Wat is Azure Private Link service?
Azure Private Link service is de verwijzing naar uw eigen service die powered by Azure Private Link. Uw service die wordt uitgevoerd achter Azure Standard Load Balancer kan worden ingeschakeld voor Private Link-toegang, zodat gebruikers van uw service privé toegang hebben vanaf hun eigen VNets. Uw klanten kunnen een privé-eindpunt binnen hun VNet maken en dit aan deze service toe te wijsen. In dit artikel worden concepten beschreven die betrekking hebben op de serviceprovider.
Afbeelding: Azure Private Link Service.
Werkstroom
Afbeelding: Azure Private Link servicewerkstroom.
Uw Private Link service maken
Configureer uw toepassing zo dat deze wordt uitgevoerd achter een load balancer in uw virtuele netwerk. Als u uw toepassing al hebt geconfigureerd achter een standaard load balancer, kunt u deze stap overslaan.
Maak een Private Link Service die verwijst naar de bovenstaande load balancer. Kies in load balancer selectieproces de front-end-IP-configuratie waar u het verkeer wilt ontvangen. Kies een subnet voor NAT IP-adressen voor de Private Link Service. Het is raadzaam om ten minste acht NAT IP-adressen beschikbaar te hebben in het subnet. Al het consumentenverkeer lijkt afkomstig te zijn van deze groep privé-IP-adressen naar de serviceprovider. Kies de juiste eigenschappen/instellingen voor de Private Link Service.
Notitie
Azure Private Link-service wordt alleen ondersteund op Standard Load Balancer.
Uw service delen
Nadat u een Private Link service hebt gemaakt, genereert Azure een wereldwijd unieke moniker met de naam 'alias' op basis van de naam die u voor uw service op geeft. U kunt de alias of resource-URI van uw service offline delen met uw klanten. Consumenten kunnen een verbinding Private Link met behulp van de alias of de resource-URI.
Uw verbindingsaanvragen beheren
Nadat een consument een verbinding heeft geïnitieerd, kan de serviceprovider de verbindingsaanvraag accepteren of afwijzen. Alle verbindingsaanvragen worden vermeld onder de eigenschap privateendpointconnections van de Private Link service.
Uw service verwijderen
Als de Private Link service niet meer in gebruik is, kunt u deze verwijderen. Voordat u de service verwijdert, moet u er echter voor zorgen dat er geen privé-eindpuntverbindingen aan zijn gekoppeld. U kunt alle verbindingen weigeren en de service verwijderen.
Eigenschappen
Een Private Link service geeft de volgende eigenschappen op:
| Eigenschap | Uitleg |
|---|---|
| Inrichtingstoestand (provisioningState) | Een alleen-lezen eigenschap die de huidige inrichtingstoestand voor de Private Link service vermeldt. Toepasselijke inrichtings states zijn: "Verwijderen; Mislukt; Geslaagd; Bijwerken.' Wanneer de inrichtingstoestand Geslaagd is, hebt u uw service Private Link ingericht. |
| Alias (alias) | Alias is een wereldwijd unieke alleen-lezen tekenreeks voor uw service. Hiermee kunt u de klantgegevens voor uw service maskeren en tegelijkertijd een gemakkelijk te delen naam voor uw service maken. Wanneer u een Private Link service maakt, genereert Azure de alias voor uw service die u met uw klanten kunt delen. Uw klanten kunnen deze alias gebruiken om een verbinding met uw service aan te vragen. |
| Zichtbaarheid (zichtbaarheid) | Zichtbaarheid is de eigenschap die de blootstellingsinstellingen voor uw Private Link beheert. Serviceproviders kunnen ervoor kiezen om de blootstelling van hun service aan abonnementen te beperken met machtigingen voor op rollen gebaseerd toegangsbeheer (Azure RBAC), een beperkte set abonnementen of alle Azure-abonnementen. |
| Automatische goedkeuring (autoApproval) | Automatische goedkeuring bepaalt de automatische toegang tot de Private Link service. De abonnementen die zijn opgegeven in de lijst met automatische goedkeuringen, worden automatisch goedgekeurd wanneer een verbinding wordt aangevraagd bij privé-eindpunten in deze abonnementen. |
| Load Balancer FRONT-end-IP-configuratie (loadBalancerFrontendIpConfigurations) | Private Link-service is gekoppeld aan het front-end-IP-adres van een Standard Load Balancer. Al het verkeer dat is bestemd voor de service bereikt de front-end van de SLB. U kunt SLB-regels configureren om dit verkeer door te sturen naar de juiste back-eindepools waar uw toepassingen worden uitgevoerd. Front-end-IP-configuraties van load balancer verschillen van NAT IP-configuraties. |
| NAT IP-configuratie (ipConfigurations) | Deze eigenschap verwijst naar de NAT-ip-configuratie (Network Address Translation) voor de Private Link service. Het NAT-IP-adres kan worden gekozen uit elk subnet in het virtuele netwerk van een serviceprovider. Private Link service voert NAT-ing aan de doelzijde uit op Private Link netwerkverkeer. Dit zorgt ervoor dat er geen IP-conflict is tussen de bronadresruimte (consumentenzijde) en de doeladresruimte (serviceprovider). Aan de doelzijde (serviceproviderzijde) wordt het NAT IP-adres als bron-IP-adres voor alle pakketten die door uw service worden ontvangen en het doel-IP-adres voor alle pakketten die door uw service worden verzonden. |
| Privé-eindpuntverbindingen (privateEndpointConnections) | Met deze eigenschap worden de privé-eindpunten vermeld die verbinding maken met Private Link service. Meerdere privé-eindpunten kunnen verbinding maken met dezelfde Private Link service en de serviceprovider kan de status voor afzonderlijke privé-eindpunten bepalen. |
| TCP Proxy V2 (EnableProxyProtocol) | Met deze eigenschap kan de serviceprovider TCP-proxy v2 gebruiken om verbindingsgegevens over de servicegebruiker op te halen. De serviceprovider is verantwoordelijk voor het instellen van ontvanger-configuraties om de proxyprotocol v2-header te kunnen parseren. |
Details
Private Link-service is toegankelijk vanaf goedgekeurde privé-eindpunten in elke openbare regio. Het privé-eindpunt kan worden bereikt vanuit hetzelfde virtuele netwerk, regionaal peered VNets, wereldwijd peering VNets en on-premises met behulp van privé-VPN- of ExpressRoute-verbindingen.
Wanneer u een Private Link Service maakt, wordt er een netwerkinterface gemaakt voor de levenscyclus van de resource. Deze interface kan niet worden beheert door de klant.
De Private Link-service moet worden geïmplementeerd in dezelfde regio als het virtuele netwerk en de Standard Load Balancer.
Eén Private Link-service is toegankelijk vanaf meerdere privé-eindpunten die behoren tot verschillende VNets, abonnementen en/of Active Directory-tenants. De verbinding wordt tot stand gebracht via een verbindingswerkstroom.
Meerdere Private Link kunnen worden gemaakt op dezelfde Standard Load Balancer verschillende front-end-IP-configuraties. Er gelden limieten voor het aantal Private Link dat u per abonnement Standard Load Balancer en per abonnement kunt maken. Zie Azure-limieten voor meer informatie.
Private Link-service kan meer dan één NAT IP-configuratie aan de service zijn gekoppeld. Als u meer dan één NAT IP-configuratie kiest, kunnen serviceproviders schalen. Tegenwoordig kunnen serviceproviders maximaal acht NAT-IP-adressen per Private Link toewijzen. Met elk NAT IP-adres kunt u meer poorten toewijzen voor uw TCP-verbindingen en dus uitschalen. Nadat u meerdere NAT IP-adressen aan een Private Link service hebt toevoegen, kunt u de NAT IP-adressen niet verwijderen. Dit wordt gedaan om ervoor te zorgen dat actieve verbindingen niet worden beïnvloed tijdens het verwijderen van de NAT IP-adressen.
Alias
Alias is een wereldwijd unieke naam voor uw service. Hiermee kunt u de klantgegevens voor uw service maskeren en tegelijkertijd een gemakkelijk te delen naam voor uw service maken. Wanneer u een Private Link service maakt, genereert Azure een alias voor uw service die u met uw klanten kunt delen. Uw klanten kunnen deze alias gebruiken om een verbinding met uw service aan te vragen.
De alias bestaat uit drie delen: Voorvoegsel. GUID. Achtervoegsel
- Het voorvoegsel is de servicenaam. U kunt uw eigen voorvoegsel kiezen. Nadat alias is gemaakt, kunt u deze niet meer wijzigen. Selecteer daarom uw voorvoegsel op de juiste manier.
- GUID wordt geleverd per platform. Dit helpt de naam wereldwijd uniek te maken.
- Achtervoegsel wordt toegevoegd door Azure: regio.azure.privatelinkservice
Volledige alias: voorvoegsel. {GUID}. regio.azure.privatelinkservice
Blootstelling van service controleren
De Private Link service biedt drie opties in de instelling Zichtbaarheid om de blootstelling van uw service te bepalen. Uw zichtbaarheidsinstelling bepaalt of een consument verbinding kan maken met uw service. Hier zijn de opties voor zichtbaarheidsinstelling, van de meest beperkende tot de minst beperkende:
- Alleen op rollen gebaseerd toegangsbeheer: als uw service is voor privéverbruik van verschillende VNets van u, kunt u RBAC gebruiken als een mechanisme voor toegangsbeheer binnen abonnementen die zijn gekoppeld aan dezelfde Active Directory-tenant. Opmerking: Zichtbaarheid van verschillende tenants is toegestaan via RBAC.
- Beperkt per abonnement: als uw service wordt gebruikt in verschillende tenants, kunt u de blootstelling beperken tot een beperkte set abonnementen die u vertrouwt. Autorisaties kunnen vooraf worden goedgekeurd.
- Iedereen met uw alias: als u uw service openbaar wilt maken en iedereen met uw Private Link-servicealias een verbinding wilt laten aanvragen, selecteert u deze optie.
Servicetoegang controleren
Consumenten die worden blootgesteld (beheerd door zichtbaarheidsinstelling) aan uw Private Link-service kunnen een privé-eindpunt in hun VNets maken en een verbinding met uw Private Link service aanvragen. De verbinding met het privé-eindpunt wordt gemaakt in de status In behandeling op het Private Link serviceobject. De serviceprovider is verantwoordelijk voor het reageren op de verbindingsaanvraag. U kunt de verbinding goedkeuren, de verbinding afwijzen of de verbinding verwijderen. Alleen goedgekeurde verbindingen kunnen verkeer naar de Private Link verzenden.
De actie voor het goedkeuren van de verbindingen kan worden geautomatiseerd met behulp van de eigenschap automatische goedkeuring in de Private Link service. Automatische goedkeuring is een mogelijkheid voor serviceproviders om vooraf een set abonnementen goed te keuren voor automatische toegang tot hun service. Klanten moeten hun abonnementen offline delen zodat serviceproviders deze kunnen toevoegen aan de lijst met automatische goedkeuringen. Automatische goedkeuring is een subset van de zichtbaarheids matrix. Zichtbaarheid bepaalt de blootstellingsinstellingen, terwijl automatische goedkeuring de goedkeuringsinstellingen voor uw service bepaalt. Als een klant een verbinding aanvraagt bij een abonnement in de lijst met automatische goedkeuringen, wordt de verbinding automatisch goedgekeurd en wordt de verbinding tot stand gebracht. Serviceproviders hoeven de aanvraag niet meer handmatig goed te keuren. Als een klant daarentegen een verbinding aanvraagt van een abonnement in de zichtbaarheidsmatrice en niet in de matrix voor automatische goedkeuring, wordt de aanvraag bij de serviceprovider ingediend, maar moet de serviceprovider de verbindingen handmatig goedkeuren.
Verbindingsgegevens verkrijgen met TCP-proxy v2
Wanneer u de Private Link-service gebruikt, is het bron-IP-adres van de pakketten die afkomstig zijn van het privé-eindpunt nat (Network Address Translated) aan de zijde van de serviceprovider met behulp van het NAT-IP dat is toegewezen vanuit het virtuele netwerk van de provider. Daarom ontvangen de toepassingen het toegewezen NAT IP-adres in plaats van het werkelijke bron-IP-adres van de serviceverbruikers. Als uw toepassing het werkelijke bron-IP-adres van de consument nodig heeft, kunt u het proxyprotocol inschakelen voor uw service en de informatie ophalen uit de proxyprotocolheader. Naast het ip-adres van de bron bevat de header van het proxyprotocol ook de LinkID van het privé-eindpunt. Een combinatie van bron-IP-adres en LinkID kan serviceproviders helpen om hun consumenten uniek te identificeren. Ga hier voor meer informatie over proxyprotocol.
Deze informatie wordt als volgt gecodeerd met behulp van een aangepaste TLV-vector (Type-Length-Value:
Aangepaste TLV-details:
| Veld | Lengte (octets) | Beschrijving |
|---|---|---|
| Type | 1 | PP2_TYPE_AZURE (0xEE) |
| Lengte | 2 | Lengte van waarde |
| Waarde | 1 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
| 4 | UINT32 (4 bytes) die de LINKID van het privé-eindpunt vertegenwoordigt. Gecodeerd in little endian indeling. |
Notitie
De serviceprovider zorgt ervoor dat de service achter de standaard-load balancer is geconfigureerd voor het parseren van de proxyprotocolheader volgens de specificatie wanneer proxyprotocol is ingeschakeld op de Private Link-service. De aanvraag mislukt als de instelling voor het proxyprotocol is ingeschakeld in de Private Link-service, maar de service van de serviceprovider niet is geconfigureerd om de header te parseren. Op dezelfde manier mislukt de aanvraag als de service van de serviceprovider een proxyprotocolheader verwacht terwijl de instelling niet is ingeschakeld op de Private Link-service. Zodra de instelling voor het proxyprotocol is ingeschakeld, wordt de proxyprotocolheader ook opgenomen in HTTP/TCP-statustests van de host naar de virtuele back-end-machines, ook al bevat de header geen clientgegevens.
Beperkingen
Hier volgen de bekende beperkingen bij het gebruik van de Private Link service:
- Alleen ondersteund op Standard Load Balancer. Niet ondersteund op basis van Load Balancer.
- Alleen ondersteund op Standard Load Balancer waar de back-endpool is geconfigureerd door NIC bij het gebruik van VM/VMSS.
- Ondersteunt alleen IPv4-verkeer
- Ondersteunt alleen TCP- en UDP-verkeer