Definování služby Private Link a privátního koncového bodu

  • 12 min

Azure Private Link umožňuje přístup ke službám Azure PaaS a službám Hostovaným zákazníkům nebo partnerským službám Azure přes privátní koncový bod ve vaší virtuální síti.

Než se dozvíte o službě Azure Private Link a jejích funkcích a výhodách, pojďme se podívat na problém, který je určený k řešení služby Private Link.

Contoso má virtuální síť Azure a chcete se připojit k prostředku PaaS, jako je databáze Azure SQL. Při vytváření takových prostředků obvykle jako metodu připojení zadáte veřejný koncový bod.

Veřejný koncový bod znamená, že prostředek má přiřazenou veřejnou IP adresu. I když se vaše virtuální síť i databáze Azure SQL nacházejí v cloudu Azure, probíhá připojení mezi nimi přes internet.

Tento problém spočívá v tom, že vaše databáze Azure SQL je přístupná k internetu prostřednictvím své veřejné IP adresy. Tato expozice vytváří více bezpečnostních rizik. Tato bezpečnostní rizika jsou přítomna, když se k prostředkům Azure přistupuje prostřednictvím veřejné IP adresy z:

  • Partnerský vztah virtuální sítě Azure.
  • Místní síť, která se připojuje k Azure pomocí ExpressRoute a partnerského vztahu Microsoftu.
  • Virtuální síť Azure zákazníka, která se připojuje ke službě Azure nabízené vaší společností.

Diagram znázorňující privátní koncový bod a zónu privátního propojení

Služba Private Link je navržená tak, aby eliminovala tato rizika zabezpečení odebráním veřejné části připojení.

Private Link poskytuje zabezpečený přístup ke službám Azure. Služba Private Link dosahuje tohoto zabezpečení nahrazením veřejného koncového bodu prostředku privátním síťovým rozhraním. V této nové architektuře je potřeba zvážit tři klíčové body:

  • Prostředek Azure se stane součástí vaší virtuální sítě.
  • Připojení k prostředku teď používá páteřní síť Microsoft Azure místo veřejného internetu.
  • Prostředek Azure můžete nakonfigurovat tak, aby už nezpřístupnil svou veřejnou IP adresu, což eliminuje potenciální bezpečnostní riziko.

Co je privátní koncový bod Azure?

Privátní koncový bod je klíčovou technologií služby Private Link. Privátní koncový bod je síťové rozhraní, které umožňuje privátní a zabezpečené připojení mezi vaší virtuální sítí a službou Azure. Jinými slovy, privátní koncový bod je síťové rozhraní, které nahrazuje veřejný koncový bod prostředku.

Private Link poskytuje zabezpečený přístup ke službám Azure. Služba Private Link dosahuje tohoto zabezpečení nahrazením veřejného koncového bodu prostředku privátním síťovým rozhraním. Privátní koncový bod používá privátní IP adresu pro služby do virtuální sítě.

Jak se privátní koncový bod Azure liší od koncového bodu služby?

Privátní koncové body udělují síťovému přístupu ke konkrétním prostředkům za danou službou podrobné segmentace. Provoz se může dostat k prostředku služby z místního prostředí bez použití veřejných koncových bodů.

Koncový bod služby zůstává veřejně směrovatelnou IP adresou. Privátní koncový bod je privátní IP adresa v adresních prostorech virtuální sítě, kde je nakonfigurovaný privátní koncový bod.

Poznámka:

Microsoft doporučuje používat službu Azure Private Link pro zabezpečený a privátní přístup ke službám hostovaným na platformě Azure.

Private Link poskytuje privátní přístup z vaší virtuální sítě Azure ke službám PaaS a partnerským službám Microsoftu v Azure. Co když ale vaše společnost má své vlastní služby Azure? Je možné těmto zákazníkům nabídnout privátní připojení ke službám vaší společnosti?

Ano, pomocí služby Azure Private Link. Tato služba umožňuje nabízet připojení Private Linku k vašim vlastním službám Azure. Uživatelé vlastních služeb pak můžou k těmto službám přistupovat soukromě – to znamená bez použití internetu – ze svých vlastních virtuálních sítí Azure.

Služba Azure Private Link je odkazem na vaši vlastní službu, která využívá Službu Azure Private Link. Vaše služba, která běží za službou Azure Standard Load Balancer, může být povolená pro přístup ke službě Private Link, aby k ní uživatelé mohli přistupovat soukromě ze svých vlastních virtuálních sítí. Vaši zákazníci můžou ve své virtuální síti vytvořit privátní koncový bod a namapovat ho na tuto službu. Služba Private Link přijímá připojení z několika privátních koncových bodů. Privátní koncový bod se připojí k jedné službě Private Link.

Diagram pracovního postupu služby private link

Vlastnosti privátního koncového bodu

Před vytvořením privátního koncového bodu byste měli zvážit vlastnosti privátního koncového bodu a shromáždit data o konkrétních potřebách řešení.

  • Jedinečný název se skupinou prostředků
  • Podsíť pro nasazení a přidělení privátních IP adres z virtuální sítě
  • Prostředek Private Link pro připojení pomocí ID nebo aliasu prostředku ze seznamu dostupných typů. Pro veškerý provoz odesílaný do tohoto prostředku se vygeneruje jedinečný identifikátor sítě.
  • Podsourc, který se má připojit. Každý typ prostředku Private Link má různé možnosti výběru na základě preference.
  • Metoda automatického nebo ručního schválení připojení. Na základě oprávnění řízení přístupu na základě role v Azure (RBAC) je možné privátní koncový bod schválit automaticky. Pro ruční metodu vlastník prostředku schválí připojení.
  • K odesílání provozu je možné použít pouze privátní koncové body ve schváleném stavu.

Zvažte také:

  • Klienti inicialují síťová připojení. Připojení je možné vytvářet jen jedním směrem.
  • Privátní koncový bod má síťové rozhraní jen pro čtení pro životní cyklus prostředku. Rozhraní se přiřazuje dynamicky privátní IP adresy z podsítě, která se mapuje na prostředek Private Link. Hodnota privátní IP adresy zůstává beze změny pro celý životní cyklus privátního koncového bodu.
  • Privátní koncový bod musí být nasazen ve stejné oblasti a předplatném jako virtuální síť.
  • Prostředek Private Link je možné nasadit v jiné oblasti než virtuální síť a privátní koncový bod.
  • Pomocí stejného prostředku Private Link je možné vytvořit několik privátních koncových bodů.
  • Ve stejné nebo jiné podsíti ve stejné virtuální síti je možné vytvořit několik privátních koncových bodů.