Jak funguje Azure Private Link
Znáte základní funkce a výhody služby Private Link. Teď se podíváme, jak funguje Private Link. Podívejme se zejména na to, jak funguje s privátním koncovým bodem a službou Private Link a nabízí privátní přístup ke službám Azure. Tyto informace vám pomůžou vyhodnotit, jestli je Private Link správným řešením pro vaši společnost.
Jak private Link zapadá do virtuální sítě Azure
Private Link poskytuje privátní přístup ke službám Azure. Privátní znamená, že připojení používá páteřní síť Microsoft Azure místo internetu. Pokud chcete tento přepínač provést, private Link změní metodu připojení prostředku Azure z veřejného koncového bodu na privátní koncový bod.
Teď nemáte přístup k prostředku Azure pomocí veřejné IP adresy. Místo toho použijete privátní IP adresu, kterou Azure přiřadí k prostředku z adresního prostoru vaší podsítě.
Hlavní poznatky? Prostředek Azure je teď v podstatě součástí vaší virtuální sítě. Klienti ve vaší síti mají přístup k tomuto prostředku Private Linku stejně jako k jakémukoli jinému síťovému prostředku.
Pro ještě větší zabezpečení teď připojení k prostředku využívá páteřní síť Microsoft Azure. To znamená, že veškerý provoz do a z prostředku zcela obchází veřejný internet.
Veřejný koncový bod prostředku ale stále existuje, i když ho nepoužíváte. Přítomnost veřejného koncového bodu, i nepoužívaného koncového bodu, je stále bezpečnostním rizikem. Naštěstí je možné zakázat veřejný koncový bod prostředku Azure, který obchází potenciální problém se zabezpečením.
Jak funguje privátní koncový bod Azure
Jak přesunete rozhraní prostředků z veřejného na soukromé? Přidejte privátní koncový bod Azure do konfigurace sítě. Privátní koncový bod je síťové rozhraní, které vytvoří privátní připojení mezi vaší virtuální sítí a zadaným prostředkem Azure.
Privátní koncový bod přebírá nepoužitou privátní IP adresu z adresního prostoru zadané podsítě ve vaší virtuální síti. Předpokládejme například, že máte podsíť, která používá adresní prostor 10.1.0.0/24. Virtuální počítače v této podsíti používají IP adresy, například 10.1.0.20 nebo 10.1.0.155.
Privátní koncový bod získá IP adresu ze stejného adresního prostoru, například 10.1.0.32. Privátní koncový bod pak namapuje danou adresu na zadanou službu Azure. Použití privátní IP adresy efektivně přináší službu do vaší virtuální sítě.
Poznámka:
Klienti, kteří se připojují k prostředku Private Link, nemusí v připojovací řetězec používat PŘIŘAZENou IP adresu privátního koncového bodu. Pokud místo toho nakonfigurujete privátní koncový bod tak, aby se integrovali s vaší privátní zónou DNS, Azure k koncovému bodu automaticky přiřadí plně kvalifikovaný název domény. Pokud je například prostředkem Private Link tabulka Azure Storage, bude plně kvalifikovaný název domény vypadat přibližně jako mystorageaccount1234.table.core.windows.net.
Při vyhodnocování privátního koncového bodu je potřeba vzít v úvahu několik klíčových bodů:
- Privátní koncový bod nabízí privátní připojení mezi virtuálními počítači a dalšími klienty ve vaší virtuální síti Azure a službami Azure s technologií Private Link.
- Privátní koncový bod nabízí privátní připojení mezi vašimi regionálními partnerskými virtuálními sítěmi a službami Azure využívajícími službu Private Link.
- Privátní koncový bod nabízí privátní připojení mezi globálně partnerskými virtuálními sítěmi a službami Azure využívajícími službu Private Link.
- Privátní koncový bod nabízí privátní připojení mezi vaší místní sítí – připojeným přes privátní partnerský vztah ExpressRoute nebo VPN – a službami Azure využívajícími private Link.
- Na virtuální síť můžete nasadit maximálně 1 000 rozhraní privátních koncových bodů.
- Pro každé předplatné Azure můžete nasadit maximálně 64 000 rozhraní privátních koncových bodů.
- Na stejný prostředek Private Link můžete namapovat maximálně 1 000 rozhraní privátního koncového bodu.
Upozornění
I když je možné namapovat více rozhraní privátních koncových bodů na jeden prostředek, nedoporučuje se, protože to může vést ke konfliktům DNS a dalším problémům. Osvědčeným postupem je namapovat pouze jeden privátní koncový bod na jeden prostředek Private Link.
- Připojení jsou jedním ze způsobů, což znamená, že se k rozhraní privátního koncového bodu můžou připojit jenom klienti. Pokud je služba Azure namapovaná na rozhraní privátního koncového bodu, poskytovatel této služby se nemůže připojit k rozhraní privátního koncového bodu (ani je vnímat).
- Nasazené rozhraní privátního koncového bodu je jen pro čtení, což znamená, že ho nikdo nemůže upravovat. Například nikdo nemůže mapovat rozhraní na jiný prostředek, ani nemůže změnit IP adresu rozhraní.
- I když musíte privátní koncový bod nasadit ve stejné oblasti jako virtuální síť, prostředek Private Link se může nacházet v jiné oblasti.
Poznámka:
Jaký je rozdíl mezi koncovým bodem služby a privátním koncovým bodem? Koncový bod služby nakonfiguruje prostředek Azure tak, aby umožňoval připojení pouze ze zadané virtuální sítě. Toto připojení se ale stále provádí prostřednictvím veřejného koncového bodu prostředku, takže některá bezpečnostní rizika zůstávají. Privátní koncový bod odebere tato rizika tím, že podporuje zakázání veřejného koncového bodu prostředku.
Jak funguje služba Azure Private Link
Služba Azure Private Link přináší výhody služby Private Link vašim vlastním službám Azure. Jediným požadavkem je spuštění vlastní služby za Azure Standard Load Balancer. Pak můžete vytvořit prostředek služby Private Link a připojit ho k nástroji pro vyrovnávání zatížení.
Upozornění
Azure nabízí dvě verze svého nástroje pro vyrovnávání zatížení: Basic a Standard. Load Balancer úrovně Basic nepodporuje službu Private Link, proto se ujistěte, že používáte Load Balancer úrovně Standard.
Jakmile vytvoříte prostředek služby Private Link, Azure vydá alias prostředku, což je globálně jedinečný řetězec jen pro čtení s předponou syntaxe.guid.přípona:
- předpona. Název, který zadáte pro vlastní službu.
- guid. Globálně jedinečné ID vygenerované automaticky v Azure.
- přípona. Text region.azure.privatelinkservice; oblast je oblast, ve které je služba Private Link nasazená.
Alias služby Private Link sdílíte s uživateli vaší vlastní služby. Každý uživatel pak nastaví privátní koncový bod ve své vlastní virtuální síti Azure. Příjemce pak namapuje koncový bod na alias služby Private Link.
Tady je několik klíčových bodů, které je potřeba vzít v úvahu při vyhodnocování služby Private Link:
- Ke službě privátního propojení lze přistupovat prostřednictvím privátního koncového bodu v libovolné veřejné oblasti.
- Služba privátního propojení musí být nasazená ve stejné oblasti jako standardní nástroj pro vyrovnávání zatížení a virtuální síť, která hostuje vaši vlastní službu Azure.
- Na předplatné Azure můžete nasadit maximálně 800 prostředků privátního propojení.
- Na jeden prostředek privátního propojení může být namapováno maximálně 1 000 rozhraní privátních koncových bodů.
- Ve stejném standardním nástroji pro vyrovnávání zatížení můžete nasadit několik prostředků služby privátního propojení pomocí různých konfigurací front-endových IP adres.
Spojení všech součástí dohromady
Je vaším cílem získat přístup k prostředku Azure bez použití veřejného internetu? Chcete soukromě nabídnout vlastní prostředek Azure? Pokud jste odpověděli na jednu nebo obě otázky ano, pak služba Private Link, privátní koncový bod a služba Private Link získají úlohu následujícím způsobem:
- Pokud chcete privátní přístup ke službě Azure PaaS nebo službě Azure od partnera Microsoftu, vytvořte privátní koncový bod v podsíti vaší virtuální sítě Azure. Tento privátní koncový bod používá službu Private Link pro přístup ke službě Azure pomocí privátní IP adresy přes páteřní síť Microsoft Azure. Peered virtual networks and on-premises networks that use ExpressRoute private peering or a VPN tunnel can also access the Azure service via the private endpoint.
- Pokud chcete nabídnout privátní přístup k vlastní službě Azure, umístěte službu za standardní nástroj pro vyrovnávání zatížení, vytvořte prostředek služby Private Link a připojte ho ke konfiguraci front-endOVÉ IP adresy nástroje pro vyrovnávání zatížení.
