Veelgestelde vragen (FAQ) over Azure Private Link

  • Privé-eindpunt van Azure: Azure Private Endpoint is een netwerkinterface die u privé en veilig verbindt met een service die wordt mogelijk gemaakt door Azure Private Link. U kunt privé-eindpunten gebruiken om verbinding te maken met een Azure PaaS-service die ondersteuning biedt voor Private Link of uw eigen Private Link-service.
  • Azure Private Link-service: Azure Private Link-service is een service die is gemaakt door een serviceprovider. Momenteel kan een Private Link-service worden gekoppeld aan de front-end-IP-configuratie van een Standard Load Balancer.

Verkeer wordt privé verzonden met behulp van Microsoft backbone. Het gaat niet via internet. Azure Private Link slaat geen klantgegevens op.

Wat is het verschil tussen service-eindpunten en privé-eindpunten?

  • Privé-eindpunten verlenen netwerktoegang tot specifieke resources achter een bepaalde service die gedetailleerde segmentatie bieden. Verkeer kan de serviceresource on-premises bereiken zonder openbare eindpunten te gebruiken.
  • Een service-eindpunt blijft een openbaar routeerbaar IP-adres. Een privé-eindpunt is een privé-IP in de adresruimte van het virtuele netwerk waar het privé-eindpunt is geconfigureerd.

Meerdere private link-resourcetypen ondersteunen toegang via privé-eindpunten. Resources omvatten Azure PaaS-services en uw eigen Private Link-service. Het is een een-op-veel-relatie.

Een Private Link-service ontvangt verbindingen van meerdere privé-eindpunten. Een privé-eindpunt maakt verbinding met één Private Link-service.

Ja. Private Link-service moet netwerkbeleid uitschakelen om goed te functioneren.

Kan ik alleen gebruiken voor door de gebruiker gedefinieerde routes, alleen netwerkbeveiligingsgroepen of voor beide voor privé-eindpunten?

Ja. Als u beleid zoals door de gebruiker gedefinieerde routes en netwerkbeveiligingsgroepen wilt gebruiken, moet u netwerkbeleid inschakelen voor een subnet in een virtueel netwerk voor het privé-eindpunt. Deze instelling is van invloed op alle privé-eindpunten binnen het subnet.

Privé-eindpunt

Kan ik meerdere privé-eindpunten in hetzelfde VNet maken? Kunnen ze verbinding maken met verschillende services?

Ja. U kunt meerdere privé-eindpunten in hetzelfde VNet of subnet hebben. Ze kunnen verbinding maken met verschillende services.

Heb ik een toegewezen subnet nodig voor privé-eindpunten?

Nee U hebt geen toegewezen subnet nodig voor privé-eindpunten. U kunt een privé-eindpunt-IP kiezen uit elk subnet van het VNet waar uw service wordt geïmplementeerd.

Ja. Privé-eindpunten kunnen verbinding maken met Private Link-services of met een Azure PaaS in Microsoft Entra-tenants. Voor privé-eindpunten in tenants is een handmatige goedkeuring van de aanvraag vereist.

Kan een privé-eindpunt verbinding maken met Azure PaaS-resources tussen Azure-regio's?

Ja. Privé-eindpunten kunnen verbinding maken met Azure PaaS-resources in Azure-regio's.

Kan ik mijn NIC (Private Endpoint Network Interface Card) wijzigen?

Wanneer een privé-eindpunt wordt gemaakt, wordt er een alleen-lezen-NIC toegewezen. De NIC kan niet worden gewijzigd en blijft behouden voor de levenscyclus van het privé-eindpunt.

Hoe kan ik beschikbaarheid bereiken tijdens het gebruik van een privé-eindpunt als er regionale storingen zijn?

Privé-eindpunten zijn maximaal beschikbare resources met een SLA per SLA voor Azure Private Link. Omdat het echter regionale resources zijn, kan elke storing in een Azure-regio van invloed zijn op de beschikbaarheid. Om beschikbaarheid te bereiken als er regionale storingen zijn, kunnen meerdere PE's die zijn verbonden met dezelfde doelresource in verschillende regio's worden geïmplementeerd. Als er één regio uitvalt, kunt u het verkeer voor uw herstelscenario's nog steeds routeren via PE in een andere regio om toegang te krijgen tot de doelresource. Raadpleeg de servicedocumentatie over failover en herstel voor informatie over hoe de regionale fouten worden verwerkt aan de kant van de doelservice. Private Link-verkeer volgt de Azure DNS-omzetting voor het doeleindpunt.

Hoe kan ik beschikbaarheid bereiken tijdens het gebruik van privé-eindpunten als er fouten in de beschikbaarheidszone optreden?

Privé-eindpunten zijn maximaal beschikbare resources met een SLA per SLA voor Azure Private Link. Privé-eindpunten zijn zoneneutraal: een fout in de beschikbaarheidszone in de regio van het privé-eindpunt heeft geen invloed op de beschikbaarheid van het privé-eindpunt.

Ondersteunen privé-eindpunten ICMP-verkeer?

TCP- en UDP-verkeer worden alleen ondersteund voor een privé-eindpunt. Zie Beperkingen van Private Link voor meer informatie.

Uw serviceback-ends moeten zich in een virtueel netwerk en achter een Standard Load Balancer bevinden.

U kunt uw Private Link-service op verschillende manieren schalen:

  • Back-end-VM's toevoegen aan de pool achter uw Standard Load Balancer
  • Voeg een IP-adres toe aan de Private Link-service. We staan maximaal 8 IP-adressen per Private Link-service toe.
  • Nieuwe Private Link-service toevoegen aan Standard Load Balancer. Er zijn maximaal acht Private Link-services per Standard Load Balancer toegestaan.
  • De NAT IP-configuratie zorgt ervoor dat de bronadresruimte (consument) en de doeladresruimte (serviceprovider) geen IP-conflicten heeft. De configuratie biedt bron-NAT voor het privékoppelingsverkeer voor de bestemming. Het NAT-IP-adres wordt weergegeven als bron-IP voor alle pakketten die zijn ontvangen door uw service en doel-IP voor alle pakketten die door uw service worden verzonden. NAT IP kan worden gekozen uit elk subnet in het virtuele netwerk van een serviceprovider.
  • Elk NAT IP-adres biedt 64k TCP-verbindingen (64k poorten) per VM achter de Standard Load Balancer. Als u meer verbindingen wilt schalen en toevoegen, kunt u nieuwe NAT-IP-adressen toevoegen of meer VM's achter de Standard Load Balancer toevoegen. Als u dit doet, wordt de beschikbaarheid van de poort geschaald en zijn er meer verbindingen mogelijk. Verbinding maken ions worden verdeeld over NAT-IP's en VM's achter de Standard Load Balancer.

Kan ik mijn service verbinden met meerdere privé-eindpunten?

Ja. Eén Private Link-service kan verbindingen van meerdere privé-eindpunten ontvangen. Eén privé-eindpunt kan echter slechts verbinding maken met één Private Link-service.

U kunt de blootstelling beheren met behulp van de zichtbaarheidsconfiguratie op de Private Link-service. Zichtbaarheid ondersteunt drie instellingen:

  • Geen : alleen abonnementen met op rollen gebaseerde toegang kunnen de service vinden.
  • Beperkend : alleen abonnementen die zijn goedgekeurd en met toegang op basis van rollen, kunnen de service vinden.
  • Alles - Iedereen kan de service vinden.

Nee Private Link-service via een Basic Load Balancer wordt niet ondersteund.

Nee Een toegewezen subnet is niet vereist voor de Private Link-service. U kunt elk subnet in uw VNet kiezen waar uw service wordt geïmplementeerd.

Nee Azure Private Link biedt deze functionaliteit voor u. U hoeft geen niet-overlappende adresruimte te hebben met de adresruimte van uw klant.

Volgende stappen