Vad är en Azure Private Link-tjänst?
Azure Private Link-tjänsten är referensen till din egen tjänst som drivs av Azure Private Link. Din tjänst som körs bakom Azure Standard Load Balancer kan aktiveras för Private Link-åtkomst så att konsumenter till din tjänst kan komma åt den privat från sina egna virtuella nätverk. Dina kunder kan skapa en privat slutpunkt i sitt virtuella nätverk och mappa den till den här tjänsten. Den här artikeln beskriver begrepp som rör tjänstleverantörssidan.
Bild: Azure Private Link Service.
Arbetsflöde
Bild: Arbetsflöde för Azure Private Link-tjänsten.
Skapa din Private Link-tjänst
Konfigurera programmet så att det körs bakom en standardlastbalanserare i det virtuella nätverket. Om du redan har konfigurerat ditt program bakom en standardlastbalanserare kan du hoppa över det här steget.
Skapa en Private Link-tjänst som refererar till lastbalanseraren ovan. I markeringsprocessen för lastbalanseraren väljer du ip-konfigurationen för klientdelen där du vill ta emot trafiken. Välj ett undernät för NAT IP-adresser för Private Link-tjänsten. Vi rekommenderar att du har minst åtta NAT IP-adresser tillgängliga i undernätet. All konsumenttrafik verkar komma från den här poolen med privata IP-adresser till tjänstleverantören. Välj lämpliga egenskaper/inställningar för Private Link-tjänsten.
Kommentar
Azure Private Link-tjänsten stöds endast på Standard Load Balancer.
Dela din tjänst
När du har skapat en Private Link-tjänst genererar Azure en globalt unik moniker med namnet alias baserat på namnet du anger för din tjänst. Du kan dela antingen aliaset eller resurs-URI:n för din tjänst med dina kunder offline. Konsumenter kan starta en Private Link-anslutning med hjälp av aliaset eller resurs-URI:n.
Hantera dina anslutningsbegäranden
När en konsument har initierat en anslutning kan tjänstleverantören godkänna eller avvisa anslutningsbegäran. Alla anslutningsbegäranden visas under egenskapen privateendpointconnections i Private Link-tjänsten.
Ta bort din tjänst
Om Private Link-tjänsten inte längre används kan du ta bort den. Innan du tar bort tjänsten kontrollerar du dock att det inte finns några privata slutpunktsanslutningar kopplade till den. Du kan avvisa alla anslutningar och ta bort tjänsten.
Egenskaper
En Private Link-tjänst anger följande egenskaper:
| Property | Förklaring |
|---|---|
| Etableringstillstånd (provisioningState) | En skrivskyddad egenskap som visar det aktuella etableringstillståndet för Private Link-tjänsten. Tillämpliga etableringstillstånd är: Ta bort, Misslyckades,Lyckades,*Uppdatera. När etableringstillståndet har slutförts har du etablerat private link-tjänsten. |
| Alias (alias) | Alias är en globalt unik skrivskyddad sträng för din tjänst. Det hjälper dig att maskera kunddata för din tjänst och samtidigt skapar ett lätt att dela namn på din tjänst. När du skapar en Private Link-tjänst genererar Azure aliaset för din tjänst som du kan dela med dina kunder. Dina kunder kan använda det här aliaset för att begära en anslutning till tjänsten. |
| Synlighet (synlighet) | Synlighet är den egenskap som styr exponeringsinställningarna för din Private Link-tjänst. Tjänsteleverantörer kan välja att begränsa exponeringen för sin tjänst till prenumerationer med rollbaserade åtkomstkontrollbehörigheter i Azure. En begränsad uppsättning prenumerationer kan också användas för att begränsa exponeringen. |
| Automatiskt godkännande (automatiskt godkännande) | Automatiskt godkännande styr den automatiserade åtkomsten till Private Link-tjänsten. Prenumerationerna som anges i listan över automatiskt godkännande godkänns automatiskt när en anslutning begärs från privata slutpunkter i dessa prenumerationer. |
| Ip-konfiguration för lastbalanserarens klientdel (loadBalancerFrontendIpConfigurations) | Private Link-tjänsten är kopplad till klientdelens IP-adress för en Standard Load Balancer. All trafik som är avsedd för tjänsten når klientdelen av SLB. Du kan konfigurera SLB-regler för att dirigera trafiken till lämpliga serverdelspooler där dina program körs. IP-konfigurationer för lastbalanserarens klientdel skiljer sig från NAT IP-konfigurationer. |
| NAT IP-konfiguration (ipConfigurations) | Den här egenskapen refererar till IP-konfigurationen nat (nätverksadressöversättning) för Private Link-tjänsten. NAT IP kan väljas från valfritt undernät i en tjänstleverantörs virtuella nätverk. Private Link-tjänsten utför NAT-ing på målsidan för Private Link-trafiken. Denna NAT säkerställer att det inte finns någon IP-konflikt mellan källadressutrymmet (konsumentsidan) och måladressen (tjänstleverantören). På mål- eller tjänstprovidersidan visas NAT IP-adressen som käll-IP för alla paket som tas emot av din tjänst. Mål-IP visas för alla paket som skickas av din tjänst. |
| Privata slutpunktsanslutningar (privateEndpoint Anslut ions) | Den här egenskapen visar de privata slutpunkter som ansluter till Private Link-tjänsten. Flera privata slutpunkter kan ansluta till samma Private Link-tjänst och tjänstleverantören kan styra tillståndet för enskilda privata slutpunkter. |
| TCP Proxy V2 (EnableProxyProtocol) | Med den här egenskapen kan tjänstleverantören använda tcp proxy v2 för att hämta anslutningsinformation om tjänstkonsumenten. Tjänstleverantören ansvarar för att konfigurera mottagarkonfigurationer för att kunna parsa proxyprotokollets v2-huvud. |
Details
Private Link-tjänsten kan nås från godkända privata slutpunkter i alla offentliga regioner. Den privata slutpunkten kan nås från samma virtuella nätverk och regionala peer-kopplade virtuella nätverk. Den privata slutpunkten kan nås från globalt peer-kopplade virtuella nätverk och lokalt med hjälp av privata VPN- eller ExpressRoute-anslutningar.
När en Private Link-tjänst skapas skapas ett nätverksgränssnitt för resursens livscykel. Det här gränssnittet kan inte hanteras av kunden.
Private Link-tjänsten måste distribueras i samma region som det virtuella nätverket och Standard Load Balancer.
En enskild Private Link-tjänst kan nås från flera privata slutpunkter som tillhör olika virtuella nätverk, prenumerationer och/eller Active Directory-klientorganisationer. Anslutningen upprättas via ett anslutningsarbetsflöde.
Flera Private Link-tjänster kan skapas på samma Standard Load Balancer med olika IP-konfigurationer på klientsidan. Det finns gränser för antalet Private Link-tjänster som du kan skapa per Standard Load Balancer och per prenumeration. Läs mer i informationen om begränsningar för Azure.
Private Link-tjänsten kan ha fler än en NAT IP-konfiguration som är länkad till den. Om du väljer fler än en NAT IP-konfiguration kan du hjälpa tjänsteleverantörer att skala. I dag kan tjänsteleverantörer tilldela upp till åtta NAT IP-adresser per Private Link-tjänst. Med varje NAT IP-adress kan du tilldela fler portar för dina TCP-anslutningar och därmed skala ut. När du har lagt till flera NAT IP-adresser i en Private Link-tjänst kan du inte ta bort NAT IP-adresserna. Den här begränsningen finns för att säkerställa att aktiva anslutningar inte påverkas när NAT IP-adresserna tas bort.
Alias
Alias är ett globalt unikt namn för din tjänst. Det hjälper dig att maskera kunddata för din tjänst och samtidigt skapar ett lätt att dela namn på din tjänst. När du skapar en Private Link-tjänst genererar Azure ett alias för din tjänst som du kan dela med dina kunder. Dina kunder kan använda det här aliaset för att begära en anslutning till tjänsten.
Aliaset består av tre delar: Prefix.GUID.Suffix
Prefixet är tjänstnamnet. Du kan välja ett eget prefix. När "Alias" har skapats kan du inte ändra det, så välj prefixet på rätt sätt.
GUID tillhandahålls av plattformen. Detta GUID gör namnet globalt unikt.
Suffix läggs till av Azure: region.azure.privatelinkservice
Fullständigt alias: Prefix. {GUID}.region.azure.privatelinkservice
Kontrollera tjänstexponering
Private Link-tjänsten ger dig tre alternativ i synlighetsinställningen för att kontrollera exponeringen av din tjänst. Din synlighetsinställning avgör om en konsument kan ansluta till din tjänst. Här är alternativen för synlighetsinställningar, från mest restriktiva till minst restriktiva:
Endast rollbaserad åtkomstkontroll: Om tjänsten är för privat förbrukning från olika virtuella nätverk som du äger använder du rollbaserad åtkomstkontroll i prenumerationer som är associerade med samma Active Directory-klientorganisation. Synlighet mellan klientorganisationer tillåts via rollbaserad åtkomstkontroll.
Begränsad efter prenumeration: Om din tjänst används i olika klienter kan du begränsa exponeringen för en begränsad uppsättning prenumerationer som du litar på. Auktoriseringar kan godkännas i förväg.
Alla med ditt alias: Om du vill göra tjänsten offentlig och tillåta att alla med ditt Private Link-tjänstalias begär en anslutning väljer du det här alternativet.
Kontrollera tjänståtkomst
Konsumenter som har exponering som styrs av synlighetsinställningen för din Private Link-tjänst kan skapa en privat slutpunkt i sina virtuella nätverk och begära en anslutning till din Private Link-tjänst. Den privata slutpunktsanslutningen skapas i ett väntande tillstånd för private link-tjänstobjektet. Tjänstleverantören ansvarar för att agera på anslutningsbegäran. Du kan antingen godkänna anslutningen, avvisa anslutningen eller ta bort anslutningen. Endast anslutningar som är godkända kan skicka trafik till Private Link-tjänsten.
Åtgärden att godkänna anslutningarna kan automatiseras med hjälp av egenskapen för automatiskt godkännande i Private Link-tjänsten. Automatiskt godkännande är en möjlighet för tjänsteleverantörer att i förväg godkänna en uppsättning prenumerationer för automatisk åtkomst till deras tjänst. Kunder måste dela sina prenumerationer offline för att tjänsteleverantörer ska kunna lägga till i listan med automatiskt godkännande. Automatiskt godkännande är en delmängd av synlighetsmatrisen.
Synlighet styr exponeringsinställningarna medan automatiskt godkännande styr godkännandeinställningarna för din tjänst. Om en kund begär en anslutning från en prenumeration i listan över automatiskt godkännande godkänns anslutningen automatiskt och anslutningen upprättas. Tjänsteleverantörer behöver inte godkänna begäran manuellt. Om en kund begär en anslutning från en prenumeration i synlighetsmatrisen och inte i matrisen för automatiskt godkännande kommer begäran att nå tjänsteleverantören. Tjänstleverantören måste godkänna anslutningarna manuellt.
Hämta anslutningsinformation med TCP Proxy v2
I tjänsten private link är käll-IP-adressen för paketen som kommer från den privata slutpunkten nätverksadress översatt (NAT) på tjänstprovidersidan med hjälp av DEN NAT-IP som allokerats från leverantörens virtuella nätverk. Programmen får den allokerade NAT IP-adressen i stället för den faktiska käll-IP-adressen för tjänstkonsumenterna. Om ditt program behöver en faktisk käll-IP-adress från konsumentsidan kan du aktivera proxyprotokoll i tjänsten och hämta informationen från proxyprotokollhuvudet. Förutom källans IP-adress har proxyprotokollhuvudet även LinkID för den privata slutpunkten. En kombination av källans IP-adress och LinkID kan hjälpa tjänsteleverantörer att unikt identifiera sina konsumenter.
Mer information om proxyprotokoll finns här.
Den här informationen kodas med en anpassad TLV-vektor (Type-Length-Value) enligt följande:
Anpassad TLV-information:
| Fält | Längd (oktetter) | beskrivning |
|---|---|---|
| Typ | 1 | PP2_TYPE_AZURE (0xEE) |
| Längd | 2 | Värdelängd |
| Värde | 1 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
| 4 | UINT32 (4 byte) som representerar LINKID för den privata slutpunkten. Kodad i lite endianskt format. |
Kommentar
Tjänstleverantören ansvarar för att se till att tjänsten bakom standardlastbalanseraren har konfigurerats för att parsa proxyprotokollhuvudet enligt specifikationen när proxyprotokollet är aktiverat på private link-tjänsten. Begäran misslyckas om tjänsteleverantörens tjänst förväntar sig en proxyprotokollrubrik medan inställningen inte är aktiverad på den privata länktjänsten. Begäran misslyckas om tjänsteleverantörens tjänst förväntar sig en proxyprotokollrubrik medan inställningen inte är aktiverad på den privata länktjänsten. När inställningen för proxyprotokoll har aktiverats kommer proxyprotokollets rubrik även att inkluderas i HTTP/TCP-hälsoavsökningar från värden till de virtuella serverdelsdatorerna. Klientinformation finns inte i rubriken.
Matchningen LINKID som är en del av PROTOKOLLET PROXYv2 (TLV) finns i PrivateEndpointConnection egenskapen as linkIdentifier.
Mer information finns i Private Link Services API.
Begränsningar
Följande är de kända begränsningarna när du använder Private Link-tjänsten:
Stöds endast på Standard Load Balancer. Stöds inte på Basic Load Balancer.
Stöds endast på Standard Load Balancer där serverdelspoolen konfigureras av nätverkskortet. Stöds inte på Standard Load Balancer där serverdelspoolen konfigureras av IP-adress.
Stöder endast IPv4-trafik
Stöder endast TCP- och UDP-trafik
Private Link-tjänsten har en tidsgräns på ~5 minuter (300 sekunder). För att undvika att nå den här gränsen måste program som ansluter via Private Link Service använda TCP Keepalives lägre än den tiden.
För en inkommande NAT-regel med typen inställd på serverdelspool som ska fungera med Azure Private Link Service måste en belastningsutjämningsregel konfigureras.