Co je privátní koncový bod Azure?
Privátní koncový bod je síťové rozhraní, které používá privátní IP adresu z vaší virtuální sítě. Toto síťové rozhraní se připojuje soukromě a bezpečně ke službě využívající privátní propojení Azure. Povolením privátního koncového bodu přenášíte službu do vaší virtuální sítě.
Služba může být služba Azure, například:
- Azure Storage
- Azure Cosmos DB
- Azure SQL Database
- Vlastní služba využívající službu privátního propojení.
Vlastnosti privátního koncového bodu
Soukromý koncový bod určuje následující vlastnosti:
| Vlastnost | Popis |
|---|---|
| Název | Jedinečný název v rámci skupiny prostředků. |
| Podsíť | Podsíť, která se má nasadit a kam se přiřadí privátní IP adresa Požadavky na podsíť najdete v části omezení v tomto článku. |
| Prostředek privátního propojení | Prostředek privátního propojení pro připojení pomocí ID prostředku nebo aliasu ze seznamu dostupných typů. Pro veškerý provoz odeslaný do tohoto prostředku se vygeneruje jedinečný identifikátor sítě. |
| Cílový podprostředek | Prostředek, který se má připojit. Každý typ prostředku privátního propojení má různé možnosti pro výběr na základě předvolby. |
| Metoda schválení připojení | Automatické nebo ruční. V závislosti na oprávněních řízení přístupu na základě rolí Azure se váš privátní koncový bod dá schvalovat automaticky. Pokud se pokusíte připojit k prostředku privátního propojení bez řízení přístupu na základě role v Azure, použijte ruční metodu, která vlastníkovi prostředku umožní schválení připojení. |
| Zpráva požadavku | Můžete zadat zprávu, aby požadovaná připojení byla schválena ručně. Tato zpráva se dá použít k identifikaci konkrétního požadavku. |
| Stav připojení | Vlastnost jen pro čtení, která určuje, zda je privátní koncový bod aktivní. K odeslání provozu lze použít pouze privátní koncové body ve schváleném stavu. Další stavy k dispozici: -Schváleno: připojení bylo automaticky nebo schváleno a je připraveno k použití. -Čeká na vyřízení: připojení bylo vytvořeno ručně a uživatel čeká na schválení vlastníkem prostředku privátního odkazu. -Odmítnuto: připojení bylo odmítnuto vlastníkem prostředku privátního odkazu. -Odpojeno: připojení bylo odebráno vlastníkem prostředku privátního odkazu. Soukromý koncový bod se bude jednat o informativní a měl by se odstranit pro vyčištění. |
Některé klíčové podrobnosti o privátních koncových bodech:
Privátní koncový bod umožňuje propojení mezi spotřebiteli ze stejného:
- Virtual Network
- Oblastní virtuální sítě s partnerským vztahem
- Globálně partnerské virtuální sítě
- Místně pomocí sítě VPN nebo Express Route
- Služby využívající soukromý odkaz
Síťová připojení můžou inicializovat jenom klienti připojující se k privátnímu koncovému bodu. Poskytovatelé služeb nemají konfiguraci směrování pro vytváření připojení k příjemcům služby. Připojení se dají vytvořit jenom v jednom směru.
Při vytváření privátního koncového bodu se pro životní cyklus prostředku vytvoří síťové rozhraní jen pro čtení. Rozhraní je přiřazena dynamická privátní IP adresa z podsítě, která je mapována na prostředek privátního propojení. Hodnota privátní IP adresy zůstane beze změny pro celý životní cyklus privátního koncového bodu.
Privátní koncový bod musí být nasazený ve stejné oblasti a předplatném jako virtuální síť.
Prostředek privátního propojení se dá nasadit v jiné oblasti, než je virtuální síť a soukromý koncový bod.
Pomocí stejného prostředku privátního propojení lze vytvořit více privátních koncových bodů. V případě jedné sítě, která používá běžnou konfiguraci serveru DNS, doporučujeme použít jeden privátní koncový bod pro daný prostředek privátního propojení. Tento postup použijte, pokud se chcete vyhnout duplicitním položkám nebo konfliktům v překladu názvů DNS.
Ve stejné virtuální síti je možné vytvořit více privátních koncových bodů v rámci jedné nebo více podsítí. Existují omezení počtu privátních koncových bodů, které můžete v rámci předplatného vytvořit. Podrobnosti najdete v tématu omezení Azure.
Odběr z prostředku privátního propojení musí být také zaregistrován u společnosti Microsoft. Poskytovatel síťových prostředků. Podrobnosti najdete v tématu poskytovatelé prostředků Azure.
Prostředek privátního propojení
Prostředek privátního propojení je cílovým cílem daného privátního koncového bodu.
Následující tabulka uvádí dostupné prostředky, které podporují privátní koncový bod:
| Název prostředku privátního propojení | Typ prostředku | Dílčí prostředky |
|---|---|---|
| Azure App Configuration | Microsoft. Appconfiguration/configurationStores | configurationStores |
| Azure Automation | Microsoft. Automation/automationAccounts | Webhook, DSCAndHybridWorker |
| Azure Cosmos DB | Microsoft. AzureCosmosDB/databaseAccounts | SQL, MongoDB, Cassandra, Gremlin, tabulka |
| Azure Batch | Microsoft. Batch/batchAccounts | účet Batch |
| Azure Cache for Redis | Microsoft. cache/Redis | redisCache |
| Mezipaměť Azure pro Redis Enterprise | Microsoft. cache/redisEnterprise | redisEnterprise |
| Cognitive Services | Microsoft. Cognitiveservices Account/účty | account |
| Spravované disky Azure | Microsoft. COMPUTE/diskAccesses | spravovaný disk |
| Azure Container Registry | Microsoft. ContainerRegistry/Registry | registry |
| Azure Kubernetes Service – rozhraní API pro Kubernetes | Microsoft.ContainerService/managedClusters | správa |
| Azure Data Factory | Microsoft.DataFactory/factories | Data Fatory |
| Azure Database for MariaDB | Microsoft.DBforMariaDB/servers | mariadbServer |
| Azure Database for MySQL | Microsoft.DBforMySQL/servers | mysqlServer |
| Azure Database for PostgreSQL – Jeden server | Microsoft.DBforPostgreSQL/servers | server postgresql |
| Azure IoT Hub | Microsoft.Devices/IotHubs | iotHub |
| Microsoft Digital Twins | Microsoft.DigitalTwins/digitalTwinsInstances | digitaltwinsinstance |
| Azure Event Grid | Microsoft.EventGrid/domains | doména |
| Azure Event Grid | Microsoft.EventGrid/topics | Téma Event Gridu |
| Azure Event Hub | Microsoft.EventHub/namespaces | namespace |
| Azure HDInsight | Microsoft.HDInsight/clusters | cluster |
| Azure API for FHIR | Microsoft.HealthcareApis/services | service |
| Azure Keyvault HSM | Microsoft.Keyvault/managedHSMs | Modul hardwarového zabezpečení (HSM) |
| Azure Key Vault | Microsoft.KeyVault/vaults | Trezor |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces | amlworkspace |
| Azure Migrate | Microsoft.Migrate/assessmentProjects | projekt |
| Application Gateway | Microsoft.Network/applicationgateways | Application Gateway |
| Private Link Service (vaše vlastní služba) | Microsoft.Network/privateLinkServices | empty |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| Azure Purview | Microsoft.Purview/accounts | account |
| Azure Purview | Microsoft.Purview/accounts | portál |
| Azure Backup | Microsoft.RecoveryServices/vaults | Trezor |
| Azure Relay | Microsoft.Relay/namespaces | namespace |
| Microsoft Search | Microsoft.Search/searchServices | vyhledávací služba |
| Azure Service Bus | Microsoft.ServiceBus/namespaces | namespace |
| SignalR | Microsoft.SignalRService/SignalR | signalr (signalr) |
| SignalR | Microsoft.SignalRService/webPubSub | webpubsub |
| Azure SQL Database | Microsoft.Sql/servers | Sql Server (sqlServer) |
| Azure Storage | Microsoft. Storage/storageAccounts | Objekt blob (objekt blob, blob_secondary) Tabulka (tabulka, table_secondary) Fronta (fronta, queue_secondary) Soubor (soubor, file_secondary) Web (web, web_secondary) |
| Synchronizace souborů Azure | Microsoft.StorageSync/storageSyncServices | Synchronizace souborů Service |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | Synapse |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Sql, SqlOnDemand, Dev |
| Azure App Service | Microsoft. Web/hostingEnvironments | hostitelské prostředí |
| Azure App Service | Microsoft. Web/weby | místa |
| Azure App Service | Microsoft. Web/staticSites | staticSite |
Zabezpečení sítě privátních koncových bodů
Při použití privátních koncových bodů je přenos zabezpečený pro prostředek privátního propojení. Platforma provádí řízení přístupu k ověření připojení k síti pouze se zadaným prostředkem privátního propojení. Aby bylo možné získat přístup k více prostředkům v rámci stejné služby Azure, jsou vyžadovány navíc privátní koncové body.
Pro připojení k podporované službě Azure můžete úlohy zcela uzamknout z přístupu k veřejným koncovým bodům. Tento ovládací prvek zajišťuje další vrstvu zabezpečení sítě pro vaše prostředky. Zabezpečení poskytuje ochranu, která brání přístupu k dalším prostředkům hostovaným na stejné službě Azure.
Přístup k prostředku privátního propojení pomocí pracovního postupu schválení
K prostředku privátního propojení se můžete připojit pomocí následujících metod schvalování připojení:
- Automaticky schváleno, pokud vlastníte nebo máte oprávnění ke konkrétnímu prostředku privátního propojení. Požadovaná oprávnění jsou založená na typu prostředku privátního propojení v následujícím formátu: Microsoft. <Provider> /<resource_type>/privateEndpointConnectionsApproval/action
- Ruční požadavek, pokud nemáte požadovaná oprávnění a přejete si požádat o přístup. Zahájí se schvalovací pracovní postup. Připojení privátního koncového bodu a novějšího privátního koncového bodu se vytvoří ve stavu čeká na vyřízení. Za schválení připojení je zodpovědný vlastník prostředku služby Private Link. Po schválení je povolený privátní koncový bod pro normální odesílání provozu, jak je znázorněno v následujícím diagramu pracovního postupu schválení.
Vlastník prostředku privátního propojení může provést následující akce přes připojení privátního koncového bodu:
- Zkontrolujte podrobnosti o všech připojeních privátního koncového bodu.
- Schvalte připojení privátního koncového bodu. Odpovídající privátní koncový bod bude povolen k odeslání provozu do prostředku privátního propojení.
- Odmítne připojení privátního koncového bodu. Odpovídající soukromý koncový bod bude aktualizován tak, aby odrážel stav.
- Odstraňte připojení privátního koncového bodu v libovolném stavu. Odpovídající privátní koncový bod bude aktualizován pomocí odpojeného stavu, aby odrážel akci, vlastník privátního koncového bodu může v tomto okamžiku odstranit pouze prostředek.
Poznámka
Pouze privátní koncový bod ve schváleném stavu může odesílat provoz do daného prostředku privátního propojení.
Připojení s aliasem
Alias je jedinečný moniker, který se generuje, když vlastník služby vytvoří službu privátního propojení za standardním nástrojem pro vyrovnávání zatížení. Vlastníci služby můžou tento alias sdílet se svými spotřebiteli offline.
Příjemci můžou požádat o připojení ke službě privátního propojení buď pomocí identifikátoru URI prostředku, nebo aliasu. Pokud se chcete připojit pomocí aliasu, musíte vytvořit privátní koncový bod pomocí metody ručního schválení připojení. Pro použití metody schvalování ručního připojení nastavte parametr ruční požadavek na hodnotu true během vytváření toku privátního koncového bodu. Další informace najdete v tématech New-AzPrivateEndpoint a AZ Network Private-Endpoint Create.
Konfigurace DNS
Nastavení DNS používané pro připojení k prostředku privátního propojení je důležité. Pokud pro připojení použijete plně kvalifikovaný název domény (FQDN), ujistěte se, že jsou správná nastavení DNS. Nastavení se musí přeložit na privátní IP adresu privátního koncového bodu. Existující služby Azure už můžou mít konfiguraci DNS, která se má použít při připojování přes Veřejný koncový bod. Aby bylo možné se připojit pomocí privátního koncového bodu, musí být tato konfigurace přepsána.
Síťové rozhraní přidružené k privátnímu koncovému bodu obsahuje informace potřebné ke konfiguraci DNS. Tyto informace zahrnují plně kvalifikovaný název domény a privátní IP adresu pro prostředek privátního propojení.
Úplné podrobné informace o doporučeních pro konfiguraci DNS pro privátní koncové body najdete v tématu Konfigurace služby DNS privátního koncového bodu.
Omezení
Následující tabulka obsahuje seznam známých omezení při použití privátních koncových bodů:
| Omezení | Popis | Omezení rizik |
|---|---|---|
| Provoz směřující do privátního koncového bodu s použitím uživatelsky definované trasy může být asymetrické. | Návratový provoz z privátního koncového bodu obchází síťové virtuální zařízení (síťové virtuální zařízení) a pokusí se o návrat ke zdrojovému virtuálnímu počítači. | Pro zajištění symetrického směrování se používá překlad zdrojové síťové adresy (SNAT). Pro veškerý provoz směřující do privátního koncového bodu s použitím UDR se doporučuje použít SNAT pro provoz na síťové virtuální zařízení. |
Důležité
Podpora NSG a UDR u privátních koncových bodů je ve verzi Public Preview ve vybraných oblastech. Další informace najdete v tématu Public Preview podpora udr privátního propojení a verze Public Preview podpory skupiny zabezpečení privátního propojení. Tato verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro úlohy v produkčním prostředí. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Omezení veřejné verze Preview
NSG
| Omezení | Popis | Omezení rizik |
|---|---|---|
| Získat efektivní trasy a pravidla zabezpečení nebudou k dispozici na síťovém rozhraní privátního koncového bodu. | Nemůžete přejít na síťové rozhraní, abyste viděli relevantní informace o platných trasách a pravidlech zabezpečení. | Q4CY21 |
| Protokoly toku NSG nejsou podporovány. | Protokoly toku NSG nebudou fungovat pro příchozí provoz určený pro soukromý koncový bod. | V tuto chvíli nejsou k dispozici žádné informace. |
| Přerušovaná povýšení pomocí účtů úložiště ZRS. | Zákazníci, kteří používají účet úložiště ZRS, mohou vidět periodické přerušované výpadky, a to i s možnostmi povolení NSG pro podsíť privátního koncového | Září |
| Přerušovaná poAzure Key Vaulta. | Zákazníci, kteří používají Azure Key Vault, můžou vidět periodické přerušované výpadky i s povoleným NSGem v Azure Key Vault podsíti privátního koncového bodu. | Září |
| Omezení počtu předpon adres na NSG | Používání více než 500 předpon adres v NSG v jednom pravidle není podporováno. | Září |
| Příznak možnost allowvirtualnetworkaccess | Zákazníci, kteří nastavují partnerský vztah virtuálních sítí ve své virtuální síti (VNet A) s příznakem možnost allowvirtualnetworkaccess nastaveným na hodnotu false u propojení partnerských vztahů na jinou virtuální síť (VNET), nemůžou použít značku VirtualNetwork k odepření provozu z virtuální sítě b při přístupu k prostředkům privátní Budou muset explicitně umístit blok pro předponu adresy virtuální sítě B, aby se zamítl provoz do privátního koncového bodu. | Září |
| Pravidla NSG pro duální porty nejsou podporována. | Pokud se s pravidly NSG používá víc rozsahů portů, uplatní se pro pravidla povolení a pravidla odepření jenom první rozsah portů. Pravidla s více rozsahy portů jsou nastavená tak, aby se místo konkrétních portů zamítla všechna. Další informace najdete v příkladu pravidla níže. | Září |
| Priorita | Zdrojový port | Cílový port | Akce | Účinná akce |
|---|---|---|---|---|
| 10 | 10-12 | 10-12 | Povolit/odepřít | Rozsah jednoho portu ve zdrojovém nebo cílovém portu bude fungovat podle očekávání. |
| 10 | 10-12, 13-14 | 14-15, 16-17 | Povolit | Budou povoleny pouze zdrojové porty 10-12 a cílové porty 14-15. |
| 10 | 10-12, 13-14 | 120-130, 140-150 | Odepřít | Provoz ze všech zdrojových portů bude odepřen pro všechny cílové porty, protože existuje více rozsahů zdrojového a cílového portu. |
| 10 | 10-12, 13-14 | 120-130 | Odepřít | Přenosy ze všech zdrojových portů budou odepřeny pouze cílovým portům 120-130. Existuje více rozsahů zdrojového portu a jeden cílový rozsah portů. |
Tabulka: příklad duálního pravidla portu.
UDR
| Omezení | Popis | Omezení rizik |
|---|---|---|
| Překlad zdrojové síťové adresy (SNAT) se doporučuje vždycky. | Z důvodu proměnlivé povahy datové roviny privátního koncového bodu se doporučuje provoz, který je určený privátnímu koncovému bodu, a zajistit tak, že se bude akceptovat návratový provoz. | V tuto chvíli nejsou k dispozici žádné informace. |
Další kroky
- Další informace o privátních koncových bodech a privátních odkazech najdete v tématu co je to Azure Private Link?.
- Pokud chcete začít vytvářet privátní koncový bod pro webovou aplikaci, přečtěte si rychlý Start – vytvoření privátního koncového bodu pomocí Azure Portal.