Dit artikel bevat richtlijnen voor het gebruik Azure Private Link in een hub-and-spoke-netwerktopologie. De doelgroep omvat netwerkarchitecten en cloudoplossingsarchitecten. In deze handleiding wordt met name besproken hoe u een privé-eindpunt van Azure gebruikt voor privétoegang platform as a service (PaaS)-resources.
Deze handleiding gaat niet over integratie van virtuele netwerken, service-eindpunten en andere oplossingen voor het verbinden van IaaS-onderdelen (Infrastructure as a Service) met Azure PaaS-resources. Zie Azure-services integreren met virtuele netwerken voor netwerkisolatie voor meer informatie over deze oplossingen.
Overzicht
De volgende secties bevatten algemene informatie over de Private Link en de omgeving ervan.
Azure hub-and-spoke-topologies
Hub en spoke is een netwerktopologie die u in Azure kunt gebruiken. Deze topologie werkt goed voor het efficiënt beheren van communicatieservices en het voldoen aan beveiligingsvereisten op schaal. Zie Hub-and-spoke-netwerktopologie voor meer informatie over hub-and-spoke-netwerkmodellen.
Met behulp van een hub-and-spoke-architectuur kunt u profiteren van de volgende voordelen:
- Afzonderlijke workloads implementeren tussen centrale IT-teams en workloadteams
- Kosten besparen door redundante resources te minimaliseren
- Netwerken efficiënt beheren door services te centraliseren die meerdere workloads delen
- Limieten voor één Azure-abonnement overschrijden
In dit diagram ziet u een typische hub-and-spoke-topologie die u in Azure kunt implementeren:
Aan de linkerkant bevat het diagram een gestippeld vak met het label On-premises netwerk. Het bevat pictogrammen voor virtuele machines en domeinnaamservers. Een bi-directionele pijl verbindt dat vak met een gestippeld vak in het rechter gelabelde virtuele hubnetwerk. Een pictogram boven deze pijl is gelabeld Azure ExpressRoute. Het hub-vak bevat pictogrammen voor D N S-doorsturen. Pijlen wijzen van het hub-vak naar pictogrammen voor privé-D N S-zones. Een bi-directionele pijl verbindt het hub-vak met een vak eronder met het label Virtueel netwerk voor landingszone. Rechts van de pijl wordt een pictogram met het label Peering van virtuele netwerken gelabeld. Het vak landingszone bevat pictogrammen voor een virtuele machine en een privé-eindpunt. Een pijl wijst vanaf het privé-eindpunt naar een opslagpictogram dat zich buiten het vak van de landingszone bevindt.
Download een SVG van deze architectuur.
Deze architectuur is een van de twee opties voor netwerktopologie die door Azure wordt ondersteund. In dit klassieke referentieontwerp worden basisnetwerkonderdelen zoals Azure Virtual Network, peering voor virtuele netwerken en door de gebruiker gedefinieerde routes (UDR's) gebruikt. Wanneer u hub en spoke gebruikt, bent u verantwoordelijk voor het configureren van de services. U moet er ook voor zorgen dat het netwerk voldoet aan de beveiligings- en routeringsvereisten.
Azure Virtual WAN biedt een alternatief voor implementaties op schaal. Deze service maakt gebruik van een vereenvoudigd netwerkontwerp. Virtual WAN vermindert ook de configuratie-overhead die gepaard gaat met routering en beveiliging.
Private Link ondersteunt verschillende opties voor traditionele hub-and-spoke-netwerken en voor Virtual WAN netwerken.
Private Link
Private Link biedt toegang tot services via de netwerkinterface van het privé-eindpunt. Privé-eindpunt gebruikt een privé-IP-adres van uw virtuele netwerk. U hebt toegang tot verschillende services via dat privé-IP-adres:
- Azure PaaS-services
- Services die eigendom zijn van de klant en die door Azure worden host
- Partnerservices die door Azure worden host
Verkeer tussen uw virtuele netwerk en de service die u wilt openen, wordt via de Backbone van het Azure-netwerk verplaatst. Als gevolg hiervan hebt u geen toegang meer tot de service via een openbaar eindpunt. Zie Wat is Azure Private Link? voor meer informatie.
In het volgende diagram ziet u hoe on-premises gebruikers verbinding maken met een virtueel netwerk en hoe Private Link gebruiken om toegang te krijgen tot PaaS-resources:
Het diagram bevat een gestippeld vak aan de linkerkant met het label Consumentennetwerk. Een pictogram bevindt zich op de rand en heeft het label Azure ExpressRoute. Buiten het vak aan de linkerkant staan pictogrammen voor on-premises gebruikers en een persoonlijke peering. In het vak ziet u een kleiner gestippeld vak met het label Subnet dat pictogrammen voor computers en privé-eindpunten bevat. De rand van het kleinere vak bevat een pictogram voor een netwerkbeveiligingsgroep. Twee pijlen met punten stromen uit het binnenste vak. Ze gaan ook door de rand van het buitenste vak. Een wijst naar een gestippeld vak aan de rechterkant dat is gevuld met pictogrammen voor Azure-services. De andere pijl wijst naar een gestippeld vak in het netwerk provider aan de rechterkant. Het netwerkvak provider bevat een kleiner vak met punten en een pictogram voor Azure Private Link. Het kleinere gestippelde vak bevat pictogrammen voor computers. De rand bevat twee pictogrammen: één voor een load balancer en één voor een netwerkbeveiligingsgroep.
Download een SVG van deze architectuur.
Beslissingsstructuur voor Private Link implementatie
U kunt privé-eindpunten implementeren in een hub of een spoke. Een aantal factoren bepalen welke locatie in elke situatie het beste werkt. De factoren zijn relevant voor Azure PaaS-services en voor services van klanten en partners die door Azure worden host.
Vragen om rekening mee te houden
Gebruik de volgende vragen om de beste configuratie voor uw omgeving te bepalen:
Is Virtual WAN uw oplossing voor netwerkconnectiviteit?
Als u Virtual WAN, kunt u alleen privé-eindpunten implementeren in virtuele spoke-netwerken die u met uw virtuele hub verbindt. U kunt geen resources implementeren in uw virtuele hub of beveiligde hub.
Zie de volgende artikelen voor meer informatie over het integreren van privé-eindpunten in uw netwerk:
Gebruikt u een virtueel netwerkapparaat (NVA) zoals Azure Firewall?
Verkeer naar een privé-eindpunt maakt gebruik van de Azure-netwerk-backbone en wordt versleuteld. Mogelijk moet u dat verkeer in een logboek of filterlogboek toepassen. Mogelijk wilt u ook een firewall gebruiken voor het analyseren van verkeer dat naar een privé-eindpunt stroomt als u een firewall gebruikt in een van deze gebieden:
- Tussen spokes
- Tussen uw hub en spokes
- Tussen on-premises onderdelen en uw Azure-netwerken
In dit geval implementeert u privé-eindpunten in uw hub in een toegewezen subnet. Deze rangschikking:
- Vereenvoudigt de configuratie van de SNAT-regel (Secure Network Address Translation). U kunt één SNAT-regel in uw NVA maken voor verkeer naar het toegewezen subnet dat uw privé-eindpunten bevat. U kunt verkeer omgeleid naar andere toepassingen zonder SNAT toe te passen.
- Vereenvoudigt de configuratie van uw routetabel. Voor verkeer dat naar privé-eindpunten stroomt, kunt u een regel toevoegen om dat verkeer via uw NVA te laten lopen. U kunt deze regel opnieuw gebruiken voor al uw spokes, VPN-gateways (virtual private network) en Azure ExpressRoute gateways.
- Maakt het mogelijk om regels voor netwerkbeveiligingsgroep toe te passen op inkomende verkeer in het subnet dat u aan privé-eindpunten toebeveiligt. Met deze regels wordt verkeer naar uw resources gefilterd. Ze bieden één plek voor het beheren van de toegang tot uw resources.
- Centraliseert het beheer van privé-eindpunten. Als u alle privé-eindpunten op één plek implementeert, kunt u ze efficiënter beheren in al uw virtuele netwerken en abonnementen.
Wanneer al uw workloads toegang nodig hebben tot elke PaaS-resource die u wilt beveiligen met Private Link, is deze configuratie geschikt. Maar als uw workloads toegang hebben tot verschillende PaaS-resources, implementeert u geen privé-eindpunten in een toegewezen subnet. Verbeter in plaats daarvan de beveiliging door het principe van de minste bevoegdheden te volgen:
- Plaats elk privé-eindpunt in een afzonderlijk subnet.
- Geef alleen werkbelastingen die gebruikmaken van een beveiligde resource toegang tot die resource.
Gebruikt u een privé-eindpunt van een on-premises systeem?
Als u van plan bent om privé-eindpunten te gebruiken voor toegang tot resources vanuit een on-premises systeem, implementeert u de eindpunten in uw hub. Met deze indeling kunt u profiteren van enkele van de voordelen die in de vorige sectie worden beschreven:
- Netwerkbeveiligingsgroepen gebruiken om de toegang tot uw resources te beheren
- Uw privé-eindpunten beheren op een centrale locatie
Als u van plan bent toegang te krijgen tot resources vanuit toepassingen die u in Azure hebt geïmplementeerd, is de situatie anders:
- Als slechts één toepassing toegang tot uw resources nodig heeft, implementeert u een privé-eindpunt in de spoke van die toepassing.
- Als meer dan één toepassing toegang tot uw resources nodig heeft, implementeert u een privé-eindpunt in uw hub.
Stroomdiagram
Het volgende stroomdiagram bevat een overzicht van de verschillende opties en aanbevelingen. Omdat elke klant een unieke omgeving heeft, moet u rekening houden met de vereisten van uw systeem bij het bepalen waar u privé-eindpunten wilt plaatsen.
Bovenaan het stroomdiagram staat een groen vak met het label Start. Een pijl wijst van dat vak naar een blauw vak met het label Azure Virtual W A N-topologie. Er stromen twee pijlen uit dat vak. Eén met het label Ja wijst naar een oranje doos met het label Spoke. De tweede pijl heeft het label Nee. Het wijst naar een blauw vak met het label Verkeersanalyse met N V A of Azure Firewall. Er stromen ook twee pijlen uit het vak verkeersanalyse. Eén met het label Ja wijst naar een oranje vak met het label Hub. De tweede pijl heeft het label Nee. Het wijst naar een blauw vak met het label Privé-eindpunttoegang vanaf on-premises. Er stromen twee pijlen uit het vak Privé-eindpunt. Eén met het label Ja wijst naar het oranje vak met het label Hub. De tweede pijl heeft het label Nee. Het wijst naar een blauw vak met het label Toegang tot één toepassing. Er stromen twee pijlen uit dat vak. Eén met het label Nee wijst naar de oranje doos met het label Hub. De tweede pijl heeft het label Ja. Deze wijst naar de oranje doos met het label Spoke.
Download een SVG van deze architectuur.
Overwegingen
Enkele factoren kunnen van invloed zijn op de implementatie van uw privé-eindpunt. Ze zijn van toepassing op Azure PaaS-services en services van klanten en partners die door Azure worden beheerd. Houd rekening met deze punten wanneer u een privé-eindpunt implementeert:
Netwerken
Wanneer u een privé-eindpunt in een virtueel spoke-netwerk gebruikt, bevat de standaardroutetabel van het subnet een route met een volgend /32 hoptype van InterfaceEndpoint .
Als u een traditionele hub-and-spoke-topologie gebruikt:
- U kunt deze effectieve route zien op het niveau van de netwerkinterface van uw virtuele machines.
- Zie Diagnose a virtual machine routing problem (Een routeringsprobleem met virtuele machines vaststellen) voor meer informatie.
Als u Virtual WAN:
- U kunt deze route zien in de effectieve routes van de virtuele hub.
- Zie View virtual hub effective routes (Effectieve routes voor virtuele hub weergeven) voor meer informatie.
De /32 route wordt doorgegeven aan deze gebieden:
- Peering voor virtuele netwerken die u hebt geconfigureerd
- Een VPN- of ExpressRoute-verbinding met een on-premises systeem
Als u de toegang van uw hub of on-premises systeem tot privé-eindpunt wilt beperken, gebruikt u een netwerkbeveiligingsgroep in het subnet waarin u een privé-eindpunt hebt geïmplementeerd. Configureer de juiste regels voor binnenkomende verkeer.
Naamomzetting
Onderdelen in uw virtuele netwerk koppelen een privé-IP-adres aan elk privé-eindpunt. Deze onderdelen kunnen dat privé-IP-adres alleen oplossen als u een specifieke Domain Name System (DNS) gebruikt. Als u een aangepaste DNS-oplossing gebruikt, kunt u het beste DNS-zonegroepen gebruiken. Integreer privé-eindpunt met een gecentraliseerde privé-DNS-zone van Azure. Het maakt niet uit of u resources in een hub of spoke hebt geïmplementeerd. Koppel de privé-DNS-zone aan alle virtuele netwerken die de DNS-naam van uw privé-eindpunt moeten oplossen.
Met deze methode kunnen on-premises en Azure DNS clients de naam oplossen en toegang krijgen tot het privé-IP-adres. Zie voor een referentie-implementatie Private Link dns-integratie op schaal.
Kosten
- Wanneer u een privé-eindpunt gebruikt in een regionaal virtueel netwerk-peering, worden er geen peeringkosten in rekening gebracht voor verkeer van en naar privé-eindpunt.
- Peeringkosten zijn nog steeds van toepassing op ander verkeer van infrastructuurresources dat via peering van een virtueel netwerk loopt.
- Als u privé-eindpunten in verschillende regio's implementeert, zijn Private Link en de tarieven voor binnenkomende en uitgaande wereldwijde peering van toepassing.
Zie Bandbreedteprijzen voor meer informatie.
Volgende stappen
- Een sternetwerktopologie in Azure
- Azure Private Link beschikbaarheid
- Wat is een privé-eindpunt van Azure?
- Wat is Azure Virtual Network?
- Wat is Azure DNS?
- Wat is een privé Azure DNS zone?
- Azure Firewall gebruiken om verkeer te controleren dat is bestemd voor een privé-eindpunt
- Netwerkverkeer filteren met netwerkbeveiligingsgroepen