Hizmet Azure Özel Bağlantı nedir?
Azure Özel Bağlantı hizmeti, veri kaynağı tarafından desteklenen kendi hizmetinize Azure Özel Bağlantı. Azure Standart Load Balancer hizmetinin arkasında çalışan hizmetiniz, hizmetinize gelen tüketicilerin kendi sanal ağlarından özel olarak erişmesi için Özel Bağlantı erişimi için etkinleştirilebilir. Müşterileriniz sanal ağlarının içinde özel bir uç nokta oluşturabilir ve bu hizmetle eşler. Bu makalede hizmet sağlayıcısıyla ilgili kavramlar açıklanmıştır.
Şekil: Azure Özel Bağlantı Hizmeti.
İş akışı
Şekil: Azure Özel Bağlantı iş akışı.
Özel Bağlantı Hizmetinizi oluşturma
Sanal ağ üzerindeki standart bir yük dengeleyicinin arkasında çalıştıracak şekilde uygulama yapılandırma. Uygulamalarınızı standart yük dengeleyicinin arkasında zaten yapılandırdıysanız bu adımı atlayabilirsiniz.
Yukarıdaki yük dengeleyiciye başvuran bir Özel Bağlantı Hizmeti oluşturun. Yük dengeleyici seçim sürecinde, trafiği almak istediğiniz ön uç IP yapılandırmasını seçin. Özel Bağlantı Hizmeti için NAT IP adresleri için bir alt ağ seçin. Alt ağda en az sekiz NAT IP adresinin kullanılabilir olduğu önerilir. Tüm tüketici trafiği, bu özel IP adresleri havuzundan hizmet sağlayıcısına doğru kaynaklanacak gibi görünür. Özel Bağlantı Hizmeti için uygun özellikleri/ayarları seçin.
Not
Azure Özel Bağlantı Hizmeti yalnızca Standart Load Balancer.
Hizmetinizi paylaşma
Bir Özel Bağlantı hizmeti oluşturduk sonra Azure, hizmetiniz için sizin adınıza göre "diğer ad" adlı genel olarak benzersiz bir adlandırılmış bilinen ad oluşturacak. Hizmetinizin diğer adını veya kaynak URI'lerini müşterilerinizle çevrimdışı olarak paylaşabilirsiniz. Tüketiciler, diğer adı veya kaynak URI'lerini kullanarak Özel Bağlantı bağlantısı başlatabilirsiniz.
Bağlantı isteklerinizi yönetme
Tüketici bir bağlantı başlattıktan sonra, hizmet sağlayıcısı bağlantı isteğini kabul eder veya reddeder. Tüm bağlantı istekleri, Özel Bağlantı hizmetinin privateendpointconnections özelliği altında listelenir.
Hizmetinizi silme
Özel Bağlantı hizmeti artık kullanımda değilse silebilirsiniz. Ancak hizmeti silmeden önce, hizmetle ilişkilendirilmiş özel uç nokta bağlantısı olmadığını emin olun. Tüm bağlantıları reddederek hizmeti silebilirsiniz.
Özellikler
Özel Bağlantı hizmeti aşağıdaki özellikleri belirtir:
| Özellik | Açıklama |
|---|---|
| Sağlama Durumu (provisioningState) | Özel Bağlantı hizmeti için geçerli sağlama durumunu listeleen salt okunur özellik. Geçerli sağlama durumları: "Silme; Başarısız oldu; Başarılı; Güncelleştiriyor". Sağlama durumu "Başarılı" olduğunda Özel Bağlantı hizmetinizi başarıyla sağlamış oluruz. |
| Diğer ad (diğer ad) | Diğer ad, hizmetiniz için genel olarak benzersiz bir salt okunur dizedir. Hizmetiniz için müşteri verilerini maskelemenize yardımcı olur ve aynı zamanda hizmetiniz için kolay paylaştırıla bir ad oluşturur. Bir Özel Bağlantı hizmeti 7.000.000'den sonra Azure hizmetiniz için müşterilerinizle paylaşabilirsiniz diğer adını üretir. Müşterileriniz bu diğer adı kullanarak hizmetinize bağlantı isteğide olabilir. |
| Görünürlük (görünürlük) | Görünürlük, Özel Bağlantı hizmetinizin görünürlüğü ayarlarını kontrol eden özelliktir. Hizmet sağlayıcıları, Azure rol tabanlı erişim denetimi (Azure RBAC) izinleri, sınırlı bir abonelik kümesi veya tüm Azure abonelikleri ile hizmetlerinden aboneliklere erişimi sınırlamayı seçebilir. |
| Otomatik Onay (otomatik Onay) | Otomatik onay, Özel Bağlantı hizmetine otomatik erişimi kontrol eder. Otomatik onay listesinde belirtilen abonelikler, bu aboneliklerin özel uç noktalarından bağlantı isteğinde olduğunda otomatik olarak onaylanır. |
| Load Balancer Ön Uç IP Yapılandırması (loadBalancerFrontendIpConfigurations) | Özel Bağlantı hizmeti, bir hizmetin ön uç IP adresine Standart Load Balancer. Hizmeti hedef alan tüm trafik SLB'nin ön ucuna ulaşacak. SLB kurallarını, bu trafiği uygulamalarınızı çalıştıran uygun arka uç havuzlarına yönlendirecek şekilde yapılandırabilirsiniz. Yük dengeleyici ön uç IP yapılandırmaları NAT IP yapılandırmaları farklıdır. |
| NAT IP Yapılandırması (ipConfigurations) | Bu özellik, Özel Bağlantı hizmeti için NAT (Ağ Adresi Çevirisi) IP yapılandırmasını ifade eder. NAT IP'i, bir hizmet sağlayıcısının sanal ağının herhangi bir alt ağına seçilebilir. Özel Bağlantı hizmeti, Özel Bağlantı trafiğinde hedef tarafı NAT ing gerçekleştirir. Bu, kaynak (tüketici tarafı) ile hedef (hizmet sağlayıcısı) adres alanı arasında IP çakışması olmadığını sağlar. Hedef tarafta (hizmet sağlayıcısı tarafında), NAT IP adresi hizmetiniz tarafından alınan tüm paketler için Kaynak IP olarak, hizmetiniz tarafından gönderilen tüm paketler için de hedef IP olarak gösterir. |
| Özel uç nokta bağlantıları (privateEndpointConnections) | Bu özellik, Özel Bağlantı hizmetine bağlanan özel uç noktaları listeler. Birden çok özel uç nokta aynı Özel Bağlantı hizmetine bağlanabilirsiniz ve hizmet sağlayıcısı tek tek özel uç noktaların durumunu kontrol eder. |
| TCP Proxy V2 (EnableProxyProtocol) | Bu özellik, hizmet sağlayıcısının hizmet tüketicisi hakkında bağlantı bilgilerini almak için tcp proxy v2 kullanmasını sağlar. Hizmet Sağlayıcısı, proxy protokolü v2 üst bilgilerini ayrıştırabilecek alıcı yapılandırmalarını ayarlamadan sorumludur. |
Ayrıntılar
Özel Bağlantı hizmetine herhangi bir genel bölgedeki onaylı özel uç noktalardan erişilebilir. Özel uç noktaya özel VPN veya ExpressRoute bağlantıları kullanılarak aynı sanal ağdan, bölgesel olarak eşli sanal ağlardan, genel olarak eşli sanal ağlardan ve şirket içinden ulaşabilirsiniz.
Özel Bağlantı Hizmeti oluşturulurken, kaynağın yaşam döngüsü için bir ağ arabirimi oluşturulur. Bu arabirim müşteri tarafından yönetilemez.
Özel Bağlantı Hizmeti, sanal ağ ve sanal ağ ile aynı bölgede Standart Load Balancer.
Tek bir Özel Bağlantı Hizmetine farklı sanal ağlara, aboneliklere ve/veya Active Directory kiracılarına ait birden çok Özel Uç Nokta'dan erişilebilir. Bağlantı bir bağlantı iş akışı aracılığıyla kurulur.
Farklı ön uç IP yapılandırmaları kullanılarak aynı Standart Load Balancer Özel Bağlantı hizmetleri oluşturulabilir. Abonelik başına ve abonelik başına oluşturabilirsiniz Özel Bağlantı Standart Load Balancer sınırları vardır. Ayrıntılar için bkz. Azure limitleri.
Özel Bağlantı hizmetine bağlı birden fazla NAT IP yapılandırması olabilir. Birden fazla NAT IP yapılandırması seçmek hizmet sağlayıcılarının ölçeklendirmeye yardımcı olabilir. Günümüzde, hizmet sağlayıcıları Özel Bağlantı hizmeti başına en fazla sekiz NAT IP adresi atayabilirsiniz. Her NAT IP adresiyle, TCP bağlantılarınız için daha fazla bağlantı noktası atayabilirsiniz ve bu nedenle ölçeğini ölçeklendirebilirsiniz. Özel Bağlantı hizmetine birden çok NAT IP adresi ekledikten sonra NAT IP adreslerini silemezsiniz. Bu, NAT IP adresleri silinirken etkin bağlantıların etkilenmesini sağlamak için yapılır.
Diğer ad
Diğer ad, hizmetiniz için genel olarak benzersiz bir addır. Hizmetiniz için müşteri verilerini maskelemenize yardımcı olur ve aynı zamanda hizmetiniz için kolay paylaştırıla bir ad oluşturur. Özel Bağlantı hizmeti oluşturmanın ardından Azure, hizmetiniz için müşterilerinizle paylaşabilirsiniz bir diğer ad üretir. Müşterileriniz bu diğer adı kullanarak hizmetinize bağlantı isteğide olabilir.
Diğer ad üç parçadan oluşur: Ön ek. GUID . Sonek
- Ön ek, hizmet adıdır. Kendi ön ekini de kullanabilirsiniz. "Diğer Ad" oluşturulduktan sonra değiştiremezsiniz, bu nedenle ön ekini uygun şekilde seçin.
- GUID, platform tarafından sağlanacaktır. Bu, adın genel olarak benzersiz olmasına yardımcı olur.
- Son ek Azure tarafından eklenir: region.azure.privatelinkservice
Tam diğer ad: Ön ek. {GUID}. region.azure.privatelinkservice
Hizmet açıklarını denetleme
Özel Bağlantı hizmeti, hizmetinizin görünürlüğünü kontrol etmek için Görünürlük ayarında size üç seçenek sağlar. Görünürlük ayarınız, bir tüketicinin hizmetinize bağlanıp bağlana olmadığını belirler. En kısıtlayıcıdan en az kısıtlayıcıya kadar görünürlük ayarı seçenekleri şunlardır:
- Yalnızca rol tabanlı erişim denetimi: Hizmetiniz sahip olduğu farklı sanal ağlardan özel tüketime yönelikse, RBAC'yi aynı Active Directory kiracısı ile ilişkili aboneliklerin içinde erişim denetimi mekanizması olarak kullanabilirsiniz. Not: RBAC aracılığıyla kiracılar arası görünürlüğüne izin verilir.
- Aboneliğe göre kısıtlanmış: Hizmetiniz farklı kiracılarda tüketiliyorsa, erişimi güvenilen sınırlı bir abonelik kümesiyle kısıtabilirsiniz. Yetkilendirmeler önceden onaylanır.
- Diğer adınız olan herkes: Hizmetinizi genel hale eklemek ve Özel Bağlantı hizmeti diğer adı olan herkesin bağlantı istemesine izin vermek için bu seçeneği belirleyin.
Hizmet erişimini denetleme
Özel Bağlantı hizmetinizin görünürlüğüyle denetlenen tüketiciler sanal ağlarında özel bir uç nokta oluşturabilir ve Özel Bağlantı hizmetinize bağlantı isteğinde olabilir. Özel uç nokta bağlantısı, Özel Bağlantı hizmeti nesnesinde "Beklemede" durumda oluşturulur. Bağlantı isteğine göre hareket eden hizmet sağlayıcısı sorumludur. Bağlantıyı onaylayın, bağlantıyı reddedin veya bağlantıyı silin. Yalnızca onaylanan bağlantılar Özel Bağlantı hizmetine trafik gönderebilir.
Özel Bağlantı hizmette otomatik onay özelliği kullanılarak bağlantıları onaylama eylemi otomatik hale olabilir. Otomatik Onay, hizmet sağlayıcılarının hizmetine otomatik erişim için bir dizi aboneliği önceden onaylama olanağıdır. Müşterilerin otomatik onay listesine eklemesi için hizmet sağlayıcılarının aboneliklerini çevrimdışı olarak paylaşması gerekir. Otomatik onay, görünürlük dizisinin bir alt kümesidir. Görünürlük, görünürlüğün ayarlarını, otomatik onay ise hizmetinizin onay ayarlarını kontrol eder. Müşteri otomatik onay listesinde bir abonelikten bağlantı isteğinde bulundursa, bağlantı otomatik olarak onaylanır ve bağlantı kurulur. Hizmet sağlayıcılarının artık isteği el ile onaylaması gerekmez. Öte yandan müşteri otomatik onay dizisinde değil görünürlük dizisinde yer alan bir abonelikten bağlantı isteğinde bulundursa istek hizmet sağlayıcısına ulaşacaktır ancak hizmet sağlayıcısının bağlantıları el ile onaylaması gerekir.
TCP Proxy v2 kullanarak bağlantı bilgilerini alma
Özel bağlantı hizmeti kullanılırken, özel uç noktadan gelen paketlerin kaynak IP adresi, sağlayıcının sanal ağına ayrılan NAT IP'sini kullanarak hizmet sağlayıcısı tarafında çevrilmiş ağ adresidir (NAT). Bu nedenle, uygulamalar hizmet tüketicilerinin gerçek kaynak IP adresi yerine ayrılmış NAT IP adresini alır. Uygulamanıza tüketici tarafında gerçek kaynak IP adresi gerekiyorsa, hizmetiniz üzerinde Proxy protokolünü etkinleştirebilir ve proxy protokolü üst bilgisinde bilgileri edinebilirsiniz. Kaynak IP adresine ek olarak, ara sunucu protokol üst bilgisi de özel uç noktanın LinkID'sini taşır. Kaynak IP adresi ve LinkID birleşimi, hizmet sağlayıcılarının tüketicilerini benzersiz bir şekilde tanımlamalarına yardımcı olabilir. Proxy Protokolü hakkında daha fazla bilgi için buraya bakın.
Bu bilgiler aşağıdaki gibi özel bir Type-Length-Value (TLV) vektörü kullanılarak kodlanmıştır:
Özel TLV ayrıntıları:
| Alan | Uzunluk (Sekizli) | Açıklama |
|---|---|---|
| Tür | 1 | PP2_TYPE_AZURE (0xEE) |
| Uzunluk | 2 | Değerin uzunluğu |
| Değer | 1 | PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01) |
| 4 | Özel uç noktanın LINKID'lerini temsil eden UINT32 (4 bayt). Little endian kodlanmış. |
Not
Hizmet sağlayıcısı, standart yük dengeleyicinin arkasındaki hizmetin, ara sunucu protokolü özel bağlantı hizmeti üzerinde etkinleştirildiğinde belirtimlere göre ara sunucu protokol üst bilgilerini ayrıştıracak şekilde yapılandırıldığından emin olmakla sorumludur. Özel bağlantı hizmette ara sunucu protokolü ayarı etkinleştirildiyse ancak hizmet sağlayıcısının hizmeti üst bilgileri ayrıştıracak şekilde yapılandırılmamışsa istek başarısız olur. Benzer şekilde, özel bağlantı hizmette ayar etkinleştirilmemişken hizmet sağlayıcısının hizmeti bir ara sunucu protokolü üst bilgisi bekliyorsa istek başarısız olur. Ara sunucu protokolü ayarı etkinleştirildikten sonra, üst bilgide istemci bilgisi olmayacak olsa bile proxy protokol üst bilgisi konaktan arka uç sanal makinelerine HTTP/TCP durum yoklamalarında da dahil edilir.
Sınırlamalar
Özel Bağlantı hizmetini kullanırken bilinen sınırlamalar aşağıda ve ve aşağıda ve listelemektedir:
- Yalnızca Standart Load Balancer. Temel Load Balancer.
- Yalnızca VM/VMSS Standart Load Balancer arka uç havuzunun NIC tarafından yapılandırıldığında desteklenen sanal makinelerde.
- Yalnızca IPv4 trafiğini destekler
- Yalnızca TCP ve UDP trafiğini destekler