Azure Özel Uç Nokta nedir?
Özel uç nokta, sanal ağdan özel IP adresi kullanan bir ağ arabirimidir. Bu ağ arabirimi, sizi özel olarak ve güvenli bir şekilde ağ arabirimi tarafından desteklenen bir Azure Özel Bağlantı. Özel uç noktayı etkinleştirerek hizmeti sanal ağınıza getiriyor oluruz.
Hizmet, aşağıdakiler gibi bir Azure hizmeti olabilir:
- Azure Storage
- Azure Cosmos DB
- Azure SQL Veritabanı
- Özel Bağlantı Hizmeti kullanarak kendi hizmetiniz.
Özel Uç Nokta özellikleri
Özel Uç Nokta aşağıdaki özellikleri belirtir:
| Özellik | Açıklama |
|---|---|
| Ad | Kaynak grubu içinde benzersiz bir ad. |
| Alt ağ | Dağıtacak alt ağ ve özel IP adresinin atandığı yer. Alt ağ gereksinimleri için bu makaledeki sınırlamalar bölümüne bakın. |
| Özel Bağlantı Kaynağı | Kullanılabilir türler listesinden kaynak kimliği veya diğer ad kullanarak bağlanacak özel bağlantı kaynağı. Bu kaynağa gönderilen tüm trafik için benzersiz bir ağ tanımlayıcısı oluşturulur. |
| Hedef alt kaynak | Bağlan için alt kaynak. Her özel bağlantı kaynak türünün tercihe bağlı olarak seçmek için farklı seçenekleri vardır. |
| Bağlantı onayı yöntemi | Otomatik veya el ile. Azure rol tabanlı erişim denetimi izinlerine bağlı olarak, özel uç noktanız otomatik olarak onaylanır. Azure rol tabanlı erişim denetimi olmadan özel bağlantı kaynağına bağlanmayı denerseniz, kaynağın sahibinin bağlantıyı onaylamasına izin vermek için el ile yöntemini kullanın. |
| İstek İletisi | İstenen bağlantıların el ile onaylanması için bir ileti belirtebilirsiniz. Bu ileti, belirli bir isteği tanımlamak için kullanılabilir. |
| Bağlantı durumu | Özel uç noktanın etkin olup olduğunu belirten salt okunur özellik. Trafiği göndermek için yalnızca onaylı durumdaki özel uç noktalar kullanılabilir. Diğer eyaletler kullanılabilir: -Onaylandı: Bağlantı otomatik olarak veya el ile onaylandı ve kullanılmaya hazır. -Beklemede: Bağlantı el ile oluşturuldu ve özel bağlantı kaynağı sahibi tarafından onay bekliyor. -Reddedildi: Bağlantı, özel bağlantı kaynağı sahibi tarafından reddedildi. -Bağlantısı kesildi: Bağlantı özel bağlantı kaynağı sahibi tarafından kaldırıldı. Özel uç nokta bilgilendirici hale gelir ve temizleme için silinmelidir. |
Özel uç noktalarla ilgili bazı önemli ayrıntılar:
Özel uç nokta, tüketiciler arasında aynı bağlantının sağlar:
Ağ bağlantıları yalnızca özel uç noktasına bağlanan istemciler tarafından başlatılmış olabilir. Hizmet sağlayıcıları, hizmet tüketicilerine bağlantı oluşturmak için yönlendirme yapılandırmasına sahip değildir. Bağlantılar yalnızca tek bir yönde kurulabilirsiniz.
Özel uç nokta oluşturulurken, kaynağın yaşam döngüsü için salt okunur bir ağ arabirimi oluşturulur. Arabirime, alt ağdan özel bağlantı kaynağıyla eşlene dinamik bir özel IP adresi atanır. Özel IP adresinin değeri, özel uç noktanın tüm yaşam döngüsü boyunca değişmeden kalır.
Özel uç noktanın sanal ağ ile aynı bölgede ve abonelikte dağıtılması gerekir.
Özel bağlantı kaynağı, sanal ağ ve özel uç noktadan farklı bir bölgede dağıtılabilir.
Aynı özel bağlantı kaynağı kullanılarak birden çok özel uç nokta oluşturulabilir. Ortak bir DNS sunucusu yapılandırması kullanan tek bir ağ için önerilen yöntem, belirli bir özel bağlantı kaynağı için tek bir özel uç nokta kullanmaktır. DNS çözümlemesinde yinelenen girdileri veya çakışmaları önlemek için bu uygulamanın kullanın.
Aynı sanal ağ içindeki aynı veya farklı alt ağlarda birden çok özel uç nokta oluşturulabilir. Bir abonelikte oluşturabilirsiniz özel uç nokta sayısına sınırlar vardır. Ayrıntılar için bkz. Azure limitleri.
Özel bağlantı kaynağından aboneliğin Microsoft'a da kayıtlı olması gerekir. Ağ kaynağı sağlayıcısı. Ayrıntılar için bkz. Azure Kaynak Sağlayıcıları.
Özel bağlantı kaynağı
Özel bağlantı kaynağı, belirli bir özel uç noktanın hedef hedefidir.
Aşağıdaki tabloda özel uç noktayı destekleyen kullanılabilir kaynaklar listelenmiştir:
| Özel bağlantı kaynak adı | Kaynak türü | Alt kaynak |
|---|---|---|
| Azure Uygulama Yapılandırması | Microsoft.Appconfiguration/configurationStores | configurationStores |
| Azure Otomasyonu | Microsoft.Automation/automationAccounts | Web Kancası, DSCAndHybridWorker |
| Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | Sql, MongoDB, Cassandra, Gremlin, Tablo |
| Azure Batch | Microsoft.Batch/batchAccounts | batch hesabı |
| Redis için Azure Önbelleği | Microsoft.Cache/Redis | redisCache |
| Redis için Azure Cache Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
| Bilişsel Hizmetler | Microsoft.CognitiveServices/accounts | account |
| Azure Yönetilen Diskler | Microsoft.Compute/diskAccesses | yönetilen disk |
| Azure Container Registry | Microsoft.ContainerRegistry/kayıt defterleri | registry |
| Azure Kubernetes Service - Kubernetes API'si | Microsoft. ContainerService/Managedkümeler | yönetim |
| Azure Data Factory | Microsoft. DataFactory/Factory | veri fabrikası |
| MariaDB için Azure Veritabanı | Microsoft. Dbformarıdb/sunucular | mariadbServer |
| MySQL için Azure Veritabanı | Microsoft. Dbformyısql/sunucuları | Te yapılandırılmış MySQLServer |
| PostgreSQL için Azure veritabanı-tek sunucu | Microsoft. DBforPostgreSQL/sunucuları | Postgressqlserver |
| Azure IoT Hub | Microsoft. Devices/IotHubs | ıothub |
| Microsoft dijital TWINS | Microsoft. DigitalTwins/Digitaltwınsınstances | digitaltwınsınstance |
| Azure Event Grid | Microsoft. EventGrid/Domains | etki alanı |
| Azure Event Grid | Microsoft. EventGrid/konuları | Olay Kılavuzu konusu |
| Azure Event Hub | Microsoft. EventHub/ad alanları | ad alanı |
| Azure HDInsight | Microsoft. HDInsight/kümeler | cluster |
| FHIR için Azure API'si | Microsoft. Healthgelişme API 'leri/Hizmetleri | hizmet |
| Azure Anahtar Kasası HSM | Microsoft. Keykasası/managedHSMs | HSM |
| Azure Key Vault | Microsoft. Keykasası/kasa | kasa |
| Azure Machine Learning | Microsoft. MachineLearningServices/çalışma alanları | amlworkspace |
| Azure Geçişi | Microsoft. Migrate/assessmentProjects | proje |
| Application Gateway | Microsoft. Network/applicationgateway 'ler | uygulama ağ geçidi |
| Özel bağlantı hizmeti (kendi hizmetiniz) | Microsoft. Network/privateLinkServices | empty |
| Power BI | Microsoft. PowerBI/Privatelinkservicesforpowerbı | Power BI |
| Azure Purview | Microsoft. purview/hesapları | account |
| Azure Purview | Microsoft. purview/hesapları | portal |
| Azure Backup | Microsoft. RecoveryServices/kasa | kasa |
| Azure Geçişi | Microsoft. Relay/Namespace | ad alanı |
| Microsoft Arama | Microsoft. Search/searchServices | Arama hizmeti |
| Azure Service Bus | Microsoft. ServiceBus/ad alanları | ad alanı |
| SignalR | Microsoft. SignalRService/SignalR | SignalR |
| SignalR | Microsoft. SignalRService/webPubSub | webpubsub |
| Azure SQL Veritabanı | Microsoft.Sql/servers | SQL Server (sqlServer) |
| Azure Depolama | MICROSOFT. Depolama/storageaccounts | Blob (blob, blob_secondary) Tablo (tablo, table_secondary) Kuyruk (kuyruk, queue_secondary) Dosya (dosya, file_secondary) Web (Web, web_secondary) |
| Azure Dosya Eşitleme | Microsoft. Storagessync/storageSyncServices | Dosya Eşitleme hizmeti |
| Azure Synapse | Microsoft. SYNAPSE/Privatelinkhub 'Ları | synapse |
| Azure Synapse Analytics | Microsoft. SYNAPSE/çalışma alanları | SQL, SqlOnDemand, dev |
| Azure App Service | Microsoft. Web/hostingEnvironments | barındırma ortamı |
| Azure App Service | Microsoft. Web/siteler | Siteler |
| Azure App Service | Microsoft. Web/staticSites | staticSite |
Özel uç noktaların ağ güvenliği
Özel uç noktalar kullanılırken, trafik bir özel bağlantı kaynağıyla güvenli hale getirilir. Platform, yalnızca belirtilen özel bağlantı kaynağına ulaşan ağ bağlantılarını doğrulamak için bir erişim denetimi yapar. Aynı Azure hizmeti içindeki daha fazla kaynağa erişmek için ek özel uç noktalar gereklidir.
Desteklenen bir Azure hizmetine bağlanmak için iş yüklerinizin genel uç noktalara erişmesini tamamen kilitleyemezsiniz. Bu denetim, kaynaklarınıza ek bir ağ güvenlik katmanı sağlar. Güvenlik, aynı Azure hizmetinde barındırılan diğer kaynaklara erişimi engelleyen koruma sağlar.
Onay iş akışı kullanarak bir özel bağlantı kaynağına erişim
Aşağıdaki bağlantı onay yöntemlerini kullanarak bir özel bağlantı kaynağına bağlanabilirsiniz:
- Belirli özel bağlantı kaynağına sahip olduğunuzda veya izniniz olduğunda otomatik olarak onaylandı. Gerekli olan izin, özel bağlantı kaynak türüne aşağıdaki biçimde dayalıdır: Microsoft. <Provider> /<resource_type>/privateEndpointConnectionsApproval/action
- Gerekli izinlere sahip olmadığınız ve erişim istemek istediğiniz zaman el ile istek. Bir onay iş akışı başlatılacak. Özel uç nokta ve sonraki özel uç nokta bağlantıları "beklemede" durumunda oluşturulur. Bağlantıyı onaylamak özel bağlantı kaynağı sahibinin sorumluluğundadır. Onaylandıktan sonra, aşağıdaki onay iş akışı diyagramında gösterildiği gibi özel uç nokta trafiği normal şekilde göndermek üzere etkinleştirilir.
Özel bağlantı kaynağı sahibi, özel bir uç nokta bağlantısı üzerinde aşağıdaki eylemleri gerçekleştirebilir:
- Tüm özel uç nokta bağlantılarının ayrıntılarını gözden geçirin.
- Özel bir uç nokta bağlantısını onaylayın. Karşılık gelen özel uç nokta, trafiği özel bağlantı kaynağına göndermek için etkinleştirilir.
- Özel bir uç nokta bağlantısını reddedin. İlgili özel uç nokta, durumu yansıtacak şekilde güncelleştirilir.
- Özel bir uç nokta bağlantısını herhangi bir durumda silin. Karşılık gelen özel uç nokta, eylemi yansıtacak şekilde bağlantısı kesik bir durumla güncelleştirilir, Özel uç nokta sahibi kaynağı yalnızca bu noktada silebilir.
Not
Yalnızca onaylanan bir durumdaki özel uç nokta, belirli bir özel bağlantı kaynağına trafik gönderebilir.
diğer adla Bağlan
Diğer ad, hizmet sahibi bir standart yük dengeleyicinin arkasında özel bağlantı hizmeti oluşturduğunda oluşturulan benzersiz bir addır. Hizmet sahipleri, bu diğer adı tüketicileriyle çevrimdışı olarak paylaşabilir.
Tüketiciler, kaynak URI 'sini veya diğer adı kullanarak özel bağlantı hizmetine bağlantı isteğinde bulunabilir. Diğer adı kullanarak bağlanmak istiyorsanız, el ile bağlantı onay yöntemini kullanarak özel bir uç nokta oluşturmanız gerekir. El ile bağlantı onay yöntemi kullanmak için, Özel uç nokta oluşturma akışı sırasında el ile istek parametresini true olarak ayarlayın. Daha fazla bilgi için bkz. New-AzPrivateEndpoint ve az Network Private-Endpoint Create.
DNS yapılandırması
Özel bir bağlantı kaynağı bağlantıları için kullanılan DNS ayarları önemlidir. Bağlantı için tam etki alanı adını (FQDN) kullandığınızda DNS ayarlarınızın doğru olduğundan emin olun. Ayarlar özel uç noktanın özel IP adresine çözümlenmelidir. Mevcut Azure hizmetlerinde ortak bir uç nokta üzerinden bağlanılırken kullanılacak bir DNS yapılandırması zaten olabilir. Özel uç noktanız kullanılarak bağlanmak için bu yapılandırmanın üzerine yazılması gerekir.
Özel uç nokta ile ilişkili ağ arabirimi, DNS 'nizi yapılandırmak için gereken bilgileri içerir. Bu bilgiler özel bir bağlantı kaynağı için FQDN ve özel IP adresini içerir.
Özel uç noktalar için DNS yapılandırma önerileri hakkında ayrıntılı bilgi için bkz. Özel uç nokta DNS yapılandırması.
Sınırlamalar
Aşağıdaki tabloda özel uç noktalar kullanılırken bilinen kısıtlamaların bir listesi yer almaktadır:
| Sınırlama | Açıklama | Risk azaltma |
|---|---|---|
| Kullanıcı tanımlı bir yol kullanılarak özel bir uç noktaya giden trafik asimetrik olabilir. | Özel bir uç noktadan gelen trafiği bir ağ sanal gereci (NVA) atlar ve kaynak VM 'ye geri dönme girişiminde bulunur. | Simetrik yönlendirmeyi sağlamak için kaynak ağ adresi çevirisi (SNAT) kullanılır. UDR kullanarak özel bir uç noktaya giden tüm trafik için, NVA 'da trafik için SNAT kullanılması önerilir. |
Önemli
Özel uç noktalar için NSG ve UDR desteği, bölge seçme konusunda genel önizlemededir. Daha fazla bilgi için bkz. özel bağlantı UDR desteğinin genel önizlemesi ve özel bağlantı ağ güvenlik grubu desteğinin genel önizlemesi. Önizleme sürümü bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yüklerinde kullanılması önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Genel önizleme sınırlamaları
NSG
| Sınırlama | Açıklama | Risk azaltma |
|---|---|---|
| Geçerli rotalar ve güvenlik kuralları, özel bir uç nokta ağı arabiriminde kullanılamayacak. | Geçerli rotalar ve güvenlik kuralları hakkında ilgili bilgileri görmek için ağ arabirimine gidemeyeceksiniz. | Q4CY21 |
| NSG akış günlükleri desteklenmiyor. | NSG akış günlükleri, özel bir uç nokta ile hedeflenen gelen trafik için çalışmaz. | Şu anda bilgi yok. |
| ZRS depolama hesaplarıyla aralıklı olarak düşme. | ZRS depolama hesabı kullanan müşteriler, depolama özel uç nokta alt ağında NSG 'ye izin ver ile aynı şekilde düzenli aralıklı düşmelere olanak tanıyabilir. | Eylül |
| Azure Key Vault ile aralıklı olarak bırakır. | Azure Key Vault kullanan müşteriler, Azure Key Vault özel uç nokta alt ağında NSG 'ye izin ver ile aynı şekilde düzenli aralıklı olarak düşmelere de | Eylül |
| NSG başına adres ön eklerinin sayısını sınırlayın. | Tek bir kuralda NSG 'de 500 ' den fazla adres öneki olması desteklenmez. | Eylül |
| AllowVirtualNetworkAccess bayrağı | Allowvirtualnetworkaccess bayrağıyla VNet üzerindeki VNET eşlemesini bir başka VNET 'e (VNet b) eşleme bağlantısı üzerinde false olarak ayarlanmış müşteriler, Özel uç nokta kaynaklarına erişen B VNET 'ten gelen trafiği reddetmek için VirtualNetwork etiketini kullanamaz. Özel uç noktaya giden trafiği reddetmek için VNet B 'nin adres ön eki için açıkça bir blok yerleştirmeleri gerekir. | Eylül |
| Çift bağlantı noktası NSG kuralları desteklenmez. | NSG kuralları ile birden çok bağlantı noktası aralığı kullanılırsa, izin verme kuralları ve reddetme kuralları için yalnızca ilk bağlantı noktası aralığı kabul edilir. Birden çok bağlantı noktası aralığına sahip kurallar, belirli bağlantı noktaları yerine tümünü reddedecek şekilde varsayılan olarak engellenir. Daha fazla bilgi için aşağıdaki kural örneğine bakın. | Eylül |
| Öncelik | Kaynak bağlantı noktası | Hedef bağlantı noktası | Eylem | Etkin eylem |
|---|---|---|---|---|
| 10 | 10-12 | 10-12 | İzin verme/reddetme | Kaynak/hedef bağlantı noktalarında tek bağlantı noktası aralığı beklendiği gibi çalışacaktır. |
| 10 | 10-12, 13-14 | 14-15, 16-17 | İzin Ver | Yalnızca 10-12 kaynak bağlantı noktalarına ve hedef bağlantı noktalarına 14-15 izin verilir. |
| 10 | 10-12, 13-14 | 120-130, 140-150 | Reddet | Birden çok kaynak ve hedef bağlantı noktası aralığı olduğundan, tüm kaynak bağlantı noktalarından gelen trafik tüm hedef bağlantı noktalarına reddedilir. |
| 10 | 10-12, 13-14 | 120-130 | Reddet | Tüm kaynak bağlantı noktalarından gelen trafik yalnızca 120-130 hedef bağlantı noktalarına reddedilir. Birden çok kaynak bağlantı noktası aralığı ve tek bir hedef bağlantı noktası aralığı vardır. |
Tablo: örnek çift bağlantı noktası kuralı.
UDR
| Sınırlama | Açıklama | Risk azaltma |
|---|---|---|
| Kaynak ağ adresi çevirisi (SNAT) her zaman önerilir. | Özel uç nokta veri düzlemine ait değişken doğası nedeniyle, geri dönüş trafiğinin sağlandığından emin olmak için özel bir uç noktaya giden SNAT trafiği önerilir. | Şu anda bilgi yok. |
Sonraki adımlar
- Özel uç nokta ve özel bağlantı hakkında daha fazla bilgi için bkz. Azure özel bağlantısı nedir?.
- Bir Web uygulaması için özel bir uç nokta oluşturmaya başlamak için bkz. hızlı başlangıç-Azure Portal kullanarak özel uç nokta oluşturma.