Часто задаваемые вопросы о Приватном канале Azure

• Приватная (частная) конечная точка Azure — это сетевой интерфейс, который защищенно и надежно подключается к службе через приватную ссылку Azure Private Link. Частные конечные точки можно использовать для подключения к службе Azure PaaS, которая поддерживает Приватные каналы, или к собственной службе Приватных каналов.
• Служба Приватных каналов Azure. Служба Приватных каналов Azure — это служба, созданная поставщиком услуг. Сейчас служба Приватных каналов может быть подключена к интерфейсной IP-конфигурации Load Balancer (цен. категория "Стандартный").

Трафик отправляется частным образом с помощью магистрали Майкрософт. Он не проходит через Интернет. Приватный канал Azure не хранит данные клиента.

• Частные конечные точки предоставляют сетевой доступ к определенным ресурсам за заданной службой, обеспечивая детальное сегментирование. Трафик может получить доступ к ресурсу службы из локальной среды без использования общедоступных конечных точек.
• Конечная точка службы остается общедоступным маршрутизируемым IP-адресом. Частная конечная точка — это частный IP-адрес в адресном пространстве виртуальной сети, в которой настроена частная конечная точка.

Доступ через частную конечную точку поддерживается несколькими типами ресурсов приватных каналов. Эти ресурсы включают службы Azure PaaS и вашу собственную службу Приватных каналов. Это отношение "один ко многим".

Служба Приватных каналов принимает подключения из нескольких частных конечных точек. Частная конечная точка подключается к одной службе Приватных каналов.

Да. Приватный канал службе необходимо отключить политики сети для правильной работы.

Да. Чтобы использовать такие политики, как определяемые пользователем маршруты и группы безопасности сети, необходимо включить политики сети для подсети в виртуальной сети для частной конечной точки. Этот параметр влияет на все частные конечные точки в подсети.

Да. В одной виртуальной сети или подсетях может быть несколько частных конечных точек. Они могут подключаться к разным службам.

Нет. Вам не потребуется выделенная подсеть для частных конечных точек. Вы можете выбрать IP-адрес частной конечной точки из любой подсети в виртуальной сети, в которой развернута служба.

Да. Частные конечные точки могут подключаться к службам Приватный канал или к Azure PaaS в клиентах Microsoft Entra. Для частных конечных точек в клиентах требуется утверждение вручную.

Да. Частные конечные точки могут подключаться к ресурсам Azure PaaS в регионах Azure.

При создании частной конечной точки назначается сетевой интерфейс, доступный только для чтения. Сетевой адаптер не может быть изменен и останется в жизненном цикле частной конечной точки.

Частные конечные точки — это высокодоступные ресурсы с соглашением об уровне обслуживания в соответствии с соглашением об уровне обслуживания для Приватного канала Azure. Тем не менее, поскольку они региональные ресурсы, любой регион Azure сбоя может повлиять на доступность. Для обеспечения доступности при наличии региональных сбоев несколько PES, подключенных к одному целевому ресурсу, можно развернуть в разных регионах. Таким образом, если один из регионов выходит из строя, вы по-прежнему можете маршрутизировать трафик для сценариев восстановления через частную точку в другом регионе, чтобы получить доступ к целевому ресурсу. Дополнительные сведения о том, как региональные сбои обрабатываются на стороне целевой службы, см. в документации по отработкам отказа и восстановлению. Трафик Приватного канала соответствует разрешению Azure DNS для конечной точки назначения.

Частные конечные точки — это высокодоступные ресурсы с соглашением об уровне обслуживания в соответствии с соглашением об уровне обслуживания для Приватного канала Azure. Частные конечные точки не зависят от зоны: сбой зоны доступности в регионе частной конечной точки не влияет на доступность частной конечной точки.

Трафик TCP и UDP поддерживаются только для частной конечной точки. Дополнительные сведения см. в Приватный канал ограничениях.

Серверная часть службы должна находиться в виртуальной сети за Load Balancer (цен. категория "Стандартный").

Службу Приватных каналов можно масштабировать несколькими способами:

• Добавление серверных виртуальных машин в пул за Load Balancer (цен. категория "Стандартный").
• Добавление IP-адреса в службу Приватных каналов. Допускается до 8 IP-адресов на службу Приватных каналов.
• Добавление ссылки на новую службу Приватных каналов в Load Balancer (цен. категория "Стандартный"). Допускается до восьми служб Приватных каналов на Load Balancer (цен. категория "Стандартный").

• Конфигурация IP-адресов NAT гарантирует, что адресное пространство источника (потребителя) и целевого (поставщика услуг) не имеет конфликтов IP-адресов. Конфигурация предоставляет исходный NAT для трафика приватного канала для назначения. IP-адрес NAT будет отображаться в качестве исходного IP-адреса для всех пакетов, полученных службой и конечным IP-адресом для всех пакетов, отправленных службой. IP-адрес NAT можно выбрать из любой подсети в виртуальной сети поставщика услуг.
• Каждый IP-адрес NAT предоставляет 64 тыс. подключений TCP (64 тыс. портов) на каждую виртуальную машину за Load Balancer (цен. категория "Стандартный"). Для масштабирования и добавления дополнительных подключений можно либо добавить новые IP-адреса NAT, либо добавить дополнительные виртуальные машины за Load Balancer (цен. категория "Стандартный"). Это позволит масштабировать доступность порта и создать дополнительные подключения. Подключения будут распределяться по IP-адресам NAT и виртуальным машинам за Load Balancer (цен. категория "Стандартный").

Да. Одна служба Приватных каналов может принимать подключения от нескольких частных конечных точек. Однако одна частная конечная точка может быть подключена только к одной службе Приватных каналов.

Вы можете управлять доступностью службы, настраивая конфигурацию видимости в службе Приватных каналов. Возможны три варианта доступности:

• Нет . Только подписки с доступом на основе ролей могут находить службу.
• Ограничение . Только подписки, утвержденные и имеющие доступ на основе ролей, могут находить службу.
• Все: служба доступна для всех пользователей.

Нет. Использование службы Приватных каналов с Load Balancer (цен. категория "Базовый") не поддерживается.

Нет. Для службы Приватный канал не требуется выделенная подсеть. Вы можете выбрать любую подсеть в виртуальной сети, в которой развернута ваша служба.

Нет. Служба Приватных каналов Azure сама позаботится об этом. Вам необязательно иметь адресное пространство, которое бы не перекрывалось с адресным пространством клиента.

Следующие шаги

• Подробнее о Приватном канале Azure