您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

什么是 Azure 专用终结点?

专用终结点是使用虚拟网络中的专用 IP 地址的网络接口。 此网络接口通过私密且安全的方式将你连接到由 Azure 专用链接提供支持的服务。 启用专用终结点可将服务引入虚拟网络中。

该服务可以是 Azure 服务,比如:

  • Azure 存储
  • Azure Cosmos DB
  • Azure SQL 数据库
  • 使用专用链接服务的专属服务。

专用终结点属性

专用终结点指定以下属性:

属性 说明
名称 资源组中的唯一名称。
子网 要部署的子网以及分配专用 IP 地址的子网。 有关子网要求,请参阅本文中的“限制”部分。
专用链接资源 用于通过可用类型列表中的资源 ID 或别名建立连接的专用链接资源。 将为发送到此资源的所有流量生成唯一的网络标识符。
目标子资源 要连接的子资源。 每个专用链接资源类型具有不同的选项,可根据偏好做出选择。
连接批准方法 自动或手动。 根据 Azure 基于角色的访问控制权限,你的专用终结点可能会被自动批准。 如果尝试在没有 Azure 基于角色的访问控制的情况下连接到专用链接资源,请使用手动方法来允许资源所有者批准连接。
请求消息 可为请求手动批准的连接指定消息。 此消息可用于标识特定的请求。
连接状态 一个只读属性,指定专用终结点是否处于活动状态。 只能使用处于已批准状态的专用终结点发送流量。 更多可用状态:
-已批准:连接已自动或手动批准,随时可供使用。

-等待中:连接是手动创建的,正等待由专用链接资源所有者批准。

-已拒绝:连接已被专用链接资源所有者拒绝。

-已断开连接:连接已被专用链接资源所有者删除。 专用终结点已变为参考性终结点,应将其删除以清理资源。

有关专用终结点的一些重要详细信息:

  • 专用终结点在下述相同环境中的使用者之间实现连接:

    • 虚拟网络
    • 区域对等互连的虚拟网络
    • 全球对等互连的虚拟网络
    • 使用 VPNExpress Route 的本地位置
    • 由专用链接提供支持的服务
  • 网络连接只能由连接到专用终结点的客户端启动。 服务提供商未提供路由配置,因此无法创建与服务使用者的连接。 只能在单个方向建立连接。

  • 创建专用终结点时,系统会创建一个在资源的生命周期内有效的只读网络接口。 系统会为该接口分配子网中映射到专用链接资源的动态专用 IP 地址。 专用 IP 地址的值在专用终结点的整个生命周期中保持不变。

  • 专用终结点必须与虚拟网络部署在同一区域和订阅中。

  • 专用链接资源可部署在与虚拟网络和专用终结点不同的区域中。

  • 可以使用同一个专用链接资源创建多个专用终结点。 对于使用常见 DNS 服务器配置的单个网络,建议的做法是对给定的专用链接资源使用单个专用终结点。 使用这种做法可以避免出现重复条目或 DNS 解析冲突。

  • 可以在同一虚拟网络中的相同或不同子网上创建多个专用终结点。 在一个订阅中可以创建的专用终结点数量有限制。 有关详细信息,请参阅  Azure 限制

  • 来自专用链接资源的订阅也必须注册到 Microsoft。 Network 资源提供程序。 有关详细信息,请参阅 Azure 资源提供程序

专用链接资源是给定专用终结点的目标。

下表列出了支持专用终结点的可用资源:

专用链接资源名称 资源类型 子资源
Azure 应用配置 Microsoft.Appconfiguration/configurationStores configurationStores
Azure 自动化 Microsoft.Automation/automationAccounts Webhook, DSCAndHybridWorker
Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL、MongoDB、Cassandra、Gremlin、表
Azure Batch Microsoft.Batch/batchAccounts Batch 帐户
用于 Redis 的 Azure 缓存 Microsoft.Cache/Redis redisCache
Azure Cache for Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
认知服务 Microsoft.CognitiveServices/accounts account
Azure 托管磁盘 Microsoft.Compute/diskAccesses 托管磁盘
Azure 容器注册表 Microsoft.ContainerRegistry/registries 注册表
Azure Kubernetes 服务 - Kubernetes API Microsoft.ContainerService/managedClusters 管理
Azure 数据工厂 Microsoft.DataFactory/factories 数据工厂
Azure Database for MariaDB Microsoft.DBforMariaDB/servers mariadbServer
Azure Database for MySQL Microsoft.DBforMySQL/servers mysqlServer
Azure Database for PostgreSQL - 单一服务器 Microsoft.DBforPostgreSQL/servers postgresqlServer
Azure IoT 中心 Microsoft.Devices/IotHubs iotHub
Microsoft Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances digitaltwinsinstance
Azure 事件网格 Microsoft.EventGrid/domains
Azure 事件网格 Microsoft.EventGrid/topics 事件网格主题
Azure 事件中心 Microsoft.EventHub/namespaces 命名空间
Azure HDInsight Microsoft.HDInsight/clusters cluster
适用于 FHIR 的 Azure API Microsoft.HealthcareApis/services 服务
Azure Keyvault HSM Microsoft.Keyvault/managedHSMs HSM
Azure Key Vault Microsoft.KeyVault/vaults 保管库
Azure 机器学习 Microsoft.MachineLearningServices/workspaces amlworkspace
Azure Migrate Microsoft.Migrate/assessmentProjects project
应用程序网关 Microsoft.Network/applicationgateways 应用程序网关
专用链接服务(你自己的服务) Microsoft.Network/privateLinkServices empty
Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
Azure Purview Microsoft.Purview/accounts account
Azure 备份 Microsoft.RecoveryServices/vaults 保管库
Azure 中继 Microsoft.Relay/namespaces 命名空间
Microsoft Search Microsoft.Search/searchServices 搜索服务
Azure 服务总线 Microsoft.ServiceBus/namespaces 命名空间
SignalR Microsoft.SignalRService/SignalR signalr
SignalR Microsoft.SignalRService/webPubSub webpubsub
Azure SQL 数据库 Microsoft.Sql/servers Sql Server (sqlServer)
Azure 存储 Microsoft.Storage/storageAccounts Blob(blob、blob_secondary)
表(table、table_secondary)
队列(queue、queue_secondary)
文件(file、file_secondary)
Web(web、web_secondary)
Azure 文件同步 Microsoft.StorageSync/storageSyncServices 文件同步服务
Azure Synapse Microsoft.Synapse/privateLinkHubs synapse
Azure Synapse Analytics Microsoft.Synapse/workspaces Sql、SqlOnDemand、Dev
Azure 应用服务 Microsoft.Web/hostingEnvironments 宿主环境
Azure 应用服务 Microsoft.Web/sites sites
Azure 应用服务 Microsoft.Web/staticSites staticSite

专用终结点的网络安全性

使用专用终结点时,流量将受到专用链接资源的保护。 平台会执行访问控制,以验证网络连接是否仅抵达指定的专用链接资源。 若要在同一 Azure 服务中访问更多资源,需要使用额外的专用终结点。

可以完全锁定工作负荷,使其无法访问公共终结点来连接受支持的 Azure 服务。 这种控制为资源提供额外的网络安全层。 该安全机制提供的保护可以防止对同一 Azure 服务上托管的其他资源进行访问。

可使用以下连接批准方法连接到专用链接资源:

  • 当你拥有特定的专用链接资源或对其拥权限时 自动 批准。 所需的权限基于采用以下格式的专用链接资源类型:Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
  • 没有所需的权限并想要请求访问权限时 手动 发出请求。 将发起批准工作流。 将会以“挂起”状态创建专用终结点和后续的专用终结点连接。 专用链接资源所有者负责审批该连接。 获得批准后,将启用专用终结点来正常发送流量,如以下批准工作流图中所示。

工作流批准

专用链接资源所有者可以对专用终结点连接执行以下操作:

  • 评审所有专用终结点连接详细信息。
  • 批准专用终结点连接。 将启用相应的专用终结点,以将流量发送到专用链接资源。
  • 拒绝专用终结点连接。 相应的专用终结点将会更新以反映状态。
  • 删除处于任何状态的专用终结点连接。 将使用已断开连接状态更新相应的专用终结点以反映操作,专用终结点所有者此时只能删除资源。

备注

只有处于已批准状态的专用终结点才能将流量发送到给定的专用链接资源。

使用别名进行连接

别名是当服务所有者在标准负载均衡器后面创建专用链接服务时,生成的唯一名字对象。 服务所有者可与其使用者脱机共享此别名。

使用者可以使用资源 URI 或别名请求连接到专用链接服务。 若要使用别名进行连接,必须使用手动连接批准方法创建专用终结点。 若要使用手动连接批准方法,请在专用终结点创建流期间将手动请求参数设置为 true。 有关详细信息,请参阅 New-AzPrivateEndpointaz network private-endpoint create

DNS 配置

用于与专用链接资源建立连接的 DNS 设置很重要。 使用完全限定的域名 (FQDN) 进行连接时,请确保 DNS 设置正确。 设置必须解析为专用终结点的专用 IP 地址。 现有的 Azure 服务可能已有在通过公共终结点进行连接时要使用的 DNS 配置。 必须覆盖此配置,才能使用专用终结点进行连接。

与专用终结点关联的网络接口包含配置 DNS 所需的信息。 信息包括专用链接资源的 FQDN 和专用 IP 地址。

有关为专用终结点配置 DNS 的建议的完整详细信息,请参阅专用终结点 DNS 配置

限制

下表列出了使用专用终结点时的已知限制:

限制 说明 缓解措施
使用用户定义的路由发往专用终结点的流量可能是非对称的。 从专用终结点返回的流量会绕过网络虚拟设备 (NVA) 并尝试返回到源 VM。 源网络地址转换 (SNAT) 用于确保对称路由。 对于通过 UDR 发往专用终结点的所有流量,建议对 NVA 上的流量使用 SNAT。

重要

NSG 和 UDR 对专用终结点的支持在选择区域中处于公共预览状态。 有关详细信息,请参阅专用链接 UDR 支持的公共预览版专用链接网络安全组支持的公共预览版。 此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款

公共预览版限制

NSG

限制 说明 缓解措施
无法在专用终结点网络接口上获取有效的路由和安全规则。 无法导航到网络接口以查看有效路由和安全规则的相关信息。 Q4CY21
不支持 NSG 流日志。 NSG 流日志对于发往专用终结点的入站流量不起作用。 目前没有信息。
ZRS 存储帐户出现间歇性丢包。 即使在存储专用终结点子网上应用了允许 NSG,使用 ZRS 存储帐户的客户也可能会看到周期性的间歇性丢包。 9 月
Azure 密钥保管库出现间歇性丢包。 即使在 Azure 密钥保管库专用终结点子网上应用了允许 NSG,使用 Azure 密钥保管库的客户也可能会看到周期性的间歇性丢包。 9 月
每个 NSG 的地址前缀数限制。 不支持在单个规则的 NSG 中指定 500 个以上的地址前缀。 9 月
AllowVirtualNetworkAccess 标志 如果客户在其 VNet (VNet A) 上设置 VNet 对等互连,并且在指向另一个 VNet (VNet B) 的对等互连链路上将 AllowVirtualNetworkAccess 标志设置为 false,则客户无法使用 VirtualNetwork 标记来拒绝从 VNet B 中发出的访问专用终结点资源的流量 。 他们需要为 VNet B 的地址前缀显式添加一个块才能拒绝流量进入专用终结点。 9 月
不支持双端口 NSG 规则。 如果在 NSG 规则中使用多个端口范围,则允许规则和拒绝规则只遵循第一个端口范围。 包含多个端口范围的规则默认为拒绝所有端口而不是特定的端口。
有关详细信息,请参阅下面的规则示例。
9 月
优先度 源端口 目标端口 操作 有效操作
10 10-12 10-12 允许/拒绝 源/目标端口中的单个端口范围将按预期方式工作。
10 10-12、13-14 14-15、16-17 Allow 仅允许源端口 10-12 和目标端口 14-15。
10 10-12、13-14 120-130、140-150 拒绝 拒绝来自所有源端口的流量进入所有目标端口,因为存在多个源和目标端口范围。
10 10-12、13-14 120-130 拒绝 来自所有源端口的流量仅被拒绝进入目标端口 120-130。 存在多个源端口范围和一个目标端口范围。

表:示例双端口规则。

UDR

限制 说明 缓解措施
始终建议使用源网络地址转换 (SNAT)。 由于专用终结点数据平面的可变性,建议对发往专用终结点的流量执行 SNAT,以确保返回流量被接受。 目前没有信息。

后续步骤