Az Azure Private Link működése

  • 10 perc

Ismeri a Private Link alapvető funkcióit és előnyeit. Most vizsgáljuk meg, hogyan működik a Private Link. Vegyük figyelembe, hogyan működik a Private Endpoint és a Private Link Service, hogy privát hozzáférést biztosítson az Azure-szolgáltatásokhoz. Ezek az információk segítenek felmérni, hogy a Private Link a megfelelő megoldás-e a vállalat számára.

A Private Link privát hozzáférést biztosít az Azure-szolgáltatásokhoz. Itt a "privát" azt jelenti, hogy a kapcsolat a Microsoft Azure gerinchálózatát használja az internet helyett. A váltáshoz a Private Link megváltoztatja az Azure-erőforrás csatlakozási módszerét a nyilvános végpontról a privát végpontra.

Most már nem fér hozzá az Azure-erőforráshoz nyilvános IP-címmel. Ehelyett egy privát IP-címet használ, amelyet az Azure hozzárendel az erőforráshoz az alhálózat címteréből.

A kulcs elvihető? Az Azure-erőforrás gyakorlatilag a virtuális hálózat része. A hálózaton lévő ügyfelek ugyanúgy hozzáférhetnek ehhez a Privát kapcsolat erőforráshoz , mint bármely más hálózati erőforráshoz.

A még nagyobb biztonság érdekében az erőforráshoz való kapcsolat mostantól a Microsoft Azure gerinchálózatát használja. Ez azt jelzi, hogy az erőforrás felé és onnan érkező forgalom teljes egészében áthalad a nyilvános interneten.

Az erőforrás nyilvános végpontja azonban továbbra is létezik, még akkor is, ha nem használja. A nyilvános végpontok jelenléte, még a nem használtak is, továbbra is biztonsági kockázatot jelentenek. Szerencsére le lehet tiltani az Azure-erőforrás nyilvános végpontját, amely megkerüli ezt a lehetséges biztonsági problémát.

Az Azure Private Endpoint működése

Hogyan helyez át egy erőforrás-felületet nyilvánosról privátra? Adjon hozzá egy Azure-beli privát végpontot a hálózati konfigurációhoz. A privát végpont egy olyan hálózati adapter, amely privát kapcsolatot hoz létre a virtuális hálózat és egy megadott Azure-erőforrás között.

A privát végpont egy nem használt magánhálózati IP-címet vesz fel a virtuális hálózat egy megadott alhálózatának címteréből. Tegyük fel például, hogy van egy alhálózata, amely a 10.1.0.0/24 címteret használja. Az alhálózat virtuális gépei olyan IP-címeket használnak, mint a 10.1.0.20 vagy a 10.1.0.155.

A privát végpont egy IP-címet kap ugyanabból a címtérből, például a 10.1.0.32-ből. A privát végpont ezután leképozza a címet egy adott Azure-szolgáltatásra. A magánhálózati IP-cím használata hatékonyan hozza a szolgáltatást a virtuális hálózatba.

Megjegyzés:

A Private Link-erőforráshoz csatlakozó ügyfeleknek nem kell a privát végpont hozzárendelt IP-címét használniuk a kapcsolati sztring. Ha ehelyett úgy konfigurálja a privát végpontot, hogy integrálható legyen a privát DNS-zónával, akkor az Azure automatikusan hozzárendel egy teljes tartománynevet a végponthoz. Ha például a Private Link erőforrás egy Azure Storage-tábla, a teljes tartománynév a mystorageaccount1234.table.core.windows.net hasonló lesz.

Az alábbiakban néhány fontos szempontot érdemes figyelembe venni a privát végpont kiértékelésekor:

  • A Privát végpont privát kapcsolatot biztosít az Azure-beli virtuális hálózaton lévő virtuális gépek és más ügyfelek és a Private Link-alapú Azure-szolgáltatások között.
  • A privát végpont privát kapcsolatot biztosít a regionálisan társviszonyban található virtuális hálózatok és a privát kapcsolattal rendelkező Azure-szolgáltatások között.
  • A privát végpont privát kapcsolatot kínál a globálisan társviszonyban található virtuális hálózatok és a privát kapcsolattal rendelkező Azure-szolgáltatások között.
  • A privát végpont privát kapcsolatot kínál a helyszíni hálózata között – az ExpressRoute privát társviszony-létesítésen vagy VPN-en keresztül csatlakozva –, valamint a Privát kapcsolattal rendelkező Azure-szolgáltatások között.
  • Virtuális hálózatonként legfeljebb 1000 privát végponti adapter helyezhető üzembe.
  • Azure-előfizetésenként legfeljebb 64 000 privát végponti felületet helyezhet üzembe.
  • Legfeljebb 1000 privát végponti adaptert rendelhet ugyanahhoz a Private Link-erőforráshoz.

Figyelem

Bár több privát végponti adaptert is le lehet képezni egyetlen erőforrásra, nem ajánlott, mert ez DNS-ütközésekhez és egyéb problémákhoz vezethet. Az ajánlott eljárás az, hogy csak egyetlen privát végpontot képez le egyetlen Privát kapcsolat erőforráshoz.

  • A Csatlakozás egyirányúak, ami azt jelenti, hogy csak az ügyfelek csatlakozhatnak a privát végpont felületéhez. Ha egy Azure-szolgáltatás privát végponti felületre van leképezve, a szolgáltatás szolgáltatója nem tud csatlakozni (vagy akár érzékelni) a privát végpont felületéhez.
  • Az üzembe helyezett privát végpont felülete írásvédett, ami azt jelenti, hogy senki sem módosíthatja. Például senki sem képezheti le a felületet egy másik erőforrásra, és senki sem módosíthatja a felület IP-címét.
  • Bár a privát végpontot ugyanabban a régióban kell üzembe helyeznie, mint a virtuális hálózat, a Private Link erőforrás egy másik régióban is elhelyezhető.

Megjegyzés:

Mi a különbség a szolgáltatásvégpont és a privát végpont között? A szolgáltatásvégpont úgy konfigurál egy Azure-erőforrást, hogy csak egy megadott virtuális hálózatról engedélyezze a kapcsolatokat. Ez a kapcsolat azonban továbbra is az erőforrás nyilvános végpontján keresztül jön létre, így bizonyos biztonsági kockázatok továbbra is fennállnak. A privát végpont eltávolítja ezeket a kockázatokat az erőforrás nyilvános végpontjának letiltásával.

Az Azure Private Link service a Private Link előnyeit nyújtja az egyéni Azure-szolgáltatásokhoz. Az egyetlen követelmény, hogy az egyéni szolgáltatást az Azure Standard Load Balancer mögött futtassa. Ezután létrehozhat egy Private Link Service-erőforrást, és csatolhatja a terheléselosztóhoz.

Figyelem

Az Azure a terheléselosztó két verzióját kínálja: alapszintű és standard. Az alapszintű Load Balancer nem támogatja a Private Link szolgáltatást, ezért győződjön meg arról, hogy a Standard Load Balancert használja.

A Private Link Service-erőforrás létrehozása után az Azure egy aliastad ki az erőforráshoz, amely egy globálisan egyedi írásvédett sztring a szintaxis előtagjával.guid.utótag:

  • előtagot. Az egyéni szolgáltatáshoz megadott név.
  • guid. Az Azure által automatikusan létrehozott globálisan egyedi azonosító.
  • utótagot. A szöveges region.azure.privatelinkservice; régió az a régió, ahol a Private Link Service üzembe van helyezve.

A Private Link Service aliasát megosztja az egyéni szolgáltatás felhasználóival. Ezután minden fogyasztó beállít egy privát végpontot a saját Azure-beli virtuális hálózatában. A fogyasztó ezután leképozza a végpontot a Private Link Service aliasára.

Az alábbiakban néhány fontos szempontot érdemes figyelembe venni a Private Link Service értékelésekor:

  • A Privát kapcsolat szolgáltatás bármely nyilvános régióban elérhető privát végponton keresztül.
  • A Private Link szolgáltatást ugyanabban a régióban kell üzembe helyezni, mint a standard terheléselosztót és az egyéni Azure-szolgáltatást üzemeltető virtuális hálózatot.
  • Azure-előfizetésenként legfeljebb 800 Private Link Service-erőforrást helyezhet üzembe.
  • Legfeljebb 1000 privát végponti felület képezhető le egyetlen Private Link Service-erőforrásra.
  • Ugyanazon a standard terheléselosztón több Private Link Service-erőforrást is üzembe helyezhet különböző előtérbeli IP-konfigurációk használatával.

Végső összeállítás

Az a célja, hogy nyilvános internet használata nélkül férhessen hozzá egy Azure-erőforráshoz? Privát módon szeretne egyéni Azure-erőforrást kínálni? Ha igennel válaszolt egy vagy mindkét kérdésre, akkor a Private Link, a Private Endpoint és a Private Link Service az alábbiak szerint végzi el a feladatot:

  • Ha egy Azure PaaS-szolgáltatást vagy egy Azure-szolgáltatást egy Microsoft-partnertől szeretne privátan elérni, hozzon létre egy privát végpontot az Azure-beli virtuális hálózat alhálózatán. Ez a privát végpont a Private Link használatával fér hozzá az Azure-szolgáltatáshoz egy privát IP-címmel a Microsoft Azure gerinchálózatán keresztül. Az ExpressRoute privát társviszony-létesítést vagy VPN-alagutat használó társhálózatok és helyszíni hálózatok szintén hozzáférhetnek az Azure-szolgáltatáshoz a privát végponton keresztül.
  • Ha privát hozzáférést szeretne biztosítani egy egyéni Azure-szolgáltatáshoz, helyezze a szolgáltatást egy standard terheléselosztó mögé, hozzon létre egy Private Link Service-erőforrást, és csatolja azt a terheléselosztó előtérbeli IP-konfigurációjába.

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing Azures services via a private IP address mapped by Private Endpoint.