Vad är en privat slutpunkt?

  • Artikel
  • 10 minuter för att läsa

En privat slutpunkt är ett nätverksgränssnitt som använder en privat IP-adress från ditt virtuella nätverk. Det här nätverksgränssnittet ansluter dig privat och säkert till en tjänst som drivs av Azure Private Link. Genom att aktivera en privat slutpunkt tar du med tjänsten till ditt virtuella nätverk.

Tjänsten kan vara en Azure-tjänst som:

Egenskaper för privat slutpunkt

En privat slutpunkt anger följande egenskaper:

Egenskap Beskrivning
Name Ett unikt namn i resursgruppen.
Undernät Det undernät som ska distribueras, där den privata IP-adressen tilldelas. Information om undernätskrav finns i avsnittet Begränsningar senare i den här artikeln.
Private-link-resurs Den privata länkresursen som ska anslutas med hjälp av ett resurs-ID eller alias från listan över tillgängliga typer. En unik nätverksidentifierare genereras för all trafik som skickas till den här resursen.
Målunderresurs Den underresurs som ska anslutas. Varje resurstyp för privat länk har olika alternativ att välja baserat på inställningar.
Metod för anslutningsgodkännande Automatisk eller manuell. Beroende på behörigheterna för rollbaserad åtkomstkontroll i Azure (RBAC) kan din privata slutpunkt godkännas automatiskt. Om du ansluter till en privat länkresurs utan Azure RBAC-behörigheter använder du den manuella metoden för att tillåta resursens ägare att godkänna anslutningen.
Begärandemeddelande Du kan ange ett meddelande om att begärda anslutningar ska godkännas manuellt. Det här meddelandet kan användas för att identifiera en specifik begäran.
Anslutningsstatus En skrivskyddad egenskap som anger om den privata slutpunkten är aktiv. Endast privata slutpunkter i ett godkänt tillstånd kan användas för att skicka trafik. Ytterligare tillgängliga tillstånd:
  • Godkänd: Anslutningen godkändes automatiskt eller manuellt och är redo att användas.
  • Väntar: Anslutningen skapades manuellt och väntar på godkännande av resursägaren för privat länk.
  • Avvisad: Anslutningen avvisades av resursägaren för privat länk.
  • Frånkopplad: Anslutningen togs bort av resursägaren för den privata länken. Den privata slutpunkten blir informativ och bör tas bort för rensning.

    • Tänk på följande när du skapar privata slutpunkter:

    • Privata slutpunkter möjliggör anslutning mellan kunder från samma:

      • Virtuellt nätverk
      • Regionala peer-kopplade virtuella nätverk
      • Globalt peerkopplade virtuella nätverk
      • Lokala miljöer som använder VPN eller Express Route
      • Tjänster som drivs av Private Link

    • Nätverksanslutningar kan endast initieras av klienter som ansluter till den privata slutpunkten. Tjänstleverantörer har ingen routningskonfiguration för att skapa anslutningar till tjänstekunder. Anslutningar kan endast upprättas i en enda riktning.

    • Ett skrivskyddat nätverksgränssnitt skapas automatiskt för livscykeln för den privata slutpunkten. Gränssnittet tilldelas en dynamisk privat IP-adress från undernätet som mappar till resursen private-link. Värdet för den privata IP-adressen förblir oförändrat under hela livscykeln för den privata slutpunkten.

    • Den privata slutpunkten måste distribueras i samma region och prenumeration som det virtuella nätverket.

    • Resursen private-link kan distribueras i en annan region än den för det virtuella nätverket och den privata slutpunkten.

    • Flera privata slutpunkter kan skapas med samma private-link-resurs. För ett enskilt nätverk med en vanlig DNS-serverkonfiguration rekommenderar vi att du använder en enskild privat slutpunkt för en angiven privat länkresurs. Använd den här metoden för att undvika dubbletter av poster eller konflikter i DNS-matchning.

    • Flera privata slutpunkter kan skapas i samma eller olika undernät i samma virtuella nätverk. Det finns gränser för antalet privata slutpunkter som du kan skapa i en prenumeration. Mer information finns i Azure-gränser.

    • Prenumerationen från den privata länkresursen måste också vara registrerad hos Microsofts nätverksresursprovider. Mer information finns i Azure-resursprovidrar.

    En privat länkresurs är målmålet för en angiven privat slutpunkt. I följande tabell visas de tillgängliga resurser som stöder en privat slutpunkt:

    Resursnamn för privat länk Resurstyp Underresurser
    Azure App Configuration Microsoft.Appconfiguration/configurationStores configurationStores
    Azure Automation Microsoft.Automation/automationKonton Webhook, DSCAndHybridWorker
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Table
    Azure Batch Microsoft.Batch/batchAccounts batch-konto
    Azure Cache for Redis Microsoft.Cache/Redis redisCache
    Azure Cache for Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure Cognitive Services Microsoft.CognitiveServices/accounts konto
    Azure Managed Disks Microsoft.Compute/diskAccesses hanterad disk
    Azure Container Registry Microsoft.ContainerRegistry/registries registry
    Azure Kubernetes Service – Kubernetes API Microsoft.ContainerService/managedClusters management
    Azure Data Factory Microsoft.DataFactory/fabriker dataFactory
    Azure Database for MariaDB Microsoft.DBforMariaDB/servers mariadbServer
    Azure Database for MySQL Microsoft.DBforMySQL/servers mysqlServer
    Azure Database for PostgreSQL – enskild server Microsoft.DBforPostgreSQL/servers postgresqlServer
    Azure Device Provisioning Service Microsoft.Devices/provisioningServices iotDps
    Azure IoT Hub Microsoft.Devices/IotHubs iotHub
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances digitaltwinsinstance
    Azure Event Grid Microsoft.EventGrid/domains domän
    Azure Event Grid Microsoft.EventGrid/topics ämne
    Azure Event Hub Microsoft.EventHub/namespaces namnområde
    Azure HDInsight Microsoft.HDInsight/clusters cluster
    Azure API för FHIR (resurser för snabb sjukvårdskompatibilitet) Microsoft.HealthcareApis/services fhir
    Azure Key Vault HSM (maskinvarusäkerhetsmodul) Microsoft.Keyvault/managedHSMs HSM
    Azure Key Vault Microsoft.KeyVault/vaults valv
    Azure Machine Learning Microsoft.MachineLearningServices/workspaces amlworkspace
    Azure Migrate Microsoft.Migrate/assessmentProjects projekt
    Application Gateway Microsoft.Network/applicationgateways application gateway
    Private Link (din egen tjänst) Microsoft.Network/privateLinkServices tomt
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Microsoft Purview Microsoft.Purview/accounts konto
    Microsoft Purview Microsoft.Purview/accounts portal
    Azure Backup Microsoft.RecoveryServices/valv valv
    Azure Relay Microsoft.Relay/namespaces namnområde
    Azure Cognitive Search Microsoft.Search/searchServices söktjänst
    Azure Service Bus Microsoft.ServiceBus/namespaces namnområde
    Azure SignalR Service Microsoft.SignalRService/SignalR signalr
    Azure SignalR Service Microsoft.SignalRService/webPubSub webpubsub
    Azure SQL Database Microsoft.Sql/servers SQL Server (sqlServer)
    Azure Storage Microsoft. Storage/storageAccounts Blob (blob, blob_secondary)
    Tabell (tabell, table_secondary)
    Kö (kö, queue_secondary)
    Fil (fil, file_secondary)
    Webb (webb, web_secondary)
    Azure File Sync Microsoft.StorageSync/storageSyncServices File Sync service
    Azure Synapse Microsoft.Synapse/privateLinkHubs Synaps
    Azure Synapse Analytics Microsoft.Synapse/workspaces SQL, SqlOnDemand, Dev
    Azure App Service Microsoft.Web/hostingEnvironments värdmiljö
    Azure App Service Microsoft.Web/sites webbplatser
    Azure Static Web Apps Microsoft.Web/staticSites staticSites

    Anteckning

    Du kan bara skapa privata slutpunkter på ett Generell användning v2-lagringskonto (GPv2).

    Nätverkssäkerhet för privata slutpunkter

    När du använder privata slutpunkter skyddas trafiken till en privat länkresurs. Plattformen validerar nätverksanslutningar, så att endast de som når den angivna private-link-resursen tillåts. För att få åtkomst till ytterligare underresurser i samma Azure-tjänst krävs ytterligare privata slutpunkter med motsvarande mål. När det gäller Azure Storage behöver du till exempel separata privata slutpunkter för att få åtkomst till filen och blobunderresurserna.

    Privata slutpunkter tillhandahåller en privat tillgänglig IP-adress för Azure-tjänsten, men begränsar inte nödvändigtvis åtkomsten till det offentliga nätverket. Azure App Service och Azure Functions blir otillgängliga offentligt när de är associerade med en privat slutpunkt. Alla andra Azure-tjänster kräver dock ytterligare åtkomstkontroller. Dessa kontroller ger dina resurser ett extra nätverkssäkerhetslager, vilket ger skydd som förhindrar åtkomst till Azure-tjänsten som är associerad med private-link-resursen.

    Du kan ansluta till en private-link-resurs med hjälp av följande metoder för anslutningsgodkännande:

    • Godkänn automatiskt: Använd den här metoden när du äger eller har behörighet för den specifika private-link-resursen. De behörigheter som krävs baseras på resurstypen private-link i följande format:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Begär manuellt: Använd den här metoden när du inte har de behörigheter som krävs och vill begära åtkomst. Ett arbetsflöde för godkännande initieras. Den privata slutpunkten och senare privata slutpunktsanslutningar skapas i ett väntande tillstånd. Ägaren av private-link-resursen ansvarar för att godkänna anslutningen. När den privata slutpunkten har godkänts är den aktiverad för att skicka trafik normalt, enligt följande arbetsflödesdiagram för godkännande:

    Diagram of the workflow approval process.

    Via en privat slutpunktsanslutning kan en privat länk-resursägare:

    • Granska all anslutningsinformation för privat slutpunkt.
    • Godkänn en privat slutpunktsanslutning. Motsvarande privata slutpunkt aktiveras för att skicka trafik till private-link-resursen.
    • Avvisa en privat slutpunktsanslutning. Motsvarande privata slutpunkt uppdateras för att återspegla statusen.
    • Ta bort en privat slutpunktsanslutning i alla tillstånd. Motsvarande privata slutpunkt uppdateras med ett frånkopplat tillstånd för att återspegla åtgärden. Ägaren av den privata slutpunkten kan bara ta bort resursen i det här läget.

    Anteckning

    Endast privata slutpunkter i tillståndet Godkänd kan skicka trafik till en angiven private-link-resurs.

    Anslut med hjälp av ett alias

    Ett alias är en unik moniker som genereras när en tjänstägare skapar en privat länktjänst bakom en standardlastbalanserare. Tjänstägare kan dela det här aliaset offline med användare av din tjänst.

    Konsumenterna kan begära en anslutning till en private-link-tjänst med hjälp av antingen resurs-URI:n eller aliaset. Om du vill ansluta med hjälp av aliaset skapar du en privat slutpunkt med hjälp av metoden för manuellt anslutningsgodkännande. Om du vill använda metoden för manuellt anslutningsgodkännande anger du parametern för manuell begäran till True under flödet för att skapa privat slutpunkt. Mer information finns i New-AzPrivateEndpoint och az network private-endpoint create.

    Anteckning

    Den här manuella begäran kan godkännas automatiskt om konsumentens prenumeration är tillåten på providersidan. Mer information finns i Kontrollera tjänståtkomst.

    DNS-konfiguration

    De DNS-inställningar som du använder för att ansluta till en private-link-resurs är viktiga. Befintliga Azure-tjänster kanske redan har en DNS-konfiguration som du kan använda när du ansluter via en offentlig slutpunkt. Om du vill ansluta till samma tjänst via en privat slutpunkt krävs separata DNS-inställningar, som ofta konfigureras via privata DNS-zoner. Kontrollera att DNS-inställningarna är korrekta när du använder det fullständiga domännamnet (FQDN) för anslutningen. Inställningarna måste matcha den privata IP-adressen för den privata slutpunkten.

    Nätverksgränssnittet som är associerat med den privata slutpunkten innehåller den information som krävs för att konfigurera din DNS. Informationen innehåller FQDN och den privata IP-adressen för en private-link-resurs.

    Fullständig, detaljerad information om rekommendationer för att konfigurera DNS för privata slutpunkter finns i DNS-konfiguration för privat slutpunkt.

    Begränsningar

    I följande tabell visas kända begränsningar för användningen av privata slutpunkter:

    Begränsning Description Åtgärd
    Trafik som är avsedd för en privat slutpunkt via en användardefinierad väg (UDR) kan vara asymmetrisk. Returtrafik från en privat slutpunkt kringgår en virtuell nätverksinstallation (NVA) och försöker återgå till den virtuella källdatorn. SNAT (Source Network Address Translation) används för att säkerställa symmetrisk routning. För all trafik till en privat slutpunkt som använder en UDR rekommenderar vi att du använder SNAT för trafik vid NVA.

    Viktigt

    Nätverkssäkerhetsgrupp (NSG) och UDR-stöd för privata slutpunkter är i förhandsversion i utvalda regioner. Mer information finns i Förhandsversion av Private Link UDR-stöd och förhandsversion av stöd för Private Link nätverkssäkerhetsgrupp.

    Den här förhandsversionen tillhandahålls utan serviceavtal och vi rekommenderar inte att du använder den för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade.

    Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

    Begränsningar för förhandsversionen

    Nätverkssäkerhetsgrupper

    Begränsning Description Åtgärd
    Det går inte att hämta effektiva vägar och säkerhetsregler i ett privat slutpunktsnätverksgränssnitt. Du kan inte navigera till nätverksgränssnittet för att visa relevant information om gällande vägar och säkerhetsregler. Q4CY2021
    NSG-flödesloggar stöds inte. NSG-flödesloggar fungerar inte för inkommande trafik som är avsedd för en privat slutpunkt. Ingen åtgärdsinformation är tillgänglig just nu.
    Tillfälliga droppar med ZRS-lagringskonton (zonredundant lagring). Kunder som använder ZRS-lagringskonton kan se periodiska tillfälliga droppar, även med tillåten NSG tillämpad på ett undernät för privat slutpunkt för lagring. Ingen åtgärdsinformation är tillgänglig just nu.
    Tillfälliga droppar med Azure Key Vault. Kunder som använder Azure Key Vault kan se periodiska tillfälliga droppar, även med tillåten NSG som tillämpas på ett Key Vault privat slutpunktsundernät. Ingen åtgärdsinformation är tillgänglig just nu.
    Antalet adressprefix per NSG är begränsat. Det går inte att ha fler än 500 adressprefix i en NSG i en enda regel. Ingen åtgärdsinformation är tillgänglig just nu.
    Flaggan AllowVirtualNetworkAccess Kunder som ställer in peering för virtuella nätverk på sitt virtuella nätverk (virtuellt nätverk A) med flaggan AllowVirtualNetworkAccess inställd på falskt på peeringlänken till ett annat virtuellt nätverk (virtuellt nätverk B) kan inte använda virtualnetwork-taggen för att neka trafik från det virtuella nätverket B som kommer åt privata slutpunktsresurser. Kunderna måste uttryckligen placera ett block för det virtuella nätverket B:s adressprefix för att neka trafik till den privata slutpunkten. Ingen åtgärdsinformation är tillgänglig just nu.
    NSG-regler med dubbla portar stöds inte. Om flera portintervall används med NSG-regler gäller endast det första portintervallet för tillåtna regler och nekanderegler. Regler med flera portintervall nekas som standard alla i stället för att neka specifika portar.

    Mer information finns i UDR-regelexemplet i nästa tabell.    		 Ingen åtgärdsinformation är tillgänglig just nu.

    I följande tabell visas ett exempel på en NSG-regel med dubbla portar:

    Prioritet Källport Målport Åtgärd Effektiv åtgärd
    10 10-12 10-12 Tillåt/neka Enskilda portintervall i käll-/målportar fungerar som förväntat.
    10 10-12, 13-14 14-15, 16-17 Tillåt Endast källportarna 10–12 och målportarna 14–15 tillåts.
    10 10-12, 13-14 120-130, 140-150 Neka Trafik från alla källportar nekas till alla målportar eftersom det finns flera käll- och målportintervall.
    10 10-12, 13-14 120-130 Neka Trafik från alla källportar nekas endast till målportarna 120–130. Det finns flera källportintervall och ett enda målportintervall.
    Begränsning Description Åtgärd
    Källnätverksadressöversättning (SNAT) rekommenderas alltid. På grund av det privata slutpunktsdataplanets varierande karaktär rekommenderar vi att du använder SNAT-trafik som är avsedd för en privat slutpunkt, vilket säkerställer att returtrafiken respekteras. Ingen åtgärdsinformation är tillgänglig just nu.

    Nästa steg