什麼是 Azure Private Link?

  • 12 分鐘

在您了解 Azure Private Link 及其功能和優點之前,我們先來看看 Private Link 預計要解決的問題。

Contoso 擁有 Azure 虛擬網路,而您想要連線至 PaaS 資源,例如 Azure SQL 資料庫。 在建立這類資源時,您通常會將公用端點指定為連線方法。

擁有公用端點,表示會為資源指派公用 IP 位址。 因此,即使您的虛擬網路和 Azure SQL 資料庫都位於 Azure 雲端內,這兩者間的連線仍會透過網際網路來進行。

問題在於,您的 Azure SQL 資料庫會透過其公用 IP 位址向網際網路公開。 這類公開會產生多重安全性風險。 透過公用 IP 位址從下列位置存取 Azure 資源時,也會出現相同的安全性風險:

  • 對等互連的 Azure 虛擬網路
  • 使用 ExpressRoute 和 Microsoft 對等互連連線至 Azure 的內部部署網路
  • 客戶的 Azure 虛擬網路,可連線至您的公司提供的 Azure 服務

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing an Azure SQL database via the internet.

Private Link 可用來移除連線的公開部分,以消除這些安全性風險。

Private Link 可提供 Azure 服務的安全存取。 Private Link 可將資源的公用端點取代為私人網路介面,以實現該安全性。 對於這個新架構,有三個要點需要考量:

  • 在某種意義上,Azure 資源會成為您虛擬網路的一部分。
  • 連線至資源時,現在會使用 Microsoft Azure 骨幹網路,而不是公用網際網路。
  • 您可以將 Azure 資源設定為不再公開其公用 IP 位址,這樣就不會有潛在的安全性風險。

什麼是 Azure 私人端點?

私人端點是 Private Link 背後的關鍵技術。 私人端點是一種網路介面,可讓您在虛擬網路與 Azure 服務之間進行私人且安全的連線。 換句話說,私人端點是取代資源公用端點的網路介面。

注意

私人端點並不是免費服務。 對於通過私人端點的輸入和輸出流量,您需支付每小時的固定費用,以及每 GB 的固定費用。

Private Link 可讓您從 Azure 虛擬網路對 Azure 中的 PaaS 服務和 Microsoft 合作夥伴服務進行私人存取。 不過,如果您的公司已建立自己的 Azure 服務供其客戶使用,該怎麼做? 是否可為這些客戶提供對公司服務的私人連線?

可以,使用 Azure Private Link 服務即可。 這種服務可讓您提供對自訂 Azure 服務的 Private Link 連線。 然後,自訂服務的取用者可從自己的 Azure 虛擬網路私下存取這些服務 (也就是不使用網際網路)。

注意

使用 Private Link 服務不需付費。

Private Link 可與私人端點和 Private Link 服務搭配使用,而提供下列優點:

  • 對 Azure 上的 PaaS 服務和 Microsoft 合作夥伴服務進行私人存取。 使用私人端點時,Azure 服務會對應至您的 Azure 虛擬網路。 Azure 資源位於不同的虛擬網路和不同的 Active Directory 租用戶中,並不重要。 對 Azure 虛擬網路中的使用者而言,資源會呈現為該網路的一部分。
  • 在任何區域中對 Azure 服務進行私人存取。 Private Link 可全域運作。 即使 Azure 服務的虛擬網路與您自己的虛擬網路位於不同的區域,您仍可對該服務進行私人連線。
  • Azure 服務的非公用路由。 一旦 Azure 服務對應至您的虛擬網路,流量路由就會變更。 虛擬網路與 Azure 服務之間的所有輸入和輸出流量,都會透過 Microsoft Azure 骨幹網路來傳輸。 公用網際網路絕不會用於服務流量。
  • 不再需要公用端點。 由於對應的 Azure 服務所有的進出流量現在都會經由 Microsoft Azure 骨幹傳輸,因此已不再需要該服務的公用端點。 您可以停用該公用端點,因而消除可能的安全性威脅。
  • 您對等互連的 Azure 虛擬網路也將可存取 Private Link 支援的資源。 如果您正在使用一或多個對等互連的 Azure 虛擬網路,這些對等互連的網路不需額外設定即可存取私人 Azure 資源。 任何對等互連網路內的用戶端,都可以存取您已對應至 Azure 服務的任何私人端點。
  • 您的內部部署網路也將可存取 Private Link 支援的資源。 您的內部部署網路是否使用 ExpressRoute 私人對等互連或是 VPN 通道連線至 Azure 虛擬網路? 如果是,內部部署網路內的用戶端不需額外設定,即可存取私人 Azure 資源。
  • 防止資料外流。 將私人端點對應至 Azure 服務時,應對應至該服務的特定執行個體。 例如,如果您要設定對 Azure 儲存體的私人存取,則應將存取權對應至 Blob、資料表或其他儲存體執行個體。 如果網路中的虛擬機器遭到入侵,攻擊者將無法把資料移至或複製到其他資源執行個體。
  • 對您自己的 Azure 服務進行私人存取。 您可以執行 Private Link 服務,並允許客戶對您自訂的 Azure 服務進行私人存取。

Private Link 和私人端點可與許多 Azure 服務搭配運作。 若要掌握支援 Private Link 的最新服務和區域的最新資訊,請參閱 Azure 更新