Den här artikeln innehåller riktlinjer för Azure Private Link i en nätverkstopologi av nav och ekrar. Målgruppen omfattar nätverksarkitekter och molnlösningsarkitekter. Mer specifikt beskriver den här guiden hur du använder azures privata slutpunkt för privat åtkomst till PaaS-resurser (plattform som en tjänst).
Den här guiden omfattar inte integrering av virtuella nätverk, tjänstslutpunkter och andra lösningar för att ansluta IaaS-komponenter (infrastruktur som en tjänst) till Azure PaaS-resurser. Mer information om dessa lösningar finns i Integrera Azure-tjänster med virtuella nätverk för nätverksisolering.
Översikt
Följande avsnitt innehåller allmän information om Private Link och dess miljö.
Azure hub-and-spoke-topologier
Nav och ekrar är en nätverkstopologi som du kan använda i Azure. Den här topologin fungerar bra för att effektivt hantera kommunikationstjänster och uppfylla säkerhetskrav i stor skala. Mer information om nätverksmodeller med nav och ekrar finns i Nätverkstopologi med nav och ekrar.
Genom att använda en hub-and-spoke-arkitektur kan du dra nytta av följande fördelar:
- Distribuera enskilda arbetsbelastningar mellan centrala IT-team och arbetsbelastningsteam
- Spara pengar genom att minimera redundanta resurser
- Hantera nätverk effektivt genom att centralisera tjänster som flera arbetsbelastningar delar
- Överkompensera gränser för enskilda Azure-prenumerationer
Det här diagrammet visar en typisk topologi med nav och ekrar som du kan distribuera i Azure:
Till vänster innehåller diagrammet en prickad ruta med etiketten Lokalt nätverk. Den innehåller ikoner för virtuella datorer och domännamnsservrar. En dubbelriktad pil ansluter rutan till en prickad ruta till höger med etiketten Virtuellt hubbnätverk. En ikon ovanför pilen är märkt Azure ExpressRoute. Hubbrutan innehåller ikoner för D N S-vidarebefordrare. Pilar pekar bort från hubbrutan mot ikoner för privata D N S-zoner. En dubbelriktad pil ansluter hubbrutan till en ruta under den med etiketten Landningszon för virtuellt nätverk. Till höger om pilen är en ikon märkt Virtuell nätverks-peering. Rutan landningszon innehåller ikoner för en virtuell dator och en privat slutpunkt. En pil pekar från den privata slutpunkten till en lagringsikon som är utanför landningszonens ruta.
Ladda ned en SVG för den här arkitekturen.
Den här arkitekturen är ett av två alternativ för nätverkstopologi som Azure stöder. Den här klassiska referensdesignen använder grundläggande nätverkskomponenter som Azure Virtual Network, peering för virtuella nätverk och användardefinierade vägar (UDR: er). När du använder nav och ekrar ansvarar du för att konfigurera tjänsterna. Du måste också se till att nätverket uppfyller säkerhets- och routningskraven.
Azure Virtual WAN är ett alternativ för distributioner i stor skala. Den här tjänsten använder en förenklad nätverksdesign. Virtual WAN minskar också det konfigurationskostnader som är associerat med routning och säkerhet.
Private Link har stöd för olika alternativ för traditionella nav-och-eker-nätverk och för Virtual WAN nätverk.
Private Link
Private Link ger åtkomst till tjänster via nätverksgränssnittet privat slutpunkt. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk. Du kan komma åt olika tjänster via den privata IP-adressen:
- Azure PaaS-tjänster
- Kundägda tjänster som Azure är värd för
- Partnertjänster som Azure är värd för
Trafik mellan ditt virtuella nätverk och den tjänst som du använder färdas genom Azures stamnät. Därför kommer du inte längre åt tjänsten via en offentlig slutpunkt. Mer information finns i Vad är Azure Private Link?.
Följande diagram visar hur lokala användare ansluter till ett virtuellt nätverk och använder Private Link för att komma åt PaaS-resurser:
Diagrammet innehåller en prickad ruta i det vänstra konsumentnätverket. En ikon finns på kantlinjen och är märkt Azure ExpressRoute. Utanför rutan till vänster finns ikoner för lokala användare och en privat peering. Inuti rutan finns en mindre prickad ruta med etiketten Undernät som innehåller ikoner för datorer och privata slutpunkter. Den mindre rutans kantlinje innehåller en ikon för en nätverkssäkerhetsgrupp. Två streckade pilar flödar ut ur den inre rutan. De passerar också genom den yttre rutans kantlinje. En pekar på en prickad ruta till höger som är fylld med ikoner för Azure-tjänster. Den andra pilen pekar på en prickad ruta i det högra leverantörsnätverket. Rutan providernätverk innehåller en mindre prickad ruta och en ikon för Azure Private Link. Den mindre streckade rutan innehåller ikoner för datorer. Kantlinjen innehåller två ikoner: en för en lastbalanserare och en för en nätverkssäkerhetsgrupp.
Ladda ned en SVG för den här arkitekturen.
Beslutsträd för Private Link distribution
Du kan distribuera privata slutpunkter i antingen en hubb eller en eker. Några faktorer avgör vilken plats som fungerar bäst i varje situation. Faktorerna är relevanta för Azure PaaS-tjänster och för kundägda tjänster och partnertjänster som Azure är värd för.
Frågor att tänka på
Använd följande frågor för att fastställa den bästa konfigurationen för din miljö:
Är Virtual WAN din nätverksanslutningslösning?
Om du använder Virtual WAN kan du bara distribuera privata slutpunkter på virtuella ekernätverk som du ansluter till den virtuella hubben. Du kan inte distribuera resurser till din virtuella hubb eller säkra hubb.
Mer information om hur du integrerar privat slutpunkt i nätverket finns i följande artiklar:
Använder du en virtuell nätverksinstallation (NVA), till exempel Azure Firewall?
Trafik till privat slutpunkt använder Azure-nätverkets stamnät och krypteras. Du kan behöva logga eller filtrera trafiken. Du kanske också vill använda en brandvägg för att analysera trafik som flödar till privat slutpunkt om du använder en brandvägg inom något av följande områden:
- Över ekrar
- Mellan hubben och ekrarna
- Mellan lokala komponenter och dina Azure-nätverk
I det här fallet distribuerar du privata slutpunkter i hubben i ett dedikerat undernät. Det här arrangemanget:
- Förenklar din SNAT-regelkonfiguration (Secure Network Address Translation). Du kan skapa en enda SNAT-regel i din NVA för trafik till det dedikerade undernätet som innehåller dina privata slutpunkter. Du kan dirigera trafik till andra program utan att använda SNAT.
- Förenklar konfigurationen av din vägtabell. För trafik som flödar till privata slutpunkter kan du lägga till en regel för att dirigera trafiken via din NVA. Du kan återanvända regeln över alla dina ekrar, VPN-gatewayer (virtuellt privat nätverk) och Azure ExpressRoute gatewayer.
- Gör det möjligt att tillämpa regler för nätverkssäkerhetsgrupp för inkommande trafik i det undernät som du dedikerar till privat slutpunkt. Dessa regler filtrerar trafik till dina resurser. De ger en enda plats för att kontrollera åtkomsten till dina resurser.
- Centraliserar hanteringen av privata slutpunkter. Om du distribuerar alla privata slutpunkter på en plats kan du hantera dem mer effektivt i alla dina virtuella nätverk och prenumerationer.
När alla dina arbetsbelastningar behöver åtkomst till varje PaaS-resurs som du skyddar med Private Link är den här konfigurationen lämplig. Men om dina arbetsbelastningar har åtkomst till olika PaaS-resurser ska du inte distribuera privata slutpunkter i ett dedikerat undernät. Förbättra i stället säkerheten genom att följa principen om minsta behörighet:
- Placera varje privat slutpunkt i ett separat undernät.
- Ge endast arbetsbelastningar som använder en skyddad resurs åtkomst till den resursen.
Använder du privat slutpunkt från ett lokalt system?
Om du planerar att använda privata slutpunkter för att komma åt resurser från ett lokalt system distribuerar du slutpunkterna i hubben. Med det här arrangemanget kan du dra nytta av några av de fördelar som beskrivs i föregående avsnitt:
- Använda nätverkssäkerhetsgrupper för att kontrollera åtkomsten till dina resurser
- Hantera dina privata slutpunkter på en central plats
Om du planerar att komma åt resurser från program som du har distribuerat i Azure är situationen annorlunda:
- Om endast ett program behöver åtkomst till dina resurser distribuerar du Privat slutpunkt i programmets eker.
- Om fler än ett program behöver åtkomst till dina resurser distribuerar du Privat slutpunkt i hubben.
Flödesschema
Följande flödesschema sammanfattar de olika alternativen och rekommendationerna. Eftersom varje kund har en unik miljö bör du tänka på systemets krav när du bestämmer var du vill placera privata slutpunkter.
Överst i flödesschemat finns en grön ruta med etiketten Start. En pil pekar från rutan till en blå ruta med etiketten Azure Virtual W A N-topologi. Två pilar flödar ut ur rutan. En märkt Yes (Ja) pekar på en orange ruta med etiketten Spoke (Eker). Den andra pilen är märkt Nej. Den pekar på en blå ruta med etiketten Trafikanalys med N V A eller Azure Firewall. Två pilar flödar också ut från trafikanalysrutan. En med etiketten Ja pekar på en orange ruta med etiketten Hubb. Den andra pilen är märkt Nej. Den pekar på en blå ruta med etiketten Privat slutpunktsåtkomst från den lokala platsen. Två pilar flödar ut från rutan Privat slutpunkt. En med etiketten Ja pekar på den orangefärgade rutan med etiketten Hubb. Den andra pilen är märkt Nej. Den pekar på en blå ruta med etiketten Enkel programåtkomst. Två pilar flödar ut ur rutan. En med etiketten Nej pekar på den orangefärgade rutan med etiketten Hubb. Den andra pilen är märkt Ja. Den pekar på den orangefärgade rutan med etiketten Spoke.
Ladda ned en SVG för den här arkitekturen.
Överväganden
Några faktorer kan påverka implementeringen av den privata slutpunkten. De gäller för Azure PaaS-tjänster och kundägda och partnertjänster som Azure är värd för. Tänk på följande när du distribuerar privat slutpunkt:
Nätverk
När du använder privat slutpunkt i ett virtuellt ekernätverk innehåller undernätets standardvägtabell en väg med /32 nästa hopptypen InterfaceEndpoint .
Om du använder en traditionell topologi med nav och ekrar:
- Du kan se den här effektiva vägen på nätverksgränssnittsnivå för dina virtuella datorer.
- Mer information finns i Diagnostisera problem med routning av virtuella datorer.
Om du använder Virtual WAN:
- Du kan se den här vägen i de effektiva vägarna för den virtuella hubben.
- Mer information finns i Visa effektiva vägar för virtuell hubb.
Vägen /32 sprids till följande områden:
- All peering för virtuella nätverk som du har konfigurerat
- Vpn- eller ExpressRoute-anslutningar till ett lokalt system
Om du vill begränsa åtkomsten från hubben eller det lokala systemet till privat slutpunkt använder du en nätverkssäkerhetsgrupp i undernätet där du har distribuerat den privata slutpunkten. Konfigurera lämpliga regler för inkommande trafik.
Namnmatchning
Komponenter i ditt virtuella nätverk associerar en privat IP-adress med varje privat slutpunkt. Dessa komponenter kan bara matcha den privata IP-adressen om du använder en Domain Name System (DNS) konfiguration. Om du använder en anpassad DNS-lösning är det bäst att använda DNS-zongrupper. Integrera privat slutpunkt med en centraliserad privat Azure DNS-zon. Det spelar ingen roll om du har distribuerat resurser i en hubb eller en eker. Länka den privata DNS-zonen med alla virtuella nätverk som behöver matcha DNS-namnet för den privata slutpunkten.
Med den här metoden kan lokala klienter och Azure DNS matcha namnet och komma åt den privata IP-adressen. En referensimplementering finns i Private Link DNS-integrering i stor skala.
Kostnader
- När du använder privat slutpunkt för en regional peering för virtuella nätverk debiteras du inte peeringavgifter för trafik till och från privat slutpunkt.
- Peering-kostnader gäller fortfarande med annan infrastrukturresurstrafik som flödar över peering för virtuella nätverk.
- Om du distribuerar privata slutpunkter i olika regioner gäller Private Link och global peering för inkommande och utgående trafik.
Mer information finns i Priser för bandbredd.
Nästa steg
- Nätverkstopologi av typen hub-spoke i Azure
- Azure Private Link tillgänglighet
- Vad är en privat Azure-slutpunkt?
- Vad är Azure Virtual Network?
- Vad är Azure DNS?
- Vad är en privat Azure DNS zon?
- Använda Azure Firewall för att kontrollera trafik till en privat slutpunkt
- Så här filtrerar nätverkssäkerhetsgrupper nätverkstrafik