Vad är Azure Private Link tjänst?
Azure Private Link tjänst är referensen till din egen tjänst som drivs av Azure Private Link. Din tjänst som körs bakom Azure Standard Load Balancer kan aktiveras för Private Link åtkomst så att användare till din tjänst kan komma åt den privat från sina egna virtuella nätverk. Dina kunder kan skapa en privat slutpunkt i sitt VNet och mappa den till den här tjänsten. I den här artikeln förklaras begrepp som rör tjänstleverantörssidan.
Bild: Azure Private Link Service.
Arbetsflöde
Bild: Azure Private Link tjänstarbetsflöde.
Skapa din Private Link tjänst
Konfigurera ditt program så att det körs bakom en standardlastbalanserare i det virtuella nätverket. Om du redan har konfigurerat programmet bakom en standardlastbalanserare kan du hoppa över det här steget.
Skapa en Private Link service som refererar till lastbalanseraren ovan. I urvalsprocessen för lastbalanserare väljer du den IP-konfiguration på serversidan där du vill ta emot trafiken. Välj ett undernät för NAT IP-adresser för Private Link tjänsten. Vi rekommenderar att du har minst åtta NAT IP-adresser tillgängliga i undernätet. All konsumenttrafik verkar komma från den här poolen med privata IP-adresser till tjänstleverantören. Välj lämpliga egenskaper/inställningar för Private Link Service.
Anteckning
Azure Private Link Service stöds endast på Standard Load Balancer.
Dela din tjänst
När du har skapat Private Link tjänst genererar Azure en globalt unik namngiven moniker med namnet "alias" baserat på det namn du anger för din tjänst. Du kan dela antingen alias eller resurs-URI för din tjänst med dina kunder offline. Konsumenter kan starta en Private Link-anslutning med hjälp av aliaset eller resurs-URI:en.
Hantera dina anslutningsbegäranden
När en konsument har initierat en anslutning kan tjänstleverantören godkänna eller avvisa anslutningsbegäran. Alla anslutningsbegäranden visas under egenskapen privateendpointconnections i Private Link tjänsten.
Ta bort din tjänst
Om Private Link-tjänsten inte längre används kan du ta bort den. Innan du tar bort tjänsten måste du dock se till att det inte finns några privata slutpunktsanslutningar kopplade till den. Du kan avvisa alla anslutningar och ta bort tjänsten.
Egenskaper
En Private Link-tjänst anger följande egenskaper:
| Egenskap | Förklaring |
|---|---|
| Etableringstillstånd (provisioningState) | En skrivskyddade egenskap som visar den aktuella etableringstillståndet för Private Link tjänsten. Tillämpliga etablerings tillstånd är: "Ta bort; Misslyckades; Lyckades; Uppdaterar". När etableringstillståndet är "Lyckades" har du etablerat din Private Link tjänsten. |
| Alias (alias) | Alias är en globalt unik skrivskyddade sträng för din tjänst. Det hjälper dig att maskera kunddata för din tjänst och skapar samtidigt ett namn som är lätt att dela för din tjänst. När du skapar en Private Link-tjänst genererar Azure aliaset för din tjänst som du kan dela med dina kunder. Dina kunder kan använda det här aliaset för att begära en anslutning till din tjänst. |
| Synlighet (synlighet) | Synlighet är egenskapen som styr exponeringsinställningarna för din Private Link tjänst. Tjänstleverantörer kan välja att begränsa exponeringen för sina tjänster för prenumerationer med azure-behörigheter för rollbaserad åtkomstkontroll (Azure RBAC), en begränsad uppsättning prenumerationer eller alla Azure-prenumerationer. |
| Automatiskt godkännande (autoApproval) | Automatiskt godkännande styr den automatiserade åtkomsten till Private Link tjänsten. De prenumerationer som anges i listan över automatiska godkännanden godkänns automatiskt när en anslutning begärs från privata slutpunkter i dessa prenumerationer. |
| Load Balancer IP-konfiguration för frontend (loadBalancerFrontendIpConfigurations) | Private Link-tjänsten är kopplad till IP-adressen på Standard Load Balancer. All trafik som är avsedd för tjänsten når SLB:s frontend. Du kan konfigurera SLB-regler för att dirigera trafiken till lämpliga backend-pooler där dina program körs. IP-konfigurationer för lastbalanserare på frontend-sidan skiljer sig från NAT IP-konfigurationer. |
| NAT IP-konfiguration (ipConfigurations) | Den här egenskapen refererar till IP-konfigurationen för NAT (Network Address Translation) för Private Link tjänsten. NAT-IP-adressen kan väljas från alla undernät i en tjänstleverantörs virtuella nätverk. Private Link-tjänsten utför NAT-ing på målsidan på Private Link trafik. Detta säkerställer att det inte finns någon IP-konflikt mellan källadressutrymmet (konsumentsidan) och måladressutrymmet (tjänstleverantören). På målsidan (tjänstleverantörssidan) visas NAT-IP-adressen som käll-IP för alla paket som tas emot av din tjänst och mål-IP för alla paket som skickas av din tjänst. |
| Privata slutpunktsanslutningar (privateEndpointConnections) | Den här egenskapen visar en lista över de privata slutpunkter som ansluter Private Link tjänsten. Flera privata slutpunkter kan ansluta till Private Link tjänst och tjänstleverantören kan styra tillståndet för enskilda privata slutpunkter. |
| TCP Proxy V2 (EnableProxyProtocol) | Med den här egenskapen kan tjänstleverantören använda tcp proxy v2 för att hämta anslutningsinformation om tjänstkonsumenten. Tjänstleverantören ansvarar för att konfigurera mottagarkonfigurationer för att kunna parsa proxyprotokollets v2-huvud. |
Information
Private Link kan nås från godkända privata slutpunkter i alla offentliga regioner. Den privata slutpunkten kan nås från samma virtuella nätverk, regionalt peer-peer-baserade virtuella nätverk, globalt peer-peer-baserade virtuella nätverk och lokalt med hjälp av privata VPN- eller ExpressRoute-anslutningar.
När du skapar Private Link Service skapas ett nätverksgränssnitt för resursens livscykel. Det här gränssnittet kan inte hanteras av kunden.
Tjänsten Private Link distribueras i samma region som det virtuella nätverket och Standard Load Balancer.
En enda Private Link-tjänst kan nås från flera privata slutpunkter som tillhör olika virtuella nätverk, prenumerationer och/eller Active Directory-klienter. Anslutningen upprättas via ett anslutningsarbetsflöde.
Flera Private Link tjänster kan skapas på samma plats Standard Load Balancer olika IP-konfigurationer på frontend-sidan. Det finns gränser för hur många Private Link tjänster du kan skapa per Standard Load Balancer och per prenumeration. Mer information finns i Azure-gränser.
Private Link-tjänsten kan ha fler än en NAT IP-konfiguration kopplad till sig. Att välja fler än en NAT IP-konfiguration kan hjälpa tjänstleverantörer att skala. I dag kan tjänstleverantörer tilldela upp till åtta NAT IP-adresser per Private Link tjänst. Med varje NAT IP-adress kan du tilldela fler portar för dina TCP-anslutningar och därmed skala ut. När du har lagt till flera NAT IP-adresser Private Link en tjänst kan du inte ta bort NAT-IP-adresserna. Detta görs för att säkerställa att aktiva anslutningar inte påverkas när NAT-IP-adresserna tas bort.
Alias
Alias är ett globalt unikt namn för din tjänst. Det hjälper dig att maskera kunddata för din tjänst och skapar samtidigt ett namn som är lätt att dela för din tjänst. När du skapar en Private Link-tjänst genererar Azure ett alias för din tjänst som du kan dela med dina kunder. Dina kunder kan använda det här aliaset för att begära en anslutning till din tjänst.
Aliaset består av tre delar: Prefix. GUID. Suffix
- Prefixet är tjänstnamnet. Du kan välja ett eget prefix. När "Alias" har skapats kan du inte ändra det, så välj prefixet på rätt sätt.
- GUID tillhandahålls av plattformen. På så sätt blir namnet globalt unikt.
- Suffixet läggs till av Azure: region.azure.privatelinkservice
Fullständigt alias: Prefix. {GUID}. region.azure.privatelinkservice
Kontrollera tjänstexponering
Tjänsten Private Link ger dig tre alternativ i inställningen Synlighet för att kontrollera tjänstens exponering. Din synlighetsinställning avgör om en konsument kan ansluta till tjänsten. Här är alternativen för synlighetsinställningen, från mest restriktiva till minst restriktiva:
- Endast rollbaserad åtkomstkontroll: Om din tjänst är för privat användning från olika virtuella nätverk som du äger kan du använda RBAC som en åtkomstkontrollmekanism i prenumerationer som är associerade med samma Active Directory-klientorganisation. Obs! Synlighet mellan klientorganisationen tillåts via RBAC.
- Begränsad av prenumeration: Om tjänsten kommer att användas i olika klienter kan du begränsa exponeringen för en begränsad uppsättning prenumerationer som du litar på. Auktoriseringar kan förhandsgodkändas.
- Alla med ditt alias: Om du vill göra din tjänst offentlig och tillåta att alla med ditt Private Link-tjänstalias begär en anslutning väljer du det här alternativet.
Kontrollera tjänståtkomst
Konsumenter som har exponering (styrs av synlighetsinställningen) för din Private Link-tjänst kan skapa en privat slutpunkt i sina virtuella nätverk och begära en anslutning till Private Link-tjänsten. Den privata slutpunktsanslutningen skapas i tillståndet "Väntar" på den Private Link tjänstobjektet. Tjänstleverantören ansvarar för att agera på anslutningsbegäran. Du kan antingen godkänna anslutningen, avvisa anslutningen eller ta bort anslutningen. Endast anslutningar som godkänns kan skicka trafik till Private Link tjänsten.
Åtgärden att godkänna anslutningarna kan automatiseras med hjälp av egenskapen för automatiskt godkännande på Private Link tjänsten. Automatiskt godkännande är en möjlighet för tjänstleverantörer att i förväg godkänna en uppsättning prenumerationer för automatisk åtkomst till tjänsten. Kunder måste dela sina prenumerationer offline för att tjänstleverantörer ska kunna lägga till dem i listan över automatiska godkännanden. Automatiskt godkännande är en delmängd av synlighetsmatrisen. Synlighet styr exponeringsinställningarna medan automatiskt godkännande styr godkännandeinställningarna för din tjänst. Om en kund begär en anslutning från en prenumeration i listan över automatiska godkännanden godkänns anslutningen automatiskt och anslutningen upprättas. Tjänstleverantörer behöver inte godkänna begäran manuellt längre. Å andra sidan, om en kund begär en anslutning från en prenumeration i synlighetsmatrisen och inte i matrisen för automatiskt godkännande, kommer begäran att nå tjänstleverantören, men tjänstleverantören måste godkänna anslutningarna manuellt.
Hämta anslutningsinformation med TCP Proxy v2
När du använder private link-tjänsten är käll-IP-adressen för paketen som kommer från den privata slutpunkten nätverksadressöversatt (NAT) på tjänstleverantörens sida med nat-IP som allokerats från leverantörens virtuella nätverk. Därför tar programmen emot den allokerade NAT-IP-adressen i stället för den faktiska källans IP-adress för tjänstkonsumenterna. Om ditt program behöver den faktiska KÄLL-IP-adressen från konsumentsidan kan du aktivera proxyprotokoll i tjänsten och hämta informationen från proxyprotokollets huvud. Förutom IP-källadressen innehåller proxyprotokollrubriken även LinkID för den privata slutpunkten. Kombinationen av källans IP-adress och LinkID kan hjälpa tjänstleverantörer att unikt identifiera sina konsumenter. Mer information om proxyprotokoll finns här.
Den här informationen kodas med en anpassad vektor av typen Type-Length-Value (TLV) enligt följande:
Anpassad TLV-information:
| Fält | Längd (oktett) | Beskrivning |
|---|---|---|
| Typ | 1 | PP2_TYPE_AZURE (0xEE) |
| Längd | 2 | Längden på värdet |
| Värde | 1 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
| 4 | UINT32 (4 byte) som representerar LINKID för den privata slutpunkten. Kodad i little endian format. |
Anteckning
Tjänstleverantören ansvarar för att se till att tjänsten bakom standardlastbalanseraren är konfigurerad för att parsa proxyprotokollrubriken enligt specifikationen när proxyprotokollet är aktiverat på private link-tjänsten. Begäran misslyckas om proxyprotokollinställningen är aktiverad på private link-tjänsten men tjänstleverantörens tjänst inte har konfigurerats för att parsa huvudet. På samma sätt misslyckas begäran om tjänstleverantörens tjänst förväntar sig ett proxyprotokollshuvud medan inställningen inte är aktiverad på private link-tjänsten. När proxyprotokollinställningen är aktiverad inkluderas även proxyprotokollrubriken i HTTP/TCP-hälsoavsökningar från värden till de virtuella serverdatorerna, även om det inte finns någon klientinformation i rubriken.
Begränsningar
Följande är kända begränsningar när du använder Private Link tjänsten:
- Stöds endast på Standard Load Balancer. Stöds inte på Basic Load Balancer.
- Stöds endast på Standard Load Balancer där backend-poolen konfigureras av nätverkskortet när du använder VM/VMSS.
- Stöder endast IPv4-trafik
- Stöder endast TCP- och UDP-trafik