计划和实现专用终结点
专用终结点是使用虚拟网络中的专用 IP 地址的网络接口。 此网络接口以私密且安全的方式将你连接到由 Azure 专用链接提供支持的服务。 启用专用终结点可将服务引入虚拟网络中。
该服务可以是 Azure 服务,比如:
- Azure 存储
- Azure Cosmos DB
- Azure SQL 数据库
- 使用专用链接服务的专属服务。
专用终结点属性
专用终结点指定以下属性:
属性 | 描述 |
---|---|
名称 | 资源组中的唯一名称。 |
子网 | 要部署的子网,其中分配了专用 IP 地址。 |
专用链接资源 | 要使用资源 ID 或别名连接的专用链接资源,其类型为可用类型列表中的类型。 将为发送到此资源的所有流量生成一个唯一的网络标识符。 |
目标子资源 | 要连接的子资源。 每个专用链接资源类型都提供多种选项,可根据偏好进行选择。 |
连接批准方法 | 自动或手动。 根据基于 Azure 角色的访问控制权限,可能会自动批准专用终结点。 如果要在没有基于 Azure 角色的权限的情况下连接到专用链接资源,可使用手动方法允许资源所有者批准连接。 |
请求消息 | 可为请求手动批准的连接指定消息。 此消息可用于标识特定的请求。 |
连接状态 | 一个只读属性,指定专用终结点是否处于活动状态。 只能使用处于已批准状态的专用终结点发送流量。 其他可用状态:已批准:已自动或手动批准连接,并且已可供使用。 待审批:连接是手动创建的,正在等待专用链接资源所有者批准。 已拒绝:连接已被专用链接资源所有者拒绝。 已断开连接:连接已被专用链接资源所有者删除。 专用终结点已变为参考性终结点,应将其删除以清理资源。 |
创建专用终结点时,请考虑以下事项:
专用终结点在下述相同环境中的客户之间实现连接:
- 虚拟网络
- 区域对等互连的虚拟网络
- 全球对等互连的虚拟网络
- 使用 VPN 或 Express Route 的本地环境
- 由专用链接提供支持的服务
- 虚拟网络
网络连接只能由要连接到专用终结点的客户端启动。 服务提供商未提供路由配置,因此无法创建与服务客户的连接。 只能建立单向连接。
一个只读网络接口将会为专用终结点的生命周期自动创建。 系统会为该接口分配子网中映射到专用链接资源的动态专用 IP 地址。 专用 IP 地址的值在专用终结点的整个生命周期中保持不变。
专用终结点必须与虚拟网络部署在同一区域和订阅中。
专用链接资源可部署在与虚拟网络和专用终结点所在区域不同的区域中。
可以使用相同的专用链接资源创建多个专用终结点。 对于使用常见 DNS 服务器配置的单个网络,建议的做法是对指定的专用链接资源使用单个专用终结点。 使用这种做法可以避免出现重复条目或 DNS 解析冲突。
可以在同一虚拟网络中的相同或不同子网上创建多个专用终结点。 在一个订阅中可以创建的专用终结点数量有限制。
包含专用链接资源的订阅必须注册到 Micosoft.Network 资源提供程序。 包含专用终结点的订阅也必须注册到 Micosoft.Network 资源提供程序。
专用终结点的网络安全性
使用专用终结点时,流量将受到保护,只能发送到专用链接资源。 平台会验证网络连接,仅允许那些抵达指定的专用链接资源的网络连接。 要访问同一 Azure 服务中的其他子资源,需要更多具有相应目标的专用终结点。 例如,对于 Azure 存储,需要单独的专用终结点来访问文件和 blob 子资源。
专用终结点为 Azure 服务提供了可访问的专用 IP 地址,但不一定会限制公共网络对它的访问。 但是,所有其他 Azure 服务都需要额外的访问控制。 这些控制为资源提供了一个额外的网络安全层,提供保护以帮助防止访问与专用链接资源关联的 Azure 服务。
专用终结点支持网络策略。 网络策略启用对网络安全组 (NSG)、用户定义的路由 (UDR) 和应用程序安全组 (ASG) 的支持。
对于专用终结点连接,专用链接资源所有者可以:
- 查看所有专用终结点连接的详细信息。
- 批准专用终结点连接。 将允许相应的专用终结点向专用链接资源发送流量。
- 拒绝专用终结点连接。 相应的专用终结点将会更新以反映该状态。
- 删除任何状态的专用终结点连接。 相应的专用终结点将更新为断开连接状态,以反映该操作。 此时,专用终结点所有者只能删除该资源。
使用审批工作流访问专用链接资源
可以使用以下连接审批方法连接到专用链接资源:
自动批准:当你有特定专用链接资源的权限时,请使用此方法。 所需的权限基于采用以下格式的专用链接资源类型:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
手动请求:当你没有所需的权限并希望请求访问权限时,请使用此方法。 将启动审批工作流。 将会创建处于挂起状态的专用终结点和后续专用终结点连接。 专用链接资源所有者负责审批该连接。 获得批准后,专用终结点即可正常发送流量,如以下审批工作流图所示:
对于专用终结点连接,专用链接资源所有者可以:
- 查看所有专用终结点连接的详细信息。
- 批准专用终结点连接。 将允许相应的专用终结点向专用链接资源发送流量。
- 拒绝专用终结点连接。 相应的专用终结点将会更新以反映该状态。
- 删除任何状态的专用终结点连接。 相应的专用终结点将更新为断开连接状态,以反映该操作。 此时,专用终结点所有者只能删除该资源。
备注
只有处于“已批准”状态的专用终结点才能将流量发送到指定的专用链接资源。
使用别名进行连接
别名是当服务所有者在标准负载均衡器后面创建专用链接服务时,生成的唯一名字对象。 服务所有者可以脱机与服务的使用者共享此别名。
使用者可以使用资源统一资源标识符 (URI) 或别名请求与专用链接服务的连接。 若要使用别名进行连接,请使用手动连接审批方法创建专用终结点。 若要使用手动连接审批方法,请在专用终结点创建流期间将手动请求参数设置为 True。
注意
如果在提供商端将使用者订阅加入允许列表,则系统可以自动批准此手动请求。
DNS 配置
用于连接到专用链接资源的 DNS 设置非常重要。 现有 Azure 服务可能已具有在通过公共终结点进行连接时可使用的 DNS 配置。 为了通过专用终结点连接到同一服务,需要单独进行 DNS 设置,通常通过专用 DNS 区域进行配置。 使用完全限定的域名 (FQDN) 进行连接时,请确保 DNS 设置正确。 设置必须解析为专用终结点的专用 IP 地址。
与专用终结点关联的网络接口包含配置 DNS 所需的信息。 信息包括专用链接资源的 FQDN 和专用 IP 地址。
限制
以下信息列出了使用专用终结点的已知限制:
静态 IP 地址
限制 | 描述 |
---|---|
目前不支持静态 IP 地址配置。 | Azure Kubernetes 服务 (AKS) Azure 应用程序网关 HDInsight 恢复服务保管库 第三方专用链接服务 |
网络安全组
限制 | 描述 |
---|---|
有效路由和安全规则不适用于专用终结点网络接口。 | 不会为 Azure 门户中的专用终结点 NIC 显示有效路由和安全规则。 |
不支持 NSG 流日志。 | NSG 流日志不适用于发往专用终结点的入站流量。 |
应用程序安全组中的成员不能超过 50 个。 | 50 是可以绑定到每个相应 ASG 的 IP 配置数,而 ASG 则与专用终结点子网上的 NSG 耦合。 超过 50 个成员可能会发生连接失败。 |
支持的目标端口范围最多为 250K 的因数。 | 支持的目标端口范围为 SourceAddressPrefixes、DestinationAddressPrefiques 和 DestinationPortRanges 的乘法。 示例入站规则: 1 source * 1 destination * 4K portRanges = 4K,有效 10 sources * 10 destinations * 10 portRanges = 1 K,有效 50 sources * 50 destinations * 50 portRanges = 125 K,有效 50 sources * 50 destinations * 100 portRanges = 250 K,有效 100 sources * 100 destinations * 100 portRanges = 1M,无效,NSG 的源/目标/端口过多。 |
源端口筛选。 | 对于发往专用终结点的流量,源端口筛选不会主动用作有效的流量筛选方案。 |
在选定区域中不可用的功能。 | 当前在以下区域中不可用: 印度西部 澳大利亚中部 2 南非西部 巴西东南部 所有政府区域 所有中国区域 |
NSG 更多注意事项
拒绝专用终结点的出站流量不是有效的方案,因为服务提供商无法发起流量。
在使用专用终结点和添加 NSG 安全筛选器时,以下服务可能需要打开所有目标端口:
- Azure Cosmos DB
- Azure Cosmos DB
UDR
限制 | 描述 |
---|---|
建议始终使用 SNAT。 | 由于专用终结点数据平面的可变性,建议对发往专用终结点的流量执行 SNAT,以确保采用返回流量。 |
在选定区域中不可用的功能。 | 当前在以下区域中不可用: 印度西部 澳大利亚中部 2 南非西部 巴西东南部 |
应用程序安全组
限制 | 描述 |
---|---|
在选定区域中不可用的功能。 | 当前在以下区域中不可用: 印度西部 澳大利亚中部 2 南非西部 巴西东南部 |