Vad är en privat Azure-slutpunkt?
En privat slutpunkt är ett nätverksgränssnitt som använder en privat IP-adress från ditt virtuella nätverk. Det här nätverksgränssnittet ansluter dig privat och säkert till en tjänst som drivs av Azure Private Link. Genom att aktivera en privat slutpunkt tar du tjänsten till ditt virtuella nätverk.
Tjänsten kan vara en Azure-tjänst som:
- Azure Storage
- Azure Cosmos DB
- Azure SQL Database
- Din egen tjänst med hjälp av en Private Link Service.
Egenskaper för privat slutpunkt
En privat slutpunkt anger följande egenskaper:
| Egenskap | Beskrivning |
|---|---|
| Name | Ett unikt namn i resursgruppen. |
| Undernät | Undernätet som ska distribueras och var den privata IP-adressen är tilldelad. Krav för undernät finns i avsnittet om begränsningar i den här artikeln. |
| Private Link resurs | Den privata länkresursen för att ansluta med hjälp av resurs-ID eller alias från listan över tillgängliga typer. En unik nätverksidentifierare genereras för all trafik som skickas till den här resursen. |
| Målunderkälla | Underkällan för att ansluta. Varje privat länkresurstyp har olika alternativ att välja baserat på inställningar. |
| Metod för anslutningsgodkännande | Automatisk eller manuell. Beroende på behörigheter för rollbaserad åtkomstkontroll i Azure kan din privata slutpunkt godkännas automatiskt. Om du försöker ansluta till en privat länkresurs utan rollbaserad åtkomstkontroll i Azure använder du den manuella metoden för att tillåta ägaren till resursen att godkänna anslutningen. |
| Meddelande om begäran | Du kan ange ett meddelande för begärda anslutningar som ska godkännas manuellt. Det här meddelandet kan användas för att identifiera en specifik begäran. |
| Anslutningsstatus | En skrivskyddade egenskap som anger om den privata slutpunkten är aktiv. Endast privata slutpunkter i ett godkänt tillstånd kan användas för att skicka trafik. Fler tillgängliga tillstånd: -Godkänd: Anslutningen godkändes automatiskt eller manuellt och är redo att användas. -Väntar: Anslutningen har skapats manuellt och väntar på godkännande av ägaren till den privata länkresursen. -Nekad: Anslutningen avvisades av ägaren till den privata länkresursen. -Frånkopplad: Anslutningen har tagits bort av den privata länkens resursägare. Den privata slutpunkten blir informativ och bör tas bort för rensning. |
Viktig information om privata slutpunkter:
Den privata slutpunkten möjliggör anslutning mellan konsumenter från samma:
Nätverksanslutningar kan bara initieras av klienter som ansluter till den privata slutpunkten. Tjänstleverantörer har ingen routningskonfiguration för att skapa anslutningar till tjänstkonsumenter. Anslutningar kan bara upprättas i en enda riktning.
När du skapar en privat slutpunkt skapas ett skrivskyddad nätverksgränssnitt för resursens livscykel. Gränssnittet tilldelas en dynamisk privat IP-adress från undernätet som mappar till den privata länkresursen. Värdet för den privata IP-adressen förblir oförändrat under hela livscykeln för den privata slutpunkten.
Den privata slutpunkten måste distribueras i samma region och prenumeration som det virtuella nätverket.
Den privata länkresursen kan distribueras i en annan region än det virtuella nätverket och den privata slutpunkten.
Flera privata slutpunkter kan skapas med samma privata länkresurs. För ett enda nätverk som använder en gemensam DNS-serverkonfiguration rekommenderar vi att du använder en enda privat slutpunkt för en viss privat länkresurs. Använd den här praxis för att undvika dubblettposter eller konflikter i DNS-upplösning.
Flera privata slutpunkter kan skapas på samma eller olika undernät i samma virtuella nätverk. Det finns gränser för antalet privata slutpunkter som du kan skapa i en prenumeration. Mer information finns i Azure-gränser.
Prenumerationen från den privata länkresursen måste också vara registrerad hos Microsoft. Nätverksresursprovider. Mer information finns i Azure-resursproviders.
Privat länkresurs
En privat länkresurs är målmålet för en viss privat slutpunkt.
Tabellen nedan visar tillgängliga resurser som stöder en privat slutpunkt:
| Resursnamn för privat länk | Resurstyp | Underresurser |
|---|---|---|
| Azure App Configuration | Microsoft.Appconfiguration/configurationStores | configurationStores |
| Azure Automation | Microsoft.Automation/automationAccounts | Webhook, DSCAndHybridWorker |
| Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | Sql, MongoDB, Cassandra, Gremlin, Table |
| Azure Batch | Microsoft.Batch/batchAccounts | batch-konto |
| Azure Cache for Redis | Microsoft.Cache/Redis | redisCache |
| Azure Cache for Redis Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
| Cognitive Services | Microsoft.CognitiveServices/accounts | konto |
| Azure Managed Disks | Microsoft.Compute/diskAccesses | hanterad disk |
| Azure Container Registry | Microsoft.ContainerRegistry/registries | registry |
| Azure Kubernetes Service – Kubernetes API | Microsoft.ContainerService/managedClusters | management |
| Azure Data Factory | Microsoft.DataFactory/factories | data factory |
| Azure Database för MariaDB | Microsoft.DBforServeraDB/servers | mariadbServer |
| Azure Database for MySQL | Microsoft.DBforMySQL/servers | mysqlServer |
| Azure Database for PostgreSQL – enskild server | Microsoft.DBforPostgreSQL/servers | postgresqlServer |
| Azure IoT Hub | Microsoft.Devices/IotHubs | iotHub |
| Microsoft Digital Twins | Microsoft.DigitalTwins/digitalTwinsInstances | digitaltwinsinstance |
| Azure Event Grid | Microsoft.EventGrid/domains | domän |
| Azure Event Grid | Microsoft.EventGrid/topics | Event Grid-ämne |
| Azure Event Hub | Microsoft.EventHub/namespaces | namnområde |
| Azure HDInsight | Microsoft.HDInsight/clusters | cluster |
| Azure API för FHIR | Microsoft.HealthcareApis/services | tjänst |
| Azure Keyvault HSM | Microsoft.Keyvault/managedHSMs | HSM |
| Azure Key Vault | Microsoft.KeyVault/vaults | valv |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces | amlworkspace |
| Azure Migrate | Microsoft.Migrate/assessmentProjects | projekt |
| Application Gateway | Microsoft.Network/applicationgateways | application gateway |
| Private Link Service (din egen tjänst) | Microsoft.Network/privateLinkServices | tomt |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| Azure Purview | Microsoft.Purview/accounts | konto |
| Azure Purview | Microsoft.Purview/accounts | portal |
| Azure Backup | Microsoft.RecoveryServices/vaults | valv |
| Azure Relay | Microsoft.Relay/namnområden | namnområde |
| Microsoft Search | Microsoft.Search/searchServices | söktjänst |
| Azure Service Bus | Microsoft.ServiceBus/namespaces | namnområde |
| SignalR | Microsoft.SignalRService/SignalR | signalr |
| SignalR | Microsoft.SignalRService/webPubSub | webpubsub |
| Azure SQL Database | Microsoft.Sql/servers | Sql Server (sqlServer) |
| Azure Storage | Microsoft. Storage/storageAccounts | Blob (blob, blob_secondary) Tabell (tabell, table_secondary) Kö (kö, queue_secondary) Fil (fil, file_secondary) Webb (webb, web_secondary) |
| Azure File Sync | Microsoft.StorageSync/storageSyncServices | File Sync Service |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | Synaps |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Sql, SqlOnDemand, Dev |
| Azure App Service | Microsoft.Web/hostingEnvironments | värdmiljö |
| Azure App Service | Microsoft.Web/sites | webbplatser |
| Azure App Service | Microsoft.Web/staticSites | staticSite |
Nätverkssäkerhet för privata slutpunkter
När du använder privata slutpunkter skyddas trafiken till en privat länkresurs. Plattformen utför en åtkomstkontroll för att verifiera att nätverksanslutningarna endast når den angivna privata länkresursen. För att få åtkomst till fler resurser i samma Azure-tjänst krävs extra privata slutpunkter.
Du kan helt låsa dina arbetsbelastningar från att komma åt offentliga slutpunkter för att ansluta till en Azure-tjänst som stöds. Den här kontrollen ger ett extra nätverkssäkerhetslager för dina resurser. Säkerheten ger skydd som förhindrar åtkomst till andra resurser som finns i samma Azure-tjänst.
Åtkomst till en privat länkresurs med hjälp av godkännandearbetsflöde
Du kan ansluta till en privat länkresurs med hjälp av följande metoder för anslutningsgodkännande:
- Godkänns automatiskt när du äger eller har behörighet till den specifika privata länkresursen. Behörigheten som krävs baseras på resurstypen private link i följande format: Microsoft. <Provider> /<resource_type>/privateEndpointConnectionsApproval/action
- Manuell begäran när du inte har den behörighet som krävs och vill begära åtkomst. Ett arbetsflöde för godkännande initieras. Den privata slutpunkten och senare privata slutpunktsanslutningar skapas i tillståndet "Väntar". Ägaren till den privata länkresursen ansvarar för att godkänna anslutningen. När den privata slutpunkten har godkänts kan den skicka trafik normalt, som du ser i följande arbetsflödesdiagram för godkännande.
Ägaren av den privata länkresursen kan utföra följande åtgärder via en privat slutpunktsanslutning:
- Granska alla privata slutpunktsanslutningar.
- Godkänn en privat slutpunktsanslutning. Motsvarande privata slutpunkt aktiveras för att skicka trafik till den privata länkresursen.
- Avvisa en privat slutpunktsanslutning. Motsvarande privata slutpunkt uppdateras för att återspegla statusen.
- Ta bort en privat slutpunktsanslutning i alla tillstånd. Motsvarande privata slutpunkt uppdateras med ett frånkopplat tillstånd för att återspegla åtgärden. Ägaren av den privata slutpunkten kan bara ta bort resursen i det här läget.
Anteckning
Endast en privat slutpunkt i ett godkänt tillstånd kan skicka trafik till en viss privat länkresurs.
Anslut med alias
Alias är en unik moniker som genereras när tjänstägaren skapar den privata länktjänsten bakom en standardlastbalanserare. Tjänstägare kan dela det här aliaset med sina användare offline.
Konsumenter kan begära en anslutning till private link-tjänsten med hjälp av antingen resurs-URI:t eller aliaset. Om du vill ansluta med alias måste du skapa en privat slutpunkt med hjälp av metoden för manuellt anslutningsgodkännande. Om du vill använda metoden för manuellt anslutninggodkännande anger du parametern för manuell begäran till true under flödet för att skapa privat slutpunkt. Mer information finns i New-AzPrivateEndpoint och az network private-endpoint create.
DNS-konfiguration
DNS-inställningarna som används för anslutningar till en privat länkresurs är viktiga. Kontrollera att DNS-inställningarna är korrekta när du använder det fullständigt kvalificerade domännamnet (FQDN) för anslutningen. Inställningarna måste matcha den privata IP-adressen för den privata slutpunkten. Befintliga Azure-tjänster kanske redan har en DNS-konfiguration som ska användas vid anslutning via en offentlig slutpunkt. Den här konfigurationen måste skrivas över för att ansluta med din privata slutpunkt.
Nätverksgränssnittet som är associerat med den privata slutpunkten innehåller den information som krävs för att konfigurera din DNS. Informationen omfattar FQDN och den privata IP-adressen för en privat länkresurs.
Fullständig detaljerad information om rekommendationer för att konfigurera DNS för privata slutpunkter finns i DNS-konfiguration för privat slutpunkt.
Begränsningar
Följande tabell innehåller en lista över kända begränsningar när du använder privata slutpunkter:
| Begränsning | Beskrivning | Åtgärd |
|---|---|---|
| Trafik till en privat slutpunkt som använder en användardefinierad väg kan vara asymmetrisk. | Returtrafik från en privat slutpunkt kringgår en virtuell nätverksinstallation (NVA) och försöker återgå till den virtuella källdatorn. | Källnätverksadressöversättning (SNAT) används för att säkerställa symmetrisk routning. För all trafik som är avsedd för en privat slutpunkt med hjälp av en UDR rekommenderar vi att du använder SNAT för trafik på nva. |
Viktigt
Stöd för NSG och UDR för privata slutpunkter finns i offentlig förhandsversion i utvalda regioner. Mer information finns i Offentlig förhandsversion av UDR Private Link support och allmänt tillgänglig förhandsversion Private Link stöd för nätverkssäkerhetsgrupp. Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.
Offentliga begränsningar i förhandsversionen
NSG
| Begränsning | Beskrivning | Åtgärd |
|---|---|---|
| Hämta effektiva vägar och säkerhetsregler är inte tillgängliga i ett privat slutpunktsnätverksgränssnitt. | Du kan inte navigera till nätverksgränssnittet för att se relevant information om gällande vägar och säkerhetsregler. | Q4CY21 |
| NSG-flödesloggar stöds inte. | NSG-flödesloggar fungerar inte för inkommande trafik till en privat slutpunkt. | Ingen information just nu. |
| Tillfälliga fall med ZRS-lagringskonton. | Kunder som använder ZRS-lagringskontot kan se periodiska tillfälliga fall även om NSG-tillåts tillämpas på undernätet för den privata slutpunkten för lagring. | September |
| Tillfälliga fall med Azure Key Vault. | Kunder som använder Azure Key Vault kan se periodiska tillfälliga fall även om tillåt NSG tillämpas Azure Key Vault privata slutpunktens undernät. | September |
| Begränsa antalet adressprefix per NSG. | Det finns inte stöd för att ha fler än 500 adressprefix i NSG i en enskild regel. | September |
| AllowVirtualNetworkAccess-flagga | Kunder som ställer in VNet-peering på sitt VNet (VNet A) med Flaggan AllowVirtualNetworkAccess inställd på falskt på peeringlänken till ett annat VNet (VNet B) kan inte använda taggen VirtualNetwork för att neka trafik från VNet B som har åtkomst till privata slutpunktsresurser. De måste uttryckligen placera ett block för VNet B:s adressprefix för att neka trafik till den privata slutpunkten. | September |
| NSG-regler med dubbla portar stöds inte. | Om flera portintervall används med NSG-regler tillämpas endast det första portintervallet för tillåt- och neka-regler. Regler med flera portintervall nekas som standard alla i stället för specifika portar. Mer information finns i regelexempel nedan. | September |
| Prioritet | Källport | Målport | Åtgärd | Effektiv åtgärd |
|---|---|---|---|---|
| 10 | 10-12 | 10-12 | Tillåt/neka | Ett enda portintervall i käll-/målportar fungerar som förväntat. |
| 10 | 10-12, 13-14 | 14-15, 16-17 | Tillåt | Endast källportarna 10–12 och målportarna 14–15 tillåts. |
| 10 | 10-12, 13-14 | 120-130, 140-150 | Neka | Trafik från alla källportar nekas till alla dest-portar eftersom det finns flera käll- och målportintervall. |
| 10 | 10-12, 13-14 | 120-130 | Neka | Trafik från alla källportar nekas endast till målportarna 120–130. Det finns flera källportintervall och ett enda målportintervall. |
Tabell: Exempel på regel för dubbla portar.
UDR
| Begränsning | Beskrivning | Åtgärd |
|---|---|---|
| Källnätverksadressöversättning (SNAT) rekommenderas alltid. | Eftersom dataplanet för den privata slutpunkten är variabelt rekommenderar vi SNAT-trafik som är avsedd för en privat slutpunkt för att säkerställa att returtrafiken respekteras. | Ingen information just nu. |
Nästa steg
- Mer information om privat slutpunkt och privat länk finns i Vad är Azure Private Link?.
- Om du vill komma igång med att skapa en privat slutpunkt för en webbapp kan du gå till Snabbstart –Skapa en privat slutpunkt med hjälp av Azure Portal .