmetinize gelen tüketicilerin kendi sanal ağlarından özel olarak erişebilmesi için Özel Bağlantı erişim için etkinleştirilebilir. Müşterileriniz sanal ağlarında özel bir uç nokta oluşturabilir ve bunu bu hizmetle eşleyebilir. Bu makalede hizmet sağlayıcısı tarafıyla ilgili kavramlar açıklanmaktadır.
Şekil: Azure Özel Bağlantı Hizmeti.
İş Akışı
Şekil: hizmet iş akışı Azure Özel Bağlantı.
Özel Bağlantı Hizmetinizi oluşturma
Uygulamanızı sanal ağınızdaki standart bir yük dengeleyicinin arkasında çalışacak şekilde yapılandırın. Uygulamanızı standart bir yük dengeleyicinin arkasında zaten yapılandırdıysanız bu adımı atlayabilirsiniz.
Yukarıdaki yük dengeleyiciye başvuran bir Özel Bağlantı Hizmeti oluşturun. Yük dengeleyici seçim işleminde, trafiği almak istediğiniz ön uç IP yapılandırmasını seçin. Özel Bağlantı Hizmeti için NAT IP adresleri için bir alt ağ seçin. Alt ağda en az sekiz NAT IP adresinin kullanılabilir olması önerilir. Tüm tüketici trafiği bu özel IP adresleri havuzundan hizmet sağlayıcısına geliyor gibi görünür. Özel Bağlantı Hizmeti için uygun özellikleri/ayarları seçin.
Not
Azure Özel Bağlantı Hizmeti yalnızca Standart Load Balancer desteklenir.
Hizmetinizi paylaşma
Bir Özel Bağlantı hizmeti oluşturduktan sonra Azure, hizmetiniz için sağladığınız ada göre diğer ad olarak adlandırılan genel olarak benzersiz bir ad oluşturur. Hizmetinizin diğer adını veya kaynak URI'sini müşterilerinizle çevrimdışı olarak paylaşabilirsiniz. Tüketiciler diğer adı veya kaynak URI'sini kullanarak Özel Bağlantı bağlantısı başlatabilir.
Bağlantı isteklerinizi yönetme
Bir tüketici bağlantı başlattıktan sonra hizmet sağlayıcısı bağlantı isteğini kabul edebilir veya reddedebilir. Tüm bağlantı istekleri, Özel Bağlantı hizmetindeki privateendpointconnections özelliği altında listelenir.
Hizmetinizi silme
Özel Bağlantı hizmeti artık kullanımda değilse, silebilirsiniz. Ancak, hizmeti silmeden önce, onunla ilişkilendirilmiş özel uç nokta bağlantısı olmadığından emin olun. Tüm bağlantıları reddedebilir ve hizmeti silebilirsiniz.
Properties
Özel Bağlantı hizmeti aşağıdaki özellikleri belirtir:
| Özellik | Açıklama |
|---|---|
| Sağlama Durumu (provisioningState) | Özel Bağlantı hizmeti için geçerli sağlama durumunu listeleyen salt okunur özellik. Geçerli sağlama durumları şunlardır: Silme, Başarısız,Başarılı,*Güncelleştirme. Sağlama durumu Başarılı olduğunda, Özel Bağlantı hizmetinizi başarıyla sağladınız. |
| Diğer ad (diğer ad) | Diğer ad, hizmetiniz için genel olarak benzersiz bir salt okunur dizedir. Hizmetinizin müşteri verilerini maskelediğiniz gibi hizmetiniz için de kolayca paylaşabileceğiniz bir ad oluşturur. bir Özel Bağlantı hizmeti oluşturduğunuzda Azure, hizmetiniz için müşterilerinizle paylaşabileceğiniz diğer adı oluşturur. Müşterileriniz hizmetinize bağlantı isteğinde bulunmak için bu diğer adı kullanabilir. |
| Görünürlük (görünürlük) | Görünürlük, Özel Bağlantı hizmetinizin pozlama ayarlarını denetleen özelliktir. Hizmet sağlayıcıları, Azure rol tabanlı erişim denetimi izinlerine sahip aboneliklerde hizmetlerinin kullanıma açık olmasını sınırlamayı seçebilir. Pozlamayı sınırlamak için kısıtlanmış bir abonelik kümesi de kullanılabilir. |
| Otomatik Onay (autoApproval) | Otomatik onay, Özel Bağlantı hizmetine otomatik erişimi denetler. Otomatik onay listesinde belirtilen abonelikler, bu aboneliklerdeki özel uç noktalardan bağlantı istendiğinde otomatik olarak onaylanır. |
| Yük dengeleyici ön uç IP yapılandırması (loadBalancerFrontendIpConfigurations) | Özel Bağlantı hizmeti bir Standart Load Balancer ön uç IP adresine bağlıdır. Hizmeti hedefleyen tüm trafik SLB'nin ön ucuna ulaşır. SLB kurallarını, bu trafiği uygulamalarınızın çalıştığı uygun arka uç havuzlarına yönlendirecek şekilde yapılandırabilirsiniz. Yük dengeleyici ön uç IP yapılandırmaları NAT IP yapılandırmalarından farklıdır. |
| NAT IP yapılandırması (ipConfigurations) | Bu özellik, Özel Bağlantı hizmeti için NAT (Ağ Adresi Çevirisi) IP yapılandırmasını ifade eder. NAT IP'sini bir hizmet sağlayıcısının sanal ağındaki herhangi bir alt ağdan seçebilirsiniz. Özel Bağlantı hizmeti, Özel Bağlantı trafiğinde hedef tarafı NAT'lama gerçekleştirir. Bu NAT, kaynak (tüketici tarafı) ile hedef (hizmet sağlayıcısı) adres alanı arasında IP çakışması olmamasını sağlar. Hedef veya hizmet sağlayıcısı tarafında NAT IP adresi, hizmetiniz tarafından alınan tüm paketler için kaynak IP olarak görüntülenir. Hizmetiniz tarafından gönderilen tüm paketler için hedef IP görüntülenir. |
| Özel uç nokta bağlantıları (privateEndpoint Bağlan ions) | Bu özellik, Özel Bağlantı hizmetine bağlanan özel uç noktaları listeler. Birden çok özel uç nokta aynı Özel Bağlantı hizmetine bağlanabilir ve hizmet sağlayıcısı tek tek özel uç noktaların durumunu denetleyebilir. |
| TCP Proxy V2 (EnableProxyProtocol) | Bu özellik, hizmet sağlayıcısının hizmet tüketicisi hakkındaki bağlantı bilgilerini almak için tcp proxy v2 kullanmasına olanak tanır. Hizmet Sağlayıcısı, proxy protokolü v2 üst bilgisini ayrıştırabilmek için alıcı yapılandırmalarını ayarlamakla sorumludur. |
Ayrıntılar
Özel Bağlantı hizmetine herhangi bir genel bölgedeki onaylı özel uç noktalardan erişilebilir. Özel uç noktaya aynı sanal ağdan ve bölgesel olarak eşlenmiş sanal ağlardan ulaşılabilir. Özel uç noktaya genel olarak eşlenmiş sanal ağlardan ve şirket içinden özel VPN veya ExpressRoute bağlantıları kullanılarak ulaşılabilir.
Özel Bağlantı Hizmeti oluşturulduktan sonra, kaynağın yaşam döngüsü için bir ağ arabirimi oluşturulur. Bu arabirim müşteri tarafından yönetilemez.
Özel Bağlantı Hizmeti, sanal ağ ve Standart Load Balancer ile aynı bölgede dağıtılmalıdır.
Tek bir Özel Bağlantı Hizmetine farklı sanal ağlara, aboneliklere ve/veya Active Directory kiracılarına ait birden çok Özel Uç Noktadan erişilebilir. Bağlantı, bir bağlantı iş akışı aracılığıyla kurulur.
Farklı ön uç IP yapılandırmaları kullanılarak aynı Standart Load Balancer birden çok Özel Bağlantı hizmeti oluşturulabilir. Standart Load Balancer ve abonelik başına oluşturabileceğiniz Özel Bağlantı hizmet sayısının sınırları vardır. Ayrıntılar için Azure limitleri makalesini inceleyin.
Özel Bağlantı hizmeti, bağlı birden fazla NAT IP yapılandırmasına sahip olabilir. Birden fazla NAT IP yapılandırması seçmek, hizmet sağlayıcılarının ölçeklendirmesine yardımcı olabilir. Bugün, hizmet sağlayıcıları Özel Bağlantı hizmet başına en fazla sekiz NAT IP adresi atayabilir. Her NAT IP adresiyle, TCP bağlantılarınız için daha fazla bağlantı noktası atayabilir ve böylece ölçeği genişletebilirsiniz. bir Özel Bağlantı hizmetine birden çok NAT IP adresi ekledikten sonra NAT IP adreslerini silemezsiniz. Bu kısıtlama, NAT IP adreslerini silerken etkin bağlantıların etkilenmemesini sağlamak için kullanılır.
Diğer ad
Diğer ad , hizmetiniz için genel olarak benzersiz bir addır. Hizmetinizin müşteri verilerini maskelediğiniz gibi hizmetiniz için de kolayca paylaşabileceğiniz bir ad oluşturur. bir Özel Bağlantı hizmeti oluşturduğunuzda Azure, hizmetiniz için müşterilerinizle paylaşabileceğiniz bir diğer ad oluşturur. Müşterileriniz hizmetinize bağlantı isteğinde bulunmak için bu diğer adı kullanabilir.
Diğer ad üç bölümden oluşur: Ön ek.GUID.Soneki
Ön ek, hizmet adıdır. Kendi ön ekinizi seçebilirsiniz. "Diğer Ad" oluşturulduktan sonra değiştiremezsiniz, bu nedenle ön ekinizi uygun şekilde seçin.
GUID, platform tarafından sağlanacaktır. Bu GUID adı genel olarak benzersiz hale getirir.
Son ek Azure tarafından eklenir: region.azure.privatelinkservice
Tam diğer ad: Ön ek. {GUID}.region.azure.privatelinkservice
Hizmet maruziyetini denetleme
Özel Bağlantı hizmeti, hizmetinizin görünürlüğünü denetlemek için Görünürlük ayarında üç seçenek sunar. Görünürlük ayarınız, bir tüketicinin hizmetinize bağlanıp bağlanamayacağını belirler. En kısıtlayıcıdan en az kısıtlayıcıya kadar olan görünürlük ayarı seçenekleri şunlardır:
Yalnızca rol tabanlı erişim denetimi: Hizmetiniz sahip olduğunuz farklı sanal ağlardan özel tüketim amaçlıysa, aynı Active Directory kiracısıyla ilişkili aboneliklerin içinde rol tabanlı erişim denetimini kullanın. Rol tabanlı erişim denetimi aracılığıyla kiracılar arası görünürlüğe izin verilir.
Abonelikle kısıtlandı: Hizmetiniz farklı kiracılar arasında kullanılacaksa, maruz kalma durumunu güvendiğiniz sınırlı bir abonelik kümesiyle kısıtlayabilirsiniz. Yetkilendirmeler önceden onaylanabilir.
Diğer adınıza sahip herkes: Hizmetinizi herkese açık hale getirmek ve Özel Bağlantı hizmet diğer adınıza sahip herkesin bağlantı istemesine izin vermek istiyorsanız, bu seçeneği belirleyin.
Hizmet erişimini denetleme
Özel Bağlantı hizmetinizde görünürlük ayarıyla denetlenen tüketiciler, sanal ağlarında özel bir uç nokta oluşturabilir ve Özel Bağlantı hizmetinizle bağlantı isteğinde bulunabilir. Özel uç nokta bağlantısı, Özel Bağlantı hizmet nesnesinde Beklemede durumunda oluşturulur. Hizmet sağlayıcısı, bağlantı isteği üzerinde işlemden sorumludur. Bağlantıyı onaylayabilir, bağlantıyı reddedebilir veya bağlantıyı silebilirsiniz. Yalnızca onaylanan bağlantılar Özel Bağlantı hizmetine trafik gönderebilir.
Bağlantıları onaylama eylemi, Özel Bağlantı hizmetindeki otomatik onay özelliği kullanılarak otomatikleştirilebilir. Otomatik Onay, hizmet sağlayıcılarının, hizmetlerine otomatik erişim için bir dizi aboneliği önceden onaylama olanağıdır. Hizmet sağlayıcılarının otomatik onay listesine eklemesi için müşterilerin aboneliklerini çevrimdışı olarak paylaşması gerekir. Otomatik onay, görünürlük dizisinin bir alt kümesidir.
Görünürlük, pozlama ayarlarını denetlerken, otomatik onay hizmetinizin onay ayarlarını denetler. Müşteri otomatik onay listesindeki bir abonelikten bağlantı isterse, bağlantı otomatik olarak onaylanır ve bağlantı kurulur. Hizmet sağlayıcılarının isteği el ile onaylaması gerekmez. Müşteri otomatik onay dizisinde değil de görünürlük dizisindeki bir abonelikten bağlantı isterse istek hizmet sağlayıcısına ulaşır. Hizmet sağlayıcısının bağlantıları el ile onaylaması gerekir.
TCP Ara Sunucusu v2 kullanarak bağlantı bilgilerini alma
Özel bağlantı hizmetinde, özel uç noktadan gelen paketlerin kaynak IP adresi, sağlayıcının sanal ağından ayrılan NAT IP'sini kullanarak hizmet sağlayıcısı tarafında ağ adresi çevrilir (NAT). Uygulamalar, hizmet tüketicilerinin gerçek kaynak IP adresi yerine ayrılmış NAT IP adresini alır. Uygulamanızın tüketici tarafından gerçek bir kaynak IP adresine ihtiyacı varsa, hizmetinizde ara sunucu protokollerini etkinleştirebilir ve ara sunucu protokolü üst bilgisinden bilgileri alabilirsiniz. Kaynak IP adresine ek olarak, proxy protokolü üst bilgisi de özel uç noktanın LinkID'sini taşır. Kaynak IP adresi ve LinkID birleşimi, hizmet sağlayıcılarının tüketicilerini benzersiz bir şekilde tanımlamasına yardımcı olabilir.
Ara Sunucu Protokolü hakkında daha fazla bilgi için burayı ziyaret edin.
Bu bilgiler, aşağıdaki gibi özel bir Type-Length-Value (TLV) vektör kullanılarak kodlanır:
Özel TLV ayrıntıları:
| Alan | Uzunluk (Sekizli) | Açıklama |
|---|---|---|
| Tür | 1 | PP2_TYPE_AZURE (0xEE) |
| Length | 2 | Değer uzunluğu |
| Değer | 1 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
| 4 | Özel uç noktanın LINKID değerini temsil eden UINT32 (4 bayt). Küçük endian biçiminde kodlanmış. |
Not
Hizmet sağlayıcısı, standart yük dengeleyicinin arkasındaki hizmetin, özel bağlantı hizmetinde ara sunucu protokolü etkinleştirildiğinde proxy protokolü üst bilgisini belirtime göre ayrıştıracak şekilde yapılandırıldığından emin olmakla sorumludur. Özel bağlantı hizmetinde proxy protokolü ayarının etkinleştirilmesine karşın, hizmet sağlayıcının hizmeti üst bilgiyi ayrıştıracak şekilde yapılandırılmadıysa istek başarısız olur. Özel bağlantı hizmetinde bu ayar etkin değilken, hizmet sağlayıcının hizmeti proxy protokolü üst bilgisi bekliyorsa istek başarısız olur. Proxy protokolü ayarı etkinleştirildikten sonra, ana bilgisayardan arka uç sanal makinelerine giden HTTP/TCP durum yoklamalarına da proxy protokolü üst bilgisi eklenir. İstemci bilgileri üst bilgide yer almaz.
PROXYv2 (TLV) protokolünün parçası olan eşleştirme LINKID özelliğinde PrivateEndpointConnectionlinkIdentifierbulunabilir.
Daha fazla bilgi için bkz. Özel Bağlantı Hizmetleri API'si.
Sınırlamalar
Özel Bağlantı hizmetini kullanırken bilinen sınırlamalar şunlardır:
Yalnızca Standart Load Balancer desteklenir. Temel Load Balancer'da desteklenmez.
Yalnızca arka uç havuzunun NIC tarafından yapılandırıldığı Standart Load Balancer desteklenir. Arka uç havuzunun IP adresiyle yapılandırıldığı Standart Load Balancer desteklenmez.
Yalnızca IPv4 trafiğini destekler
Yalnızca TCP ve UDP trafiğini destekler
Özel Bağlantı Hizmeti yaklaşık 5 dakika (300 saniye) boşta kalma zaman aşımına sahiptir. Bu sınıra erişmemek için, Özel Bağlantı Hizmeti aracılığıyla bağlanan uygulamaların bu süreden daha düşük TCP Korumaları kullanması gerekir.
Azure Özel Bağlantı Hizmeti ile çalışmak üzere arka uç havuzuna ayarlanmış türe sahip bir Gelen NAT kuralı için bir yük dengeleme kuralı yapılandırılmalıdır.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin