كيف تعمل Azure Private Link

  • 10 دقائق

أنت على دراية بالميزات والمزايا الأساسية لـ Private Link. الآن دعنا نتحقق من طريقة عمل Private Link. على وجه الخصوص، دعنا نفكر في كيفية عملها مع نقطة النهاية الخاصة وخدمة الارتباط الخاص لتقديم وصول خاص إلى خدمات Azure. تساعدك هذه المعلومات على تقييم ما إذا كان Private Link هو الحل الصحيح لشركتك.

توفر Private Link وصولاً خاصًا إلى خدمات Azure. وكلمة "private (خاص)" هنا، تعني أن الاتصال يستخدم شبكة Microsoft Azure الأساسية بدلاً من الإنترنت. لإجراء هذا التبديل، يغير Private Link أسلوب الاتصال لمورد Azure من نقطة النهاية العامة إلى نقطة النهاية الخاصة.

الآن لا يمكنك الوصول إلى مورد Azure باستخدام عنوان IP عام. بدلاً من ذلك، يمكنك استخدام عنوان IP خاص تعينه Azure للمورد من مساحة العنوان لشبكتك الفرعية.

الاستنتاجات الرئيسية؟ أصبح مورد Azure الآن جزءًا فعالاً من شبكتك الظاهرية. يمكن للعملاء على شبكتك الوصول إلى مورد Private Link هذا تماما مثل أي مورد شبكة آخر.

لمزيد من الأمان، يستخدم الاتصال بالمورد الآن شبكة Microsoft Azure الأساسية. ما يعني أن أي نسبة استخدام الشبكة من وإلى المورد تتجاوز الإنترنت العام بالكامل.

ومع ذلك، لا تزال نقطة النهاية العامة للمورد موجودة، على الرغم من أنك لا تستخدمها. لا يزال وجود نقطة النهاية العامة، حتى وإن كانت غير مستخدمة، يمثل خطرًا أمنيًا. لحسن الحظ، من الممكن تعطيل نقطة النهاية العامة لمورد Azure، والتي تتجاوز مشكلة الأمان المحتملة هذه.

كيف تعمل نقطة النهاية الخاصة لـ Azure

كيف تقوم بتحويل واجهة الموارد من عامة إلى خاصة؟ أضف نقطة النهاية الخاصة لـ Azure إلى تكوين الشبكة. نقطة النهاية الخاصة هي واجهة شبكة تنشئ اتصالاً خاصًا بين شبكتك الظاهرية ومورد Azure المحدد.

تأخذ نقطة النهاية الخاصة عنوان IP خاصًا غير مستخدم من مساحة العنوان لشبكة فرعية محددة في شبكتك الظاهرية. على سبيل المثال، افترض أن لديك شبكة فرعية تستخدم مساحة العنوان 10.1.0.0/24. تستخدم الأجهزة الظاهرية على تلك الشبكة الفرعية عناوين IP مثل 10.1.0.20 أو 10.1.0.155.

تحصل نقطة النهاية الخاصة على عنوان IP من نفس مساحة العنوان، مثل 10.1.0.32. ثم تقوم نقطة النهاية الخاصة بتعيين هذا العنوان لخدمة Azure المحددة. يؤدي استخدام عنوان IP الخاص إلى إحضار الخدمة بفعالية إلى شبكتك الظاهرية.

إشعار

لا يحتاج العملاء الذين يتصلون بمورد Private Link إلى استخدام عنوان IP المعين لنقطة النهاية الخاصة في سلسلة الاتصال. بدلاً من ذلك، إذا قمت بتكوين نقطة خاصة للتكامل مع منطقة نظام أسماء المجالات الخاصة بك، فسيقوم Azure تلقائيًا بتعيين اسم مجال مؤهل بالكامل إلى نقطة النهاية. على سبيل المثال، إذا كان مورد Private Link عبارة عن جدول مساحة تخزين Azure، فسيكون اسم المجال المؤهل بالكامل مثل mystorageaccount1234.table.core.windows.net.

فيما يلي بعض النقاط الأساسية التي يجب مراعاتها عند تقييم نقطة النهاية الخاصة:

  • توفر نقطة النهاية الخاصة اتصالاً خاصًا بين الأجهزة الظاهرية والعملاء الآخرين على شبكة Azure الظاهرية وخدمات Azure التي تعمل باستخدام Private Link.
  • توفر نقطة النهاية الخاصة اتصالاً خاصًا بين شبكاتك الظاهرية الإقليمية المتناظرة وخدمات Azure التي تعمل باستخدام Private Link.
  • توفر نقطة الاتصال الخاصة اتصالاً خاصًا بين شبكاتك الظاهرية بشكل عمومي وخدمات Azure التي تعمل باستخدام Private Link.
  • توفر نقطة الاتصال الخاصة اتصالاً خاصًا بين شبكتك المحلية -المتصلة عبر التناظر الخاص لـ ExpressRoute أو VPN- وخدمات Azure التي تعمل باستخدام Private Link.
  • يمكنك نشر 1000 واجهة نقطة الاتصال الخاصة كحد أقصى لكل شبكة ظاهرية.
  • يمكنك نشر 64000 واجهة نقطة الاتصال الخاصة كحد أقصى لكل اشتراك Azure.
  • يمكنك تعيين 1000 واجهة لنقطة الاتصال الخاصة بحد أقصى لمورد الارتباط الخاص نفسه.

تنبيه

على الرغم من أنه من الممكن تعيين العديد من واجهات نقطة الاتصال الخاصة لمورد واحد، فإنه لا يوصى بذلك لأن القيام بذلك قد يؤدي إلى تعارضات في نظام أسماء المجالات ومشاكل أخرى. أفضل الممارسات هي تعيين نقطة الاتصال الخاصة واحدة فقط لمورد رابط خاص واحد.

  • الاتصالات هي طريقة واحدة، ما يعني أنه يمكن للعملاء فقط الاتصال بواجهة نقطة الاتصال الخاصة. إذا تم تعيين خدمة Azure لواجهة نقطة الاتصال الخاصة، فلن يتمكن موفر تلك الخدمة من الاتصال (أو حتى ملاحظة) واجهة نقطة الاتصال الخاصة.
  • تعد واجهة نقطة النهاية الخاصة التي تم نشرها للقراءة فقط، ما يعني أنه لا يمكن لأحد تعديلها. على سبيل المثال، لا يمكن لأي شخص تعيين الواجهة لمورد مختلف، ولا يمكن لأي شخص تغيير عنوان IP الخاص بالواجهة.
  • على الرغم من أنه يجب عليك نشر نقطة الاتصال الخاصة في نفس المنطقة مثل الشبكة الظاهرية الخاصة بك، يمكن أن يوجد مورد Private Link في منطقة مختلفة.

إشعار

ما هو الفرق بين نقطة النهاية لخدمة ونقطة الاتصال الخاصة؟ تقوم نقطة نهاية الخدمة بتكوين مورد Azure للسماح بالاتصالات فقط من شبكة ظاهرية محددة. ومع ذلك، لا يزال هذا الاتصال يتم عبر نقطة النهاية العامة للمورد، لذلك لا تزال هناك بعض المخاطر الأمنية. تزيل نقطة النهاية الخاصة تلك المخاطر من خلال دعم تعطيل نقطة النهاية العامة للمورد.

توفر خدمة Azure Private Link مزايا الارتباط الخاص لخدمات Azure المخصصة. المطلب الوحيد هو تشغيل الخدمة المخصصة الخاصة بك خلفAzure Standard Load Balancer. يمكنك بعد ذلك إنشاء مورد Private Link Service وإرفاقه بموازنة التحميل.

تنبيه

تقدم Azure إصدارين من موازنة التحميل الخاص به: أساسية وقياسية. لا تدعم Basic Load Balancer خدمة Private Link، لذا تأكد من أنك تستخدم Standard Load Balancer.

بمجرد إنشاء مورد Private Link Service، يصدر Azure اسما مستعارا للمورد، وهو سلسلة فريدة للقراءة فقط بشكل عام مع بادئة بناء الجملة.guid.لاحقة:

  • البادئة. اسم تقدمه للخدمة المخصصة.
  • guid. معرف فريد عمومي يتم إنشاؤه تلقائيًا بواسطة Azure.
  • لاحقة. منطقة النص region.azure.privatelinkservice؛ المنطقة هي المنطقة التي يتم فيها نشر خدمة الارتباط الخاص.

أنت تشارك الاسم المستعار لـ Private Link Service مع مستهلكي الخدمة المخصصة الخاصة بك. يقوم كل مستهلك بعد ذلك بإعداد نقطة النهاية الخاصة في شبكة Azure الظاهرية الخاصة به. يقوم المستهلك بعد ذلك بتعيين نقطة النهاية إلى الاسم المستعار لـ Private Link Service.

فيما يلي بعض النقاط الأساسية التي يجب مراعاتها عند تقييم Private Link Service:

  • يمكن الوصول إلى Private Link Service عبر نقطة النهاية الخاصة في أي منطقة عامة.
  • يجب نشر Private Link Service في نفس المنطقة مثل موازنة التحميل القياسي والشبكة الظاهرية التي تستضيف خدمة Azure المخصصة.
  • يمكنك نشر 800 من موارد خدمة Private Link Service كحد أقصى لكل اشتراك Azure.
  • يمكن تعيين 1000 واجهة نقطة النهاية الخاصة بحد أقصى لمورد Private Link Service واحد.
  • يمكنك نشر العديد من موارد خدمة Private Link Service على نفس موازنة التحميل القياسي باستخدام تكوينات IP الأمامية المختلفة.

جمع كل ذلك معاً

هل هدفك هو الوصول إلى مورد Azure دون استخدام الإنترنت العام؟ هل تريد تقديم مورد Azure مخصص بشكل خاص؟ إذا أجبت بنعم على سؤال واحد أو كلا السؤالين، فإن Private Link ونقطة النهاية الخاصة وخدمة Private Link Service، تنجز كلها المهمة على النحو التالي:

  • للوصول بشكل خاص إلى خدمة النظام الأساسي كخدمة لـ Azure أو خدمة Azure من أحد شركاء Microsoft، أنشئ نقطة اتصال خاصة في شبكة فرعية لشبكة Azure الظاهرية. تستخدم نقطة النهاية الخاصة Private Link للوصول إلى خدمة Azure باستخدام عنوان IP خاص عبر العمود الفقري لـ Microsoft Azure. يمكن للشبكات الظاهرية والشبكات المحلية التي تستخدم النظير الخاص لـ ExpressRoute أو نفق VPN الوصول أيضًا إلى خدمة Azure عبر نقطة النهاية الخاصة.
  • لتقديم وصول خاص إلى خدمة Azure مخصصة، ضع الخدمة خلف موازنة تحميل قياسي، وأنشئ مورد خدمة Private Link Service، وأرفقه بتكوين IP للواجهة الأمامية لموازنة التحميل.

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing Azures services via a private IP address mapped by Private Endpoint.