Tento článek obsahuje pokyny pro používání Azure Private Link v topologii sítě s paprsky. Cílová skupina zahrnuje síťové architekty a architekty cloudových řešení. Konkrétně tento průvodce popisuje, jak používat privátní koncový bod Azure k privátnímu přístupu k prostředkům PaaS (platforma jako služba).
Tato příručka se nezasažuje o integraci virtuální sítě, koncových bodech služeb a dalších řešeních pro připojení komponent infrastruktury jako služby (IaaS) k prostředkům Azure PaaS. Další informace o těchto řešeních najdete v tématu Integrace služeb Azure s virtuálními sítěmi pro izolaci sítě.
Přehled
Následující části obsahují obecné informace o Private Link a jeho prostředí.
Topologie center a paprsků Azure
Centrum a paprsky je síťová topologie, kterou můžete použít v Azure. Tato topologie dobře funguje pro efektivní správu komunikačních služeb a plnění požadavků na zabezpečení ve velkém měřítku. Další informace o síťových modelech s rozbočovači a paprsky najdete v tématu Topologie sítě s paprsky.
S využitím centrální a paprskové architektury můžete využít tyto výhody:
- Nasazení jednotlivých úloh mezi centrálními IT týmy a týmy úloh
- Úspora nákladů minimalizací redundantních prostředků
- Efektivní správa sítí centralizací služeb, které sdílí více úloh
- Překonání limitů přidružených k jednomu předplatnému Azure
Tento diagram znázorňuje typickou topologii centra a paprsku, kterou můžete nasadit v Azure:
Na levé straně diagram obsahuje tečkované pole s popiskem Místní síť. Obsahuje ikony pro virtuální počítače a názvové servery domény. Obousměrná šipka připojí toto pole k tečkovanému rámečku v pravé virtuální síti s popiskem Rozbočovač. Ikona nad šipkou je označená Azure ExpressRoute. Pole rozbočovače obsahuje ikony pro služby předávání D N S. Šipky míří od rozbočovače k ikonám privátních zón D N S. Obousměrná šipka připojí rámeček rozbočovače k poli pod polem s popiskem Virtuální síť cílové zóny. Napravo od šipky je ikona označená jako Partnerský vztah virtuální sítě. Pole cílové zóny obsahuje ikony pro virtuální počítač a privátní koncový bod. Šipka ukazuje z privátního koncového bodu na ikonu úložiště, která je mimo rámeček cílové zóny.
Stáhněte si SVG této architektury.
Tato architektura je jednou ze dvou možností síťové topologie, kterou Azure podporuje. Tento klasický referenční návrh používá základní síťové komponenty, jako je Azure Virtual Network, partnerský vztah virtuálních sítí a trasy definované uživatelem. Při používání centra a paprsku zodpovídáte za konfiguraci služeb. Musíte také zajistit, aby síť splňovala požadavky na zabezpečení a směrování.
Azure Virtual WAN nabízí alternativu pro nasazení ve velkém měřítku. Tato služba používá zjednodušený návrh sítě. Virtual WAN také snižuje režijní náklady na konfiguraci související se směrováním a zabezpečením.
Private Link podporuje různé možnosti pro tradiční sítě s centrem a paprsky a pro Virtual WAN sítě.
Private Link
Private Link poskytuje přístup ke službám přes síťové rozhraní privátního koncového bodu. Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě. Přes privátní IP adresu máte přístup k různým službám:
- Služby Azure PaaS
- Služby vlastněné zákazníkem, které Azure hostuje
- Partnerské služby, které Azure hostuje
Provoz mezi vaší virtuální sítí a službou, ke které přistupujete, se přechádlí přes páteřní síť Azure. V důsledku toho už nebudete ke službě přistupovat přes veřejný koncový bod. Další informace najdete v tématu Co je Azure Private Link?.
Následující diagram ukazuje, jak se místní uživatelé připojují k virtuální síti a používají Private Link pro přístup k prostředkům PaaS:
Diagram obsahuje tečkované pole na levé straně označené jako Síť konzumentů. Ikona je na ohraničení a je označená Azure ExpressRoute. Mimo rámeček na levé straně jsou ikony pro místní uživatele a soukromý partnerský vztah. Uvnitř je menší tečkovaná rámeček s popiskem Podsíť, která obsahuje ikony pro počítače a privátní koncové body. Ohraničení menšího boxu obsahuje ikonu pro skupinu zabezpečení sítě. Z vnitřního pole proudí dvě tečkované šipky. Procházejí také ohraničením vnějšího rámečku. Jeden odkazuje na tečkované pole na pravé straně, které je naplněné ikonami pro služby Azure. Druhá šipka ukazuje na tečkované pole v pravé síti poskytovatelů. Pole pro síť poskytovatele obsahuje menší tečkované pole a ikonu pro Azure Private Link. Menší tečkované pole obsahuje ikony pro počítače. Jeho ohraničení obsahuje dvě ikony: jednu pro nástroj pro vyrovnávání zatížení a jednu pro skupinu zabezpečení sítě.
Stáhněte si SVG této architektury.
Rozhodovací strom pro Private Link nasazení
Privátní koncové body můžete nasadit buď v centru, nebo v paprsku. Několik faktorů určuje, které umístění funguje nejlépe v každé situaci. Faktory jsou relevantní pro služby Azure PaaS a pro služby vlastněné zákazníky a partnerské služby, které Azure hostuje.
Otázky ke zvážení
K určení nejlepší konfigurace pro vaše prostředí použijte následující otázky:
Používá Virtual WAN připojení k síti?
Pokud používáte Virtual WAN, můžete privátní koncové body nasadit jenom do paprskových virtuálních sítí, které se připojíte k virtuálnímu centru. Prostředky nemůžete nasadit do virtuálního nebo zabezpečeného centra.
Další informace o integraci privátního koncového bodu do sítě najdete v těchto článcích:
Používáte síťové virtuální zařízení, jako je Azure Firewall?
Provoz do privátního koncového bodu používá páteřní síť Azure a je šifrovaný. Možná budete muset tento provoz protokolovat nebo filtrovat. Bránu firewall můžete použít také k analýze toku provozu do privátního koncového bodu, pokud používáte bránu firewall v kterékoli z těchto oblastí:
- Napříč paprsky
- Mezi centrem a paprsky
- Mezi místními komponentami a sítěmi Azure
V takovém případě nasaďte privátní koncové body ve svém centru ve vyhrazené podsíti. Toto uspořádání:
- Zjednodušuje konfiguraci pravidel zabezpečeného překladu adres (SNAT). Ve svém síťovém virtuálním zařízení můžete vytvořit jedno pravidlo SNAT pro provoz do vyhrazené podsítě, která obsahuje vaše privátní koncové body. Provoz můžete směrovat do jiných aplikací bez použití SNAT.
- Zjednodušuje konfiguraci směrovací tabulky. Pro provoz, který prochází do privátních koncových bodů, můžete přidat pravidlo pro směrování tohoto provozu přes síťové virtuální zařízení. Toto pravidlo můžete znovu použít napříč všemi paprsky, bránami virtuální privátní sítě (VPN) a Azure ExpressRoute branami.
- Umožňuje použít pravidla skupiny zabezpečení sítě pro příchozí provoz v podsíti, kterou vyjádíte pro privátní koncový bod. Tato pravidla filtruje provoz do vašich prostředků. Poskytují jedno místo pro řízení přístupu k vašim prostředkům.
- Centralizuje správu privátních koncových bodů. Pokud nasadíte všechny privátní koncové body na jednom místě, můžete je efektivněji spravovat ve všech virtuálních sítích a předplatných.
Pokud všechny vaše úlohy potřebují přístup ke každému prostředku PaaS, který chráníte pomocí Private Link, je tato konfigurace vhodná. Pokud ale vaše úlohy přistupuje k různým prostředkům PaaS, nasaďte privátní koncové body ve vyhrazené podsíti. Místo toho vylepšete zabezpečení pomocí principu nejmenších oprávnění:
- Umístěte každý privátní koncový bod do samostatné podsítě.
- Dejte k prostředku přístup jenom úlohám, které používají chráněný prostředek.
Používáte privátní koncový bod z místního systému?
Pokud plánujete použití soukromých koncových bodů pro přístup k prostředkům z místního systému, nasaďte koncové body do svého rozbočovače. S tímto uspořádáním můžete využít některé z výhod, které popisuje předchozí část:
- Řízení přístupu k prostředkům pomocí skupin zabezpečení sítě
- Správa privátních koncových bodů v centralizovaném umístění
Pokud plánujete přístup k prostředkům z aplikací, které jste nasadili v Azure, tato situace je odlišná:
- Pokud k vašim prostředkům potřebuje přístup jenom jedna aplikace, nasaďte v paprsku aplikace privátní koncový bod.
- Pokud více než jedna aplikace potřebuje přístup k vašim prostředkům, nasaďte v centru privátní koncový bod.
Vývojový diagram
Následující vývojový diagram shrnuje různé možnosti a doporučení. Vzhledem k tomu, že každý zákazník má jedinečné prostředí, zvažte požadavky vašeho systému při rozhodování, kam umístit soukromé koncové body.
V horní části vývojového diagramu je zelený rámeček označený jako začátek. Šipky ukazuje z tohoto pole na modrý rámeček označený jako Azure Virtual W A N topologie. Z tohoto pole se docházejí dvěma šipkami. Jedna jmenovka Ano odkazuje na oranžový rámeček označený paprskem. Druhá šipka je označena jako ne. Odkazuje na modré pole s popiskem Analýza provozu s N V A nebo Azure Firewall. Dvě šipky také přecházejí z pole Analýza provozu. Jedna jmenovka Ano odkazuje na oranžové pole s popiskem. Druhá šipka je označena jako ne. Odkazuje na modrý rámeček označený jako přístup přes soukromý koncový bod z místního prostředí. V poli privátního koncového bodu se přesměrují dvě šipky. Jedna jmenovka Ano odkazuje na oranžové pole s popiskem. Druhá šipka je označena jako ne. Odkazuje na modrý rámeček označený jediným přístupem k aplikaci. Z tohoto pole se docházejí dvěma šipkami. Jeden označený bez odkazování na oranžové pole s popiskem na střed. Druhá šipka má popisek Ano. Odkazuje na oranžové pole s popiskem paprsku.
Stáhnout SVG této architektury.
Požadavky
Vaše implementace privátního koncového bodu může ovlivnit několik faktorů. Vztahují se na služby Azure PaaS a zákaznické a partnerské služby, které jsou hostiteli Azure. Při nasazení privátního koncového bodu Vezměte v úvahu tyto body:
Sítě
Použijete-li privátní koncový bod ve virtuální síti paprsků, výchozí směrovací tabulka podsítě zahrnuje /32 trasu s typem dalšího segmentu směrování InterfaceEndpoint .
Pokud používáte tradiční topologii hvězdicové a hvězdicové:
- Tuto platnou trasu můžete vidět na úrovni síťového rozhraní virtuálních počítačů.
- Další informace najdete v tématu Diagnostika problému s směrováním virtuálního počítače.
Pokud používáte virtuální síť WAN:
- Tuto trasu můžete vidět v efektivních trasách virtuálního rozbočovače.
- Další informace najdete v tématu zobrazení efektivních tras virtuálních rozbočovačů.
/32Trasa se rozšíří do těchto oblastí:
- Libovolný partnerský vztah virtuálních sítí, který jste nakonfigurovali
- Jakékoli připojení VPN nebo ExpressRoute k místnímu systému
Pokud chcete omezit přístup z vašeho centra nebo místního systému do privátního koncového bodu, použijte skupinu zabezpečení sítě v podsíti, ve které jste nasadili privátní koncový bod. Nakonfigurujte vhodná příchozí pravidla.
Překlad adres
Součásti ve vaší virtuální síti spojují privátní IP adresu s každým privátním koncovým bodem. Tyto součásti můžou tuto privátní IP adresu vyřešit, jenom když použijete určité nastavení DNS (Domain Name System). Pokud používáte vlastní řešení DNS, doporučujeme použít skupiny zón DNS. Integrujte privátní koncový bod s centralizovanou soukromou zónou DNS Azure. Nezáleží na tom, jestli jste nasadili prostředky v centru nebo paprskech. Propojte soukromou zónu DNS se všemi virtuálními sítěmi, které potřebují přeložit název DNS privátního koncového bodu.
S tímto přístupem můžou místní a Azure DNS klienti přeložit název a přistupovat k privátní IP adrese. Referenční implementace najdete v tématu škálování privátního odkazu a integrace DNS.
Náklady
- Při použití privátního koncového bodu v rámci partnerského vztahu regionální virtuální sítě se vám neúčtují poplatky za přenos dat do a z privátního koncového bodu.
- Náklady na partnerský vztah se stále vztahují k jinému provozu prostředků infrastruktury, který je v rámci partnerského vztahu virtuálních sítí.
- Pokud nasadíte privátní koncové body napříč různými oblastmi, budou se účtovat sazby za privátní linky a globální a odchozí partnerské vztahy.
Další informace najdete v tématu ceny šířky pásma.
Další kroky
- Hvězdicová topologie sítě v Azure
- Dostupnost privátního propojení Azure
- Co je privátní koncový bod Azure?
- Co je Azure Virtual Network?
- Co je Azure DNS?
- Co je privátní zóna Azure DNS?
- Kontrola provozu směrovaného do privátního koncového bodu pomocí Azure Firewallu
- Jak skupiny zabezpečení sítě filtr síťového provozu
Související prostředky
- Zpracování datových proudů událostí bez serveru ve virtuální síti s privátními koncovými body
- zabezpečte svůj Microsoft Teams robota a webovou aplikaci za bránou firewall
- privátní připojení webové aplikace ke službě Azure SQL database
- Webová aplikace ve více oblastech s privátním připojením k databázi