什麼是私人端點?
私人端點是使用虛擬網路之私人 IP 位址的網路介面。 此網路介面能夠以私人且安全的方式連線至 Azure Private Link 提供的服務。 透過啟用私人端點,您將服務帶入您的虛擬網路。
服務可能為 Azure 服務,例如:
- Azure 儲存體
- Azure Cosmos DB
- Azure SQL Database
- 您自己的服務 (使用 Private Link 服務)。
私人端點屬性
私人端點會指定下列屬性:
屬性 | 描述 |
---|---|
Name | 資源群組內的唯一名稱。 |
子網路 | 要部署的子網路,指派的私人 IP 位址所在。 如需子網路需求,請參閱本文稍後的限制一節。 |
私人連結資源 | 從可用類型清單中,使用資源識別碼或別名進行連線的私人連結資源。 系統會為傳送至此資源的所有流量產生唯一的網路識別碼。 |
目標子資源 | 要連線的子資源。 每個私人連結資源類型都有各種不同的選項,您可根據偏好進行選取。 |
連線核准方法 | 自動或手動。 視 Azure 角色型存取控制權限,可以自動核准您的私人端點。 如果您連線至私人連結資源而未具備 Azure 角色型權限,請使用手動方法,讓資源的擁有者核准連線。 |
要求訊息 | 您可以指定要讓要求的連線能夠手動核准的訊息。 此訊息可以用來識別特定要求。 |
連線狀態 | 唯讀屬性,指出私人端點是否作用中。 只有處於核准狀態的私人端點可以用來傳送流量。 更多可用的狀態: |
當您建立私人端點時,請考慮下列事項:
私人端點可讓您從下列相同環境的客戶之間連線:
- 虛擬網路
- 區域對等互連的虛擬網路
- 全域對等互連的虛擬網路
- 使用 VPN 或 Express Route 的內部部署環境
- 由 Private Link 提供的服務
只有連線到私人端點的用戶端才能起始網路連線。 服務提供者沒有路由設定,無法建立服務客戶的連線。 只能建立單向連線。
唯讀網路介面會針對私人端點的生命週期自動建立。 系統會從對應至私人連結資源的子網路中,為該介面指派動態私人 IP 位址。 私人 IP 位址值在私人端點整個生命週期中都保持不變。
私人端點必須部署在與虛擬網路相同的區域和訂閱中。
私人連結資源可以部署在與虛擬網路和私人端點所在區域不同的區域中。
您可以使用相同的私人端點資源建立多個私人端點。 針對使用一般 DNS 伺服器設定的單一網路,建議的做法是針對指定的私人端點資源使用單一私人端點。 使用此做法可避免 DNS 解析中出現重複的項目或衝突。
您可以在同一個虛擬網路內的相同或不同子網路中建立多個私人端點。 您可以在訂用帳戶中建立的私人端點數目有所限制。 如需詳細資訊,請參閱 Azure 限制。
包含私人連結資源的訂用帳戶必須向 Microsoft 網路資源提供者註冊。 包含私人端點的訂用帳戶也必須向 Microsoft 網路資源提供者註冊。 如需詳細資訊,請參閱 Azure 資源提供者。
私人連結資源
私人連結資源是所指定私人端點的目的地目標。 下表列出支援私人端點的可用資源:
私人連結資源名稱 | 資源類型 | 子資源 |
---|---|---|
應用程式閘道 | Microsoft.Network/applicationgateways | 前端 IP 設定名稱 |
Azure AI 搜尋服務 | Microsoft.Search/searchServices | searchService |
Azure AI 服務 | Microsoft.CognitiveServices/accounts | account |
Azure API for FHIR (快速健康照護互通資源) | Microsoft.HealthcareApis/services | fhir |
Azure API 管理 | Microsoft.ApiManagement/service | 閘道 |
Azure 應用程式組態 | Microsoft.Appconfiguration/configurationStores | configurationStores |
Azure App Service | Microsoft.Web/hostingEnvironments | 裝載環境 |
Azure App Service | Microsoft.Web/sites | 網站 |
Azure 證明服務 | Microsoft.Attestation/attestationProviders | standard |
Azure Automation | Microsoft.Automation/automationAccounts | Webhook、DSCAndHybridWorker |
Azure 備份 | Microsoft.RecoveryServices/vaults | AzureBackup, AzureSiteRecovery |
Azure Batch | Microsoft.Batch/batchAccounts | batchAccount,nodeManagement |
Azure Cache for Redis | Microsoft.Cache/Redis | redisCache |
Azure Cache for Redis Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
Azure Container Registry | Microsoft.ContainerRegistry/registries | 登錄 |
Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | SQL、MongoDB、Cassandra、Gremlin、Table |
Azure Cosmos DB for MongoDB 虛擬核心 | Microsoft.DocumentDb/mongoClusters | mongoCluster |
Azure Cosmos DB for PostgreSQL | Microsoft.DBforPostgreSQL/serverGroupsv2 | coordinator |
Azure 資料總管 | Microsoft.Kusto/clusters | 叢集 |
Azure Data Factory | Microsoft.DataFactory/factories | dataFactory |
適用於 MariaDB 的 Azure 資料庫 | Microsoft.DBforMariaDB/servers | mariadbServer |
適用於 MySQL 的 Azure 資料庫 - 彈性伺服器 | Microsoft.DBforMySQL/flexibleServers | mysqlServer |
適用於 MySQL 的 Azure 資料庫 - 單一伺服器 | Microsoft.DBforMySQL/servers | mysqlServer |
適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器 | Microsoft.DBforPostgreSQL/flexibleServers | postgresqlServer |
適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器 | Microsoft.DBforPostgreSQL/servers | postgresqlServer |
Azure Databricks | Microsoft.Databricks/workspaces | databricks_ui_api,browser_authentication |
Azure 裝置佈建服務 | Microsoft.Devices/provisioningServices | iotDps |
Azure Digital Twins | Microsoft.DigitalTwins/digitalTwinsInstances | API |
事件格線 | Microsoft.EventGrid/domains | 網域 |
事件格線 | Microsoft.EventGrid/topics | 主題 |
Azure 事件中樞 | Microsoft.EventHub/namespaces | 命名空間 |
Azure 檔案同步 | Microsoft.StorageSync/storageSyncServices | 檔案同步服務 |
Azure HDInsight | Microsoft.HDInsight/clusters | 叢集 |
Azure IoT Central | Microsoft.IoTCentral/IoTApps | IoTApps |
Azure IoT 中樞 | Microsoft.Devices/IotHubs | iotHub |
Azure Key Vault | Microsoft.KeyVault/vaults | 保存庫 |
Azure Key Vault HSM (硬體安全模組) | Microsoft.Keyvault/managedHSMs | HSM |
Azure Kubernetes Service - Kubernetes API | Microsoft.ContainerService/managedClusters | 管理 |
Azure Machine Learning | Microsoft.MachineLearningServices/registries | amlregistry |
Azure Machine Learning | Microsoft.MachineLearningServices/workspaces | amlworkspace |
Azure 受控磁碟 | Microsoft.Compute/diskAccesses | 受控磁碟 |
Azure 媒體服務 | Microsoft.Media/mediaservices | keydelivery、liveevent、streamingendpoint |
Azure Migrate | Microsoft.Migrate/assessmentProjects | 專案 |
Azure 監視器私人連結範圍 | Microsoft.Insights/privatelinkscopes | azuremonitor |
Azure 轉送 | Microsoft.Relay/namespaces | 命名空間 |
Azure 服務匯流排 | Microsoft.ServiceBus/namespaces | 命名空間 |
Azure SignalR Service | Microsoft.SignalRService/SignalR | signalr |
Azure SignalR Service | Microsoft.SignalRService/webPubSub | webpubsub |
Azure SQL Database | Microsoft.Sql/servers | SQL Server (sqlServer) |
Azure SQL 受控執行個體 | Microsoft.Sql/managedInstances | managedInstance |
Azure 靜態 Web 應用程式 | Microsoft.Web/staticSites | staticSites |
Azure 儲存體 | Microsoft.Storage/storageAccounts | Blob (blob、blob_secondary) 資料表 (table、table_secondary) 佇列 (queue、queue_secondary) 檔案 (file、file_secondary) Web (web、web_secondary) Dfs (dfs、dfs_secondary) |
Azure Synapse | Microsoft.Synapse/privateLinkHubs | web |
Azure Synapse Analytics | Microsoft.Synapse/workspaces | SQL、SqlOnDemand、Dev |
Azure 虛擬桌面 - 主機集區 | Microsoft.DesktopVirtualization/hostpools | connection |
Azure 虛擬桌面 - 工作區 | Microsoft.DesktopVirtualization/workspaces | 摘要 全域 |
IoT 中樞的裝置更新 | Microsoft.DeviceUpdate/accounts | DeviceUpdate |
整合帳戶 (進階版) | Microsoft.Logic/integrationAccounts | integrationAccount |
Microsoft Purview | Microsoft.Purview/accounts | account |
Microsoft Purview | Microsoft.Purview/accounts | 入口網站 |
Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
Private Link 服務 (您自己的服務) | Microsoft.Network/privateLinkServices | empty |
資源管理私人連結 | Microsoft.Authorization/resourceManagementPrivateLinks | ResourceManagement |
注意
您只能在一般目的 v2 (GPv2) 儲存體帳戶上建立私人端點。
私人端點的網路安全性
當您使用私人端點時,流量會受到保護,只能傳送到私人連結資源。 平台會驗證網路連線,只允許那些觸達指定私人連結資源的網路連線。 若要存取相同 Azure 服務內的更多子資源,需要具有對應目標的更多私人端點。 例如,在 Azure 儲存體的情況下,您需要個別的私人端點來存取檔案和 Blob 子資源。
私人端點會為 Azure 服務提供私人可存取的 IP 位址,但不一定會限制其公用網路存取。 不過,所有其他 Azure 服務都需要額外的存取控制。 這些控制項為您的資源提供額外的網路安全性層,提供保護以協助防止存取與私人連結資源相關聯的 Azure 服務。
私人端點支援網路原則。 網路原則可支援網路安全性群 (NSG)、使用者定義路由 (UDR) 和應用程式安全性群組 (ASG)。 如需為私人端點啟用網路原則的詳細資訊,請參閱<管理私人端點的網路原則>(機器翻譯)。 若要搭配私人端點使用 ASG,請參閱<使用私人端點設定應用程式安全性群組 (ASG)>(機器翻譯)。
使用核准工作流程存取私人連結資源
您可以使用下列連線核准方法來連線到私人連結資源:
自動核准:當您擁有或具有特定私人連結資源的權限時,請使用此方法。 所需的權限是以下列格式的私人連結資源類型為基礎:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
手動要求:當您沒有必要權限且想要要求存取權限時,請使用此方法。 已起始核准工作流程。 私人端點和稍後的私人端點連線會以 擱置 狀態建立。 私人連結資源擁有者負責核准連線。 核准之後,私人端點會正常傳送流量,如下列核准工作流程圖所示:
透過私人端點連線,私人連結資源擁有者可以:
- 檢閱所有私人端點連線詳細資料。
- 核准私人端點連線。 啟用對應的私人端點,以將流量傳送至私人連結資源。
- 拒絕私人端點連線。 對應的私人端點會更新以反映狀態。
- 刪除任何狀態的私人端點連線。 對應的私人端點會以中斷連線的狀態更新,以反映動作。 私人端點擁有者此時只能刪除資源。
注意
只有處於 核准 狀態的私人端點可以將流量傳送至指定的私人連結資源。
使用別名進行連線
別名是當服務擁有者在標準負載平衡器後方建立私人連結服務時所產生的唯一Moniker。 服務擁有者可以與服務的取用者在離線狀態共用此別名。
取用者可以使用資源 URI 或別名來要求私人連結服務連線。 若要使用別名進行連線,請使用手動連線核准方法來建立私人端點。 若要使用手動連線核准方法,請在私人端點建立流程期間,將手動要求參數設定為 True。 如需詳細資訊,請參閱 New-AzPrivateEndpoint 和 az network private-endpoint create。
注意
如果提供者端上允許列出取用者的訂用帳戶,則可以自動核准此手動要求。 若要深入了解,請移至控制服務存取。
DNS 組態
您用來連線至私人連結資源的 DNS 設定很重要。 現有的 Azure 服務可能已經有 DNS 設定,您可以在透過公用端點連線時使用。 若要透過私人端點連線到相同的服務,通常需要透過私人 DNS 區域設定個別的 DNS 設定。 當您針對連線使用完整網域名稱 (FQDN) 時,請確定您的 DNS 設定正確。 該設定必須解析為私人端點的私人 IP 位址。
與私人端點建立關聯的網路介面包含設定 DNS 所需的資訊。 該資訊包含私人連結資源的 FQDN 和私人 IP 位址。
如需針對私人端點設定 DNS 的建議的完整詳細資訊,請參閱私人端點 DNS 設定。
限制
下列資訊列出使用私人端點的已知限制:
靜態 IP 位址
限制 | 描述 |
---|---|
目前不支援靜態 IP 位址設定。 | Azure Kubernetes Service (AKS) Azure 應用程式閘道 HD Insight 復原服務保存庫 協力廠商 Private Link 服務 |
網路安全性群組
限制 | 描述 |
---|---|
私人端點網路介面無法使用有效的路由和安全性規則。 | Azure 入口網站中的私人端點 NIC 不會顯示有效的路由和安全性規則。 |
不支援 NSG 流量記錄。 | NSG 流量記錄不適用於目的地為私人端點的輸入流量。 |
應用程式安全性群組中的成員不超過 50 個。 | 可以繫結至私人端點子網路上 NSG 的每個個別 ASG 的 IP 設定數目為五十。 超過 50 個成員時,可能會連線失敗。 |
支援的目的地連接埠範圍最高可達 250 K。 | 目的地連接埠範圍支援為 SourceAddressPrefixes、DestinationAddressPrefixes 和 DestinationPortRanges 的乘法。 輸入規則範例: 一個來源 * 一個目的地 * 4K portRanges = 4K 有效 10 個來源 * 10 個目的地 * 10 個 portRanges = 1 K 有效 50 個來源 * 50 個目的地 * 50 portRanges = 125K 有效 50 個來源 * 50 個目的地 * 100 個 portRanges = 250K 有效 100 個來源 * 100 個目的地 * 100 portRanges = 1M 無效,NSG 有太多來源/目的地/連接埠。 |
來源連接埠篩選條件會解譯為 * | 來源連接埠篩選條件不會主動用作流量篩選目的地為私人端點流量的有效案例。 |
選取區域中無法使用的功能。 | 目前在以下區域中無法使用: 印度西部 澳大利亞中部 2 南非西部 巴西東南部 所有政府區域 所有中國區域 |
NSG 其他考量事項
從私人端點拒絕的輸出流量不是有效的案例,因為服務提供者無法產生流量。
使用私人端點並新增 NSG 安全性篩選條件時,下列服務可能需要開啟所有目的地連接埠:
- Azure Cosmos DB - 如需詳細資訊,請參閱服務埠範圍。
UDR
限制 | 描述 |
---|---|
一律建議使用 SNAT。 | 由於私人端點資料平面的變數本質,建議將 SNAT 流量導向以私人端點為目的地,以確保傳回流量可被接受。 |
選取區域中無法使用的功能。 | 目前在以下區域中無法使用: 印度西部 澳大利亞中部 2 南非西部 巴西東南部 |
應用程式安全性群組
限制 | 描述 |
---|---|
選取區域中無法使用的功能。 | 目前在以下區域中無法使用: 印度西部 澳大利亞中部 2 南非西部 巴西東南部 |
下一步
如需私人端點和 Private Link 的詳細資訊,請參閱什麼是 Azure Private Link?。
若要開始為 Web 應用程式建立私人端點,請參閱快速入門:使用 Azure 入口網站來建立私人端點。