Az Azure Private Link működése
Ismeri a Private Link alapvető funkcióit és előnyeit. Most vizsgáljuk meg, hogyan működik a Private Link. Vegyük figyelembe, hogyan működik a Private Endpoint és a Private Link Service, hogy privát hozzáférést biztosítson az Azure-szolgáltatásokhoz. Ezek az információk segítenek felmérni, hogy a Private Link a megfelelő megoldás-e a vállalat számára.
Hogyan illeszkedik a Private Link egy Azure-beli virtuális hálózatba?
A Private Link privát hozzáférést biztosít az Azure-szolgáltatásokhoz. Itt a "privát" azt jelenti, hogy a kapcsolat a Microsoft Azure gerinchálózatát használja az internet helyett. A váltáshoz a Private Link megváltoztatja az Azure-erőforrás csatlakozási módszerét a nyilvános végpontról a privát végpontra.
Most már nem fér hozzá az Azure-erőforráshoz nyilvános IP-címmel. Ehelyett egy privát IP-címet használ, amelyet az Azure hozzárendel az erőforráshoz az alhálózat címteréből.
A kulcs elvihető? Az Azure-erőforrás gyakorlatilag a virtuális hálózat része. A hálózaton lévő ügyfelek ugyanúgy hozzáférhetnek ehhez a Privát kapcsolat erőforráshoz , mint bármely más hálózati erőforráshoz.
A még nagyobb biztonság érdekében az erőforráshoz való kapcsolat mostantól a Microsoft Azure gerinchálózatát használja. Ez azt jelzi, hogy az erőforrás felé és onnan érkező forgalom teljes egészében áthalad a nyilvános interneten.
Az erőforrás nyilvános végpontja azonban továbbra is létezik, még akkor is, ha nem használja. A nyilvános végpontok jelenléte, még a nem használtak is, továbbra is biztonsági kockázatot jelentenek. Szerencsére le lehet tiltani az Azure-erőforrás nyilvános végpontját, amely megkerüli ezt a lehetséges biztonsági problémát.
Az Azure Private Endpoint működése
Hogyan helyez át egy erőforrás-felületet nyilvánosról privátra? Adjon hozzá egy Azure-beli privát végpontot a hálózati konfigurációhoz. A privát végpont egy olyan hálózati adapter, amely privát kapcsolatot hoz létre a virtuális hálózat és egy megadott Azure-erőforrás között.
A privát végpont egy nem használt magánhálózati IP-címet vesz fel a virtuális hálózat egy megadott alhálózatának címteréből. Tegyük fel például, hogy van egy alhálózata, amely a 10.1.0.0/24 címteret használja. Az alhálózat virtuális gépei olyan IP-címeket használnak, mint a 10.1.0.20 vagy a 10.1.0.155.
A privát végpont egy IP-címet kap ugyanabból a címtérből, például a 10.1.0.32-ből. A privát végpont ezután leképozza a címet egy adott Azure-szolgáltatásra. A magánhálózati IP-cím használata hatékonyan hozza a szolgáltatást a virtuális hálózatba.
Megjegyzés:
A Private Link-erőforráshoz csatlakozó ügyfeleknek nem kell a privát végpont hozzárendelt IP-címét használniuk a kapcsolati sztring. Ha ehelyett úgy konfigurálja a privát végpontot, hogy integrálható legyen a privát DNS-zónával, akkor az Azure automatikusan hozzárendel egy teljes tartománynevet a végponthoz. Ha például a Private Link erőforrás egy Azure Storage-tábla, a teljes tartománynév a mystorageaccount1234.table.core.windows.net hasonló lesz.
Az alábbiakban néhány fontos szempontot érdemes figyelembe venni a privát végpont kiértékelésekor:
- A Privát végpont privát kapcsolatot biztosít az Azure-beli virtuális hálózaton lévő virtuális gépek és más ügyfelek és a Private Link-alapú Azure-szolgáltatások között.
- A privát végpont privát kapcsolatot biztosít a regionálisan társviszonyban található virtuális hálózatok és a privát kapcsolattal rendelkező Azure-szolgáltatások között.
- A privát végpont privát kapcsolatot kínál a globálisan társviszonyban található virtuális hálózatok és a privát kapcsolattal rendelkező Azure-szolgáltatások között.
- A privát végpont privát kapcsolatot kínál a helyszíni hálózata között – az ExpressRoute privát társviszony-létesítésen vagy VPN-en keresztül csatlakozva –, valamint a Privát kapcsolattal rendelkező Azure-szolgáltatások között.
- Virtuális hálózatonként legfeljebb 1000 privát végponti adapter helyezhető üzembe.
- Azure-előfizetésenként legfeljebb 64 000 privát végponti felületet helyezhet üzembe.
- Legfeljebb 1000 privát végponti adaptert rendelhet ugyanahhoz a Private Link-erőforráshoz.
Figyelem
Bár több privát végponti adaptert is le lehet képezni egyetlen erőforrásra, nem ajánlott, mert ez DNS-ütközésekhez és egyéb problémákhoz vezethet. Az ajánlott eljárás az, hogy csak egyetlen privát végpontot képez le egyetlen Privát kapcsolat erőforráshoz.
- A Csatlakozás egyirányúak, ami azt jelenti, hogy csak az ügyfelek csatlakozhatnak a privát végpont felületéhez. Ha egy Azure-szolgáltatás privát végponti felületre van leképezve, a szolgáltatás szolgáltatója nem tud csatlakozni (vagy akár érzékelni) a privát végpont felületéhez.
- Az üzembe helyezett privát végpont felülete írásvédett, ami azt jelenti, hogy senki sem módosíthatja. Például senki sem képezheti le a felületet egy másik erőforrásra, és senki sem módosíthatja a felület IP-címét.
- Bár a privát végpontot ugyanabban a régióban kell üzembe helyeznie, mint a virtuális hálózat, a Private Link erőforrás egy másik régióban is elhelyezhető.
Megjegyzés:
Mi a különbség a szolgáltatásvégpont és a privát végpont között? A szolgáltatásvégpont úgy konfigurál egy Azure-erőforrást, hogy csak egy megadott virtuális hálózatról engedélyezze a kapcsolatokat. Ez a kapcsolat azonban továbbra is az erőforrás nyilvános végpontján keresztül jön létre, így bizonyos biztonsági kockázatok továbbra is fennállnak. A privát végpont eltávolítja ezeket a kockázatokat az erőforrás nyilvános végpontjának letiltásával.
Az Azure Private Link Service működése
Az Azure Private Link service a Private Link előnyeit nyújtja az egyéni Azure-szolgáltatásokhoz. Az egyetlen követelmény, hogy az egyéni szolgáltatást az Azure Standard Load Balancer mögött futtassa. Ezután létrehozhat egy Private Link Service-erőforrást, és csatolhatja a terheléselosztóhoz.
Figyelem
Az Azure a terheléselosztó két verzióját kínálja: alapszintű és standard. Az alapszintű Load Balancer nem támogatja a Private Link szolgáltatást, ezért győződjön meg arról, hogy a Standard Load Balancert használja.
A Private Link Service-erőforrás létrehozása után az Azure egy aliastad ki az erőforráshoz, amely egy globálisan egyedi írásvédett sztring a szintaxis előtagjával.guid.utótag:
- előtagot. Az egyéni szolgáltatáshoz megadott név.
- guid. Az Azure által automatikusan létrehozott globálisan egyedi azonosító.
- utótagot. A szöveges region.azure.privatelinkservice; régió az a régió, ahol a Private Link Service üzembe van helyezve.
A Private Link Service aliasát megosztja az egyéni szolgáltatás felhasználóival. Ezután minden fogyasztó beállít egy privát végpontot a saját Azure-beli virtuális hálózatában. A fogyasztó ezután leképozza a végpontot a Private Link Service aliasára.
Az alábbiakban néhány fontos szempontot érdemes figyelembe venni a Private Link Service értékelésekor:
- A Privát kapcsolat szolgáltatás bármely nyilvános régióban elérhető privát végponton keresztül.
- A Private Link szolgáltatást ugyanabban a régióban kell üzembe helyezni, mint a standard terheléselosztót és az egyéni Azure-szolgáltatást üzemeltető virtuális hálózatot.
- Azure-előfizetésenként legfeljebb 800 Private Link Service-erőforrást helyezhet üzembe.
- Legfeljebb 1000 privát végponti felület képezhető le egyetlen Private Link Service-erőforrásra.
- Ugyanazon a standard terheléselosztón több Private Link Service-erőforrást is üzembe helyezhet különböző előtérbeli IP-konfigurációk használatával.
Végső összeállítás
Az a célja, hogy nyilvános internet használata nélkül férhessen hozzá egy Azure-erőforráshoz? Privát módon szeretne egyéni Azure-erőforrást kínálni? Ha igennel válaszolt egy vagy mindkét kérdésre, akkor a Private Link, a Private Endpoint és a Private Link Service az alábbiak szerint végzi el a feladatot:
- Ha egy Azure PaaS-szolgáltatást vagy egy Azure-szolgáltatást egy Microsoft-partnertől szeretne privátan elérni, hozzon létre egy privát végpontot az Azure-beli virtuális hálózat alhálózatán. Ez a privát végpont a Private Link használatával fér hozzá az Azure-szolgáltatáshoz egy privát IP-címmel a Microsoft Azure gerinchálózatán keresztül. Az ExpressRoute privát társviszony-létesítést vagy VPN-alagutat használó társhálózatok és helyszíni hálózatok szintén hozzáférhetnek az Azure-szolgáltatáshoz a privát végponton keresztül.
- Ha privát hozzáférést szeretne biztosítani egy egyéni Azure-szolgáltatáshoz, helyezze a szolgáltatást egy standard terheléselosztó mögé, hozzon létre egy Private Link Service-erőforrást, és csatolja azt a terheléselosztó előtérbeli IP-konfigurációjába.