Azure Özel Bağlantı nasıl çalışır?

  • 10 dakika

Özel Bağlantı temel özelliklerini ve avantajlarını biliyorsunuz. Şimdi Özel Bağlantı nasıl çalıştığını inceleyelim. Özellikle, Azure hizmetlerine özel erişim sunmak için Özel Uç Nokta ve Özel Bağlantı Hizmeti ile nasıl çalıştığını düşünelim. Bu bilgiler, Özel Bağlantı şirketiniz için doğru çözüm olup olmadığını değerlendirmenize yardımcı olur.

Özel Bağlantı, Azure hizmetlerine özel erişim sağlar. Burada "özel", bağlantının İnternet yerine Microsoft Azure omurga ağını kullandığı anlamına gelir. Bu değişikliği yapmak için Özel Bağlantı Azure kaynağının bağlantı yöntemini genel uç noktadan özel uç noktaya değiştirir.

Artık genel IP adresi kullanarak Azure kaynağına erişemezsiniz. Bunun yerine, Azure'ın alt ağınızın adres alanından kaynağa atadığını özel bir IP adresi kullanırsınız.

Anahtar ele alma mı? Azure kaynağı artık sanal ağınızın etkili bir parçasıdır. Ağınızdaki istemciler bu Özel Bağlantı kaynağına diğer ağ kaynakları gibi erişebilir.

Daha da fazla güvenlik için, kaynak bağlantısı artık Microsoft Azure omurga ağını kullanıyor. Başka bir ifadeyle, kaynağa gelen ve kaynaktan gelen tüm trafik tamamen genel İnternet'i atlar.

Ancak, siz kullanmasanız bile kaynağın genel uç noktası hala mevcuttur. Ortak bir uç noktanın, hatta kullanılmayan bir uç noktanın varlığı hala bir güvenlik riskidir. Neyse ki Azure kaynağının genel uç noktasını devre dışı bırakmak mümkündür ve bu da olası güvenlik sorununu atlar.

Azure Özel Uç Noktası nasıl çalışır?

Kaynak arabirimini genel arabirimden özele nasıl kaydırabilirsiniz? Ağ yapılandırmanıza bir Azure Özel Uç Noktası ekleyin. Özel Uç Nokta, sanal ağınızla belirtilen Azure kaynağı arasında özel bir bağlantı oluşturan bir ağ arabirimidir.

Özel Uç Nokta, sanal ağınızdaki belirtilen alt ağın adres alanından kullanılmayan bir özel IP adresi alır. Örneğin, 10.1.0.0/24 adres alanını kullanan bir alt ağınız olduğunu varsayalım. Bu alt ağdaki sanal makineler 10.1.0.20 veya 10.1.0.155 gibi IP adreslerini kullanır.

Özel Uç Nokta aynı adres alanından 10.1.0.32 gibi bir IP adresi alır. Özel Uç Nokta daha sonra bu adresi belirtilen bir Azure hizmetine eşler. Özel IP adresinin kullanılması hizmeti sanal ağınıza etkili bir şekilde getirir.

Dekont

bir Özel Bağlantı kaynağına bağlanan istemcilerin bağlantı dizesi Özel Uç Nokta'nın atanan IP adresini kullanması gerekmez. Bunun yerine, Özel Uç Nokta'yı özel DNS bölgenizle tümleştirecek şekilde yapılandırdığınızda Azure otomatik olarak uç noktaya bir FQDN atar. Örneğin, Özel Bağlantı kaynağı bir Azure Depolama tablosuysa, FQDN mystorageaccount1234.table.core.windows.net gibi bir şey olur.

Özel Uç Nokta değerlendirilirken dikkate alınması gereken birkaç önemli nokta şunlardır:

  • Özel Uç Nokta, Azure sanal ağınızdaki ve Özel Bağlantı destekli Azure hizmetlerindeki sanal makineler ile diğer istemciler arasında özel bağlantı sunar.
  • Özel Uç Nokta, bölgesel olarak eşlenmiş sanal ağlarınızla Özel Bağlantı destekli Azure hizmetleri arasında özel bağlantı sunar.
  • Özel Uç Nokta, genel olarak eşlenmiş sanal ağlarınızla Özel Bağlantı destekli Azure hizmetleri arasında özel bağlantı sunar.
  • Özel Uç Nokta, şirket içi ağınız (ExpressRoute Özel Eşlemesi veya VPN aracılığıyla bağlı) ile Özel Bağlantı destekli Azure hizmetleri arasında özel bağlantı sunar.
  • Sanal ağ başına en fazla 1.000 Özel Uç Nokta arabirimi dağıtabilirsiniz.
  • Azure aboneliği başına en fazla 64.000 Özel Uç Nokta arabirimi dağıtabilirsiniz.
  • En fazla 1.000 Özel Uç Nokta arabirimini aynı Özel Bağlantı kaynağına eşleyebilirsiniz.

Dikkat

Birden çok Özel Uç Nokta arabirimini tek bir kaynakla eşlemek mümkün olsa da, bunu yapmak DNS çakışmalarına ve diğer sorunlara neden olabileceği için önerilmez. En iyi yöntem, tek bir Özel Uç Noktayı tek bir Özel Bağlantı kaynağıyla eşlemektir.

  • Bağlan ion'lar bir yoldur; yani yalnızca istemciler Özel Uç Nokta arabirimine bağlanabilir. Bir Azure hizmeti Özel Uç Nokta arabirimine eşlenmişse, bu hizmetin sağlayıcısı Özel Uç Nokta arabirimine bağlanamaz (hatta algılayamaz).
  • Dağıtılan Özel Uç Nokta arabirimi salt okunurdur; başka bir deyişle kimse bunu değiştiremez. Örneğin, kimse arabirimi farklı bir kaynakla eşleyemiyorsa veya kimse arabirimin IP adresini değiştiremez.
  • Özel Uç Nokta'yı sanal ağınızla aynı bölgeye dağıtmanız gerekse de, Özel Bağlantı kaynağı farklı bir bölgede bulunabilir.

Dekont

Hizmet uç noktası ile özel uç nokta arasındaki fark nedir? Hizmet uç noktası , bir Azure kaynağını yalnızca belirtilen bir sanal ağdan gelen bağlantılara izin verecek şekilde yapılandırıyor. Ancak, bu bağlantı hala kaynağın genel uç noktası üzerinden yapılır, bu nedenle bazı güvenlik riskleri devam eder. Özel Uç Nokta, kaynağın genel uç noktasının devre dışı bırakılmasına destek vererek bu riskleri ortadan kaldırır.

Azure Özel Bağlantı Hizmeti, özel Azure hizmetlerinize Özel Bağlantı avantajlarını getirir. Tek gereksinim, özel hizmetinizi Azure Standart Load Balancer arkasında çalıştırmanızdır. Daha sonra bir Özel Bağlantı Hizmeti kaynağı oluşturabilir ve bunu yük dengeleyiciye ekleyebilirsiniz.

Dikkat

Azure, yük dengeleyicinin iki sürümünü sunar: temel ve standart. Temel Load Balancer Özel Bağlantı Hizmetini desteklemediğinden Standart Load Balancer kullandığınızdan emin olun.

Özel Bağlantı Hizmeti kaynağını oluşturduktan sonra Azure, söz dizimi ön ekiyle genel olarak benzersiz bir salt okunur dize olan kaynak için bir diğer ad verir.guid.sonek:

  • ön ek. Özel hizmet için sağladığınız bir ad.
  • guid. Azure tarafından otomatik olarak oluşturulan genel benzersiz bir kimlik.
  • sonek. region.azure.privatelinkservice; bölge, Özel Bağlantı Hizmetinin dağıtıldığı bölgedir.

Özel Bağlantı Hizmeti diğer adını özel hizmetinizin tüketicileriyle paylaşırsınız. Ardından her tüketici kendi Azure sanal ağında bir Özel Uç Nokta ayarlar. Tüketici daha sonra uç noktayı Özel Bağlantı Hizmeti diğer adıyla eşler.

Özel Bağlantı Hizmeti değerlendirilirken dikkate alınması gereken bazı önemli noktalar şunlardır:

  • Özel Bağlantı Hizmetinize herhangi bir genel bölgedeki özel uç nokta üzerinden erişilebilir.
  • Özel Bağlantı Hizmeti, standart yük dengeleyici ve özel Azure hizmetinizi barındıran sanal ağ ile aynı bölgede dağıtılmalıdır.
  • Azure aboneliği başına en fazla 800 Özel Bağlantı Hizmet kaynağı dağıtabilirsiniz.
  • En fazla 1.000 Özel Uç Nokta arabirimi tek bir Özel Bağlantı Hizmeti kaynağına eşlenebilir.
  • Farklı ön uç IP yapılandırmalarını kullanarak aynı standart yük dengeleyiciye birden çok Özel Bağlantı Hizmeti kaynağı dağıtabilirsiniz.

Hepsini bir araya getirme

Hedefiniz genel İnternet'i kullanmadan bir Azure kaynağına erişmek mi? Özel bir Azure kaynağını özel olarak sunmak istiyor musunuz? Sorulardan birine veya her ikisine de evet yanıtı verdiyseniz Özel Bağlantı, Özel Uç Nokta ve Özel Bağlantı Hizmeti işi şu şekilde tamamlar:

  • Microsoft İş Ortağından bir Azure PaaS hizmetine veya Azure hizmetine özel olarak erişmek için Azure sanal ağınızın alt ağında özel bir uç nokta oluşturun. Bu özel uç nokta, Microsoft Azure omurgası üzerinden bir özel IP adresi kullanarak Azure hizmetine erişmek için Özel Bağlantı kullanır. ExpressRoute özel eşlemesi veya VPN tüneli kullanan eşlenmiş sanal ağlar ve şirket içi ağlar da özel uç nokta üzerinden Azure hizmetine erişebilir.
  • Özel bir Azure hizmetine özel erişim sunmak için hizmeti standart bir yük dengeleyicinin arkasına yerleştirin, bir Özel Bağlantı Hizmeti kaynağı oluşturun ve yük dengeleyicinin ön uç IP yapılandırmasına ekleyin.

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing Azures services via a private IP address mapped by Private Endpoint.