Wat is een privé-eindpunt van Azure?
Een privé-eindpunt is een netwerkinterface die gebruikmaakt van een privé-IP-adres van uw virtuele netwerk. Deze netwerkinterface verbindt u privé en veilig met een powered by Azure Private Link. Als u een privé-eindpunt inschakelen, brengt u de service naar uw virtuele netwerk.
De service kan een Azure-service zijn, zoals:
- Azure Storage
- Azure Cosmos DB
- Azure SQL Database
- Uw eigen service met behulp van een Private Link Service.
Eigenschappen van privé-eindpunten
Een privé-eindpunt geeft de volgende eigenschappen op:
| Eigenschap | Beschrijving |
|---|---|
| Name | Een unieke naam binnen de resourcegroep. |
| Subnet | Het subnet dat moet worden geïmplementeerd en waar het privé-IP-adres wordt toegewezen. Zie de sectie beperkingen in dit artikel voor vereisten voor subnetten. |
| Private Link Resource | De private link-resource om verbinding te maken met behulp van de resource-id of alias, uit de lijst met beschikbare typen. Er wordt een unieke netwerk-id gegenereerd voor al het verkeer dat naar deze resource wordt verzonden. |
| Subresource van doel | De subresource om verbinding te maken. Elk resourcetype voor een privékoppeling heeft verschillende opties om te selecteren op basis van voorkeur. |
| Methode voor verbindingsgoedkeuring | Automatisch of handmatig. Afhankelijk van de machtigingen voor toegangsbeheer op basis van rollen in Azure, kan uw privé-eindpunt automatisch worden goedgekeurd. Als u verbinding probeert te maken met een Private Link-resource zonder op rollen gebaseerd toegangsbeheer van Azure, gebruikt u de handmatige methode om de eigenaar van de resource toe te staan de verbinding goed te keuren. |
| Aanvraagbericht | U kunt een bericht opgeven voor aangevraagde verbindingen die handmatig moeten worden goedgekeurd. Dit bericht kan worden gebruikt om een specifieke aanvraag te identificeren. |
| Verbindingsstatus | Een alleen-lezen eigenschap die aangeeft of het privé-eindpunt actief is. Alleen privé-eindpunten met een goedgekeurde status kunnen worden gebruikt om verkeer te verzenden. Meer beschikbare staten: -Goedgekeurd: de verbinding is automatisch of handmatig goedgekeurd en kan worden gebruikt. -In behandeling: de verbinding is handmatig gemaakt en is in afwachting van goedkeuring door de resource-eigenaar van de Private Link. -Geweigerd: de verbinding is geweigerd door de eigenaar van de Private Link-resource. -Verbinding verbroken: de verbinding is verwijderd door de eigenaar van de Private Link-resource. Het privé-eindpunt wordt informatief en moet worden verwijderd voor opschoning. |
Enkele belangrijke details over privé-eindpunten:
Privé-eindpunt maakt connectiviteit mogelijk tussen de consumenten van hetzelfde:
- Virtual Network
- Regionaal peering van virtuele netwerken
- Wereldwijd peered virtuele netwerken
- On-premises met VPN of Express Route
- Services powered by Private Link
Netwerkverbindingen kunnen alleen worden gestart door clients die verbinding maken met het privé-eindpunt. Serviceproviders hebben geen routeringsconfiguratie om verbindingen met serviceverbruikers te maken. Verbindingen kunnen slechts in één richting tot stand worden gebracht.
Bij het maken van een privé-eindpunt wordt er een alleen-lezen netwerkinterface gemaakt voor de levenscyclus van de resource. Aan de interface wordt een dynamisch privé-IP-adres toegewezen vanuit het subnet dat is toegewezen aan de Private Link-resource. De waarde van het privé-IP-adres blijft ongewijzigd voor de hele levenscyclus van het privé-eindpunt.
Het privé-eindpunt moet worden geïmplementeerd in dezelfde regio en hetzelfde abonnement als het virtuele netwerk.
De private link-resource kan worden geïmplementeerd in een andere regio dan het virtuele netwerk en het privé-eindpunt.
Er kunnen meerdere privé-eindpunten worden gemaakt met dezelfde private link-resource. Voor één netwerk dat gebruik maakt van een algemene DNS-serverconfiguratie, wordt aanbevolen één privé-eindpunt te gebruiken voor een bepaalde private link-resource. Gebruik deze praktijk om dubbele vermeldingen of conflicten in DNS-resolutie te voorkomen.
Er kunnen meerdere privé-eindpunten worden gemaakt in dezelfde of verschillende subnetten binnen hetzelfde virtuele netwerk. Er gelden limieten voor het aantal privé-eindpunten dat u in een abonnement kunt maken. Zie Azure-limieten voor meer informatie.
Het abonnement van de Private Link-resource moet ook worden geregistreerd bij Microsoft. Netwerkresourceprovider. Zie Azure Resource Providers voor meer informatie.
Private Link-resource
Een private link-resource is het doel van een bepaald privé-eindpunt.
In de onderstaande tabel staan de beschikbare resources die ondersteuning bieden voor een privé-eindpunt:
| Resourcenaam private link | Resourcetype | Subresources |
|---|---|---|
| Azure App Configuration | Microsoft.Appconfiguration/configurationStores | configurationStores |
| Azure Automation | Microsoft.Automation/automationAccounts | Webhook, DSCAndHybridWorker |
| Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | Sql, MongoDB, Cassandra, Gremlin, Table |
| Azure Batch | Microsoft.Batch/batchAccounts | batch-account |
| Azure Cache voor Redis | Microsoft.Cache/Redis | redisCache |
| Azure Cache voor Redis Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
| Cognitive Services | Microsoft.CognitiveServices/accounts | account |
| Azure Managed Disks | Microsoft.Compute/diskAccccss | beheerde schijf |
| Azure Container Registry | Microsoft.ContainerRegistry/registries | registry |
| Azure Kubernetes Service - Kubernetes API | Microsoft.ContainerService/managedClusters | beheer |
| Azure Data Factory | Microsoft.DataFactory/factories | data factory |
| Azure Database for MariaDB | Microsoft.DBforMariaDB/servers | mariadbServer |
| Azure Database for MySQL | Microsoft.DBforMySQL/servers | mysqlServer |
| Azure Database for PostgreSQL - één server | Microsoft.DBforPostgreSQL/servers | postgresqlServer |
| Azure IoT Hub | Microsoft.Devices/IotHubs | iotHub |
| Microsoft Digital Twins | Microsoft.DigitalTwins/digitalTwinsInstances | digitaltwinsinstance |
| Azure Event Grid | Microsoft.EventGrid/domains | domein |
| Azure Event Grid | Microsoft.EventGrid/topics | Event Grid-onderwerp |
| Azure Event Hub | Microsoft.EventHub/namespaces | naamruimte |
| Azure HDInsight | Microsoft.HDInsight/clusters | cluster |
| Azure-API voor FHIR | Microsoft.HealthcareApis/services | service |
| Azure Keyvault HSM | Microsoft.Keyvault/managedHSMs | HSM |
| Azure Key Vault | Microsoft.KeyVault/vaults | kluis |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces | amlworkspace |
| Azure Migrate | Microsoft.Migrate/assessmentProjects | project |
| Application Gateway | Microsoft.Network/applicationgateways | toepassingsgateway |
| Private Link Service (uw eigen service) | Microsoft.Network/privateLinkServices | leeg |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| Azure Purview | Microsoft.Purview/accounts | account |
| Azure Purview | Microsoft.Purview/accounts | portal |
| Azure Backup | Microsoft.RecoveryServices/vaults | kluis |
| Azure Relay | Microsoft.Relay/naamruimten | naamruimte |
| Microsoft Search | Microsoft.Search/searchServices | zoekservice |
| Azure Service Bus | Microsoft.ServiceBus/namespaces | naamruimte |
| SignalR | Microsoft.SignalRService/SignalR | signalr |
| SignalR | Microsoft.SignalRService/webPubSub | webpubsub |
| Azure SQL Database | Microsoft.Sql/servers | SQL Server (sqlServer) |
| Azure Storage | Microsoft.Storage/storageAccounts | Blob (blob, blob_secondary) Tabel (tabel, table_secondary) Wachtrij (wachtrij, queue_secondary) Bestand (bestand, file_secondary) Web (web, web_secondary) |
| Azure File Sync | Microsoft.StorageSync/storageSyncServices | File Sync Service |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | synapse |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Sql, SqlOnDemand, Dev |
| Azure App Service | Microsoft.Web/hostingEnvironments | hostingomgeving |
| Azure App Service | Microsoft.Web/sites | sites |
| Azure App Service | Microsoft.Web/staticSites | staticSite |
Netwerkbeveiliging van privé-eindpunten
Wanneer u privé-eindpunten gebruikt, wordt verkeer naar een Private Link-resource beveiligd. Het platform heeft een toegangsbeheer voor het valideren van netwerkverbindingen die alleen de opgegeven Private Link-resource bereiken. Voor toegang tot meer resources binnen dezelfde Azure-service zijn extra privé-eindpunten vereist.
U kunt uw workloads volledig vergrendelen voor toegang tot openbare eindpunten om verbinding te maken met een ondersteunde Azure-service. Dit besturingselement biedt een extra netwerkbeveiligingslaag voor uw resources. De beveiliging biedt beveiliging die toegang voorkomt tot andere resources die worden gehost op dezelfde Azure-service.
Toegang tot een Private Link-resource met behulp van een goedkeuringswerkstroom
U kunt verbinding maken met een Private Link-resource met behulp van de volgende methoden voor het goedkeuren van verbindingen:
- Automatisch goedgekeurd wanneer u de eigenaar bent van of een machtiging hebt voor de specifieke Private Link-resource. De vereiste machtiging is gebaseerd op het resourcetype private link in de volgende indeling: Microsoft. <Provider> /<resource_type>/privateEndpointConnectionsApproval/action
- Handmatige aanvraag wanneer u niet de vereiste machtiging hebt en toegang wilt aanvragen. Er wordt een goedkeuringswerkstroom gestart. Het privé-eindpunt en latere privé-eindpuntverbindingen worden gemaakt met de status In behandeling. De eigenaar van de Private Link-resource moet de verbinding goedkeuren. Nadat het is goedgekeurd, wordt het privé-eindpunt ingeschakeld voor het normaal verzenden van verkeer, zoals wordt weergegeven in het volgende goedkeuringswerkstroomdiagram.
De eigenaar van de private link-resource kan de volgende acties uitvoeren via een verbinding met een privé-eindpunt:
- Controleer alle details van privé-eindpuntverbindingen.
- Een verbinding met een privé-eindpunt goedkeuren. Het bijbehorende privé-eindpunt wordt ingeschakeld voor het verzenden van verkeer naar de Private Link-resource.
- Een verbinding met een privé-eindpunt weigeren. Het bijbehorende privé-eindpunt wordt bijgewerkt met de status.
- Verwijder een verbinding met een privé-eindpunt in een staat. Het bijbehorende privé-eindpunt wordt bijgewerkt met de status Niet-verbonden om de actie weer te geven. De eigenaar van het privé-eindpunt kan de resource op dit moment alleen verwijderen.
Notitie
Alleen een privé-eindpunt met een goedgekeurde status kan verkeer verzenden naar een bepaalde Private Link-resource.
Verbinding maken met alias
Alias is een unieke moniker die wordt gegenereerd wanneer de service-eigenaar de private link-service achter een standaardservice load balancer. Service-eigenaren kunnen deze alias offline delen met hun consumenten.
Consumenten kunnen een verbinding met de Private Link-service aanvragen met behulp van de resource-URI of de alias. Als u verbinding wilt maken met behulp van een alias, moet u een privé-eindpunt maken met behulp van de handmatige goedkeuringsmethode voor de verbinding. Als u de handmatige goedkeuringsmethode voor de verbinding wilt gebruiken, stelt u de handmatige aanvraagparameter in op true tijdens het maken van de stroom voor het privé-eindpunt. Zie New-AzPrivateEndpoint en az network private-endpoint create voor meer informatie.
DNS-configuratie
De DNS-instellingen die worden gebruikt voor verbindingen met een private link-resource zijn belangrijk. Zorg ervoor dat uw DNS-instellingen juist zijn wanneer u de FQDN (Fully Qualified Domain Name) voor de verbinding gebruikt. De instellingen moeten worden opgelost naar het privé-IP-adres van het privé-eindpunt. Bestaande Azure-services hebben mogelijk al een DNS-configuratie om te gebruiken bij het maken van verbinding via een openbaar eindpunt. Deze configuratie moet worden overschreven om verbinding te maken met behulp van uw privé-eindpunt.
De netwerkinterface die is gekoppeld aan het privé-eindpunt bevat de informatie die nodig is om uw DNS te configureren. De informatie bevat de FQDN en het privé-IP-adres voor een private link-resource.
Zie DNS-configuratie voor privé-eindpunten voor gedetailleerde informatie over aanbevelingen voor het configureren van DNS voor privé-eindpunten.
Beperkingen
De volgende tabel bevat een lijst met bekende beperkingen bij het gebruik van privé-eindpunten:
| Beperking | Beschrijving | Oplossing |
|---|---|---|
| Verkeer dat is bestemd voor een privé-eindpunt met behulp van een door de gebruiker gedefinieerde route kan asymmetrisch zijn. | Retourverkeer van een privé-eindpunt omzeilt een virtueel netwerkapparaat (NVA) en probeert terug te keren naar de bron-VM. | SNAT (Source Network Address Translation) wordt gebruikt om symmetrische routering te garanderen. Voor al het verkeer dat is bestemd voor een privé-eindpunt met behulp van een UDR, is het raadzaam om SNAT te gebruiken voor verkeer op de NVA. |
Belangrijk
NSG- en UDR-ondersteuning voor privé-eindpunten zijn in openbare preview voor bepaalde regio's. Zie Openbare preview van de Private Link UDR-ondersteuning en Openbare preview van Private Link Network Security Group Support voor meer informatie. Deze preview-versie wordt aangeboden zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Supplemental Terms of Use for Microsoft Azure Previews (Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews) voor meer informatie.
Beperkingen voor openbare preview
NSG
| Beperking | Beschrijving | Oplossing |
|---|---|---|
| Het verkrijgen van effectieve routes en beveiligingsregels is niet beschikbaar op een netwerkinterface van een privé-eindpunt. | U kunt niet naar de netwerkinterface navigeren om relevante informatie over de effectieve routes en beveiligingsregels te bekijken. | Q4CY21 |
| NSG-stroomlogboeken worden niet ondersteund. | NSG-stroomlogboeken werken niet voor inkomende verkeer dat is bestemd voor een privé-eindpunt. | Op dit moment is er geen informatie. |
| Onregelmatige dalingen met ZRS-opslagaccounts. | Klanten die een ZRS-opslagaccount gebruiken, kunnen periodieke periodieke dalingen zien, zelfs als er een NSG is toegepast op het subnet van het privé-eindpunt voor opslag. | september |
| Onregelmatige dalingen met Azure Key Vault. | Klanten die Azure Key Vault, kunnen periodieke periodieke dalingen zien, zelfs wanneer een NSG voor toestaan is toegepast op Azure Key Vault subnet van een privé-eindpunt. | september |
| Beperk het aantal adres voorvoegsels per NSG. | Het is niet mogelijk om in één regel meer dan 500 adres voorvoegsels in een NSG te hebben. | september |
| Vlag AllowVirtualNetworkAccess | Klanten die VNet-peering instellen op hun VNet (VNet A) met de vlag AllowVirtualNetworkAccess ingesteld op false op de peeringkoppeling naar een ander VNet (VNet B), kunnen de VirtualNetwork-tag niet gebruiken om verkeer te weigeren van VNet B die toegang heeft tot privé-eindpuntbronnen. Ze moeten expliciet een blok plaatsen voor het adres voor VNet B om verkeer naar het privé-eindpunt te weigeren. | september |
| NSG-regels met dubbele poort worden niet ondersteund. | Als er meerdere poortbereiken worden gebruikt met NSG-regels, wordt alleen het eerste poortbereik gebruikt voor regels voor toestaan en weigeren. Regels met meerdere poortbereiken worden standaard ingesteld op alles weigeren in plaats van specifieke poorten. Zie het onderstaande regelvoorbeeld voor meer informatie. | september |
| Prioriteit | Bronpoort | Doelpoort | Actie | Effectieve actie |
|---|---|---|---|---|
| 10 | 10-12 | 10-12 | Toestaan/weigeren | Eén poortbereik in bron-/doelpoorten werkt zoals verwacht. |
| 10 | 10-12, 13-14 | 14-15, 16-17 | Toestaan | Alleen bronpoorten 10-12 en doelpoorten 14-15 zijn toegestaan. |
| 10 | 10-12, 13-14 | 120-130, 140-150 | Weigeren | Verkeer van alle bronpoorten wordt geweigerd naar alle dest-poorten omdat er meerdere bron- en doelpoortbereiken zijn. |
| 10 | 10-12, 13-14 | 120-130 | Weigeren | Verkeer van alle bronpoorten wordt geweigerd naar doelpoorten 120-130. Er zijn meerdere bronpoortbereiken en één doelpoortbereik. |
Tabel: Voorbeeld van een regel voor dubbele poort.
UDR
| Beperking | Beschrijving | Oplossing |
|---|---|---|
| SNAT (Source Network Address Translation) wordt altijd aanbevolen. | Vanwege de variabele aard van het gegevensvlak van het privé-eindpunt, wordt het aanbevolen om SNAT-verkeer te gebruiken dat is bestemd voor een privé-eindpunt om ervoor te zorgen dat retourverkeer wordt gehonoreerd. | Op dit moment is er geen informatie. |
Volgende stappen
- Zie Wat is Azure Private Link? voor meer informatie over privé Azure Private Link.
- Zie Quickstart - Een privé-eindpunt maken met behulp van de Azure Portal om aan de slag te gaan met het maken van een privé Azure Portal.