Definieren des Private Link-Diensts und des privaten Endpunkts

12 Minuten

Was ist Azure Private Link?

Mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-PaaS-Dienste sowie auf in Azure gehostete kundeneigene Dienste/Partnerdienste zugreifen.

Bevor Sie Azure Private Link und die zugehörigen Funktionen und Vorteile kennenlernen, untersuchen wir das Problem, das mit Private Link gelöst werden soll.

Contoso verfügt über ein virtuelles Azure-Netzwerk, und Sie möchten eine Verbindung mit einer PaaS-Ressource wie einer Azure SQL-Datenbank herstellen. Wenn Sie solche Ressourcen erstellen, geben Sie normalerweise einen öffentlichen Endpunkt als Verbindungsmethode an.

Die Verwendung eines öffentlichen Endpunkts bedeutet, dass der Ressource eine öffentliche IP-Adresse zugewiesen wird. Obwohl sich also sowohl Ihr virtuelles Netzwerk als auch die Azure SQL-Datenbank innerhalb der Azure-Cloud befinden, findet die Verbindung zwischen ihnen über das Internet statt.

Das Problem besteht darin, dass Ihre Azure SQL-Datenbank über ihre öffentliche IP-Adresse im Internet verfügbar gemacht wird. Dadurch entstehen mehrere Sicherheitsrisiken. Diese Sicherheitsrisiken entstehen, wenn auf eine Azure-Ressource über eine öffentliche IP-Adresse wie folgt zugegriffen wird:

Über Peering eines virtuellen Netzwerks.
Über ein lokales Netzwerk, das mithilfe von ExpressRoute und Microsoft-Peering eine Verbindung mit Azure herstellt.
Über ein virtuelles Azure-Netzwerk eines Kunden, das eine Verbindung mit einem Azure-Dienst herstellt, der von Ihrem Unternehmen angeboten wird.

Diagramm, das einen privaten Endpunkt und eine private Verbindungszone zeigt.

Private Link ist darauf ausgelegt, diese Sicherheitsrisiken zu beseitigen, indem der öffentliche Teil der Verbindung entfernt wird.

Private Link ermöglicht sicheren Zugriff auf Azure-Dienste. Private Link erreicht diese Sicherheit, indem der öffentliche Endpunkt einer Ressource durch eine private Netzwerkschnittstelle ersetzt wird. Es gibt drei wichtige Punkte, die bei dieser neuen Architektur zu beachten sind:

Die Azure-Ressource wird in gewisser Weise zu einem Teil Ihres virtuellen Netzwerks.
Die Verbindung mit der Ressource verwendet nun anstelle des öffentlichen Internets das Microsoft Azure-Backbonenetzwerk.
Sie können die Azure-Ressource so konfigurieren, dass ihre öffentliche IP-Adresse nicht mehr verfügbar gemacht wird, wodurch dieses potenzielle Sicherheitsrisiko entfällt.

Was ist privater Endpunkt in Azure?

Der private Endpunkt ist die Schlüsseltechnologie hinter Private Link. Der private Endpunkt ist eine Netzwerkschnittstelle, die eine private und sichere Verbindung zwischen Ihrem virtuellen Netzwerk und einem Azure-Dienst ermöglicht. Anders ausgedrückt: Der private Endpunkt ist die Netzwerkschnittstelle, die den öffentlichen Endpunkt der Ressource ersetzt.

Private Link ermöglicht sicheren Zugriff auf Azure-Dienste. Private Link erreicht diese Sicherheit, indem der öffentliche Endpunkt einer Ressource durch eine private Netzwerkschnittstelle ersetzt wird. Ein privater Endpunkt verwendet die private IP-Adresse für Dienste im VNet.

Wie unterscheiden sich private Azure-Endpunkte von Dienstendpunkten?

Private Endpunkte gewähren Netzwerkzugriff auf bestimmte Ressourcen hinter einem bestimmten Dienst, der eine differenzierte Segmentierung bietet. Der Datenverkehr kann die Dienstressource von einem lokalen Standort ohne öffentliche Endpunkte erreichen.

Ein Dienstendpunkt ist weiterhin ein IP-Adresse, die öffentlich geroutet werden kann. Ein privater Endpunkt ist eine private IP-Adresse im Adressraum des virtuellen Netzwerks, in dem der private Endpunkt konfiguriert wurde.

Hinweis

Microsoft empfiehlt die Verwendung von Azure Private Link für den sicheren und privaten Zugriff auf Dienste, die auf der Azure-Plattform gehostet werden.

Was ist der Azure Private Link-Dienst?

Private Link ermöglicht den privaten Zugriff aus Ihrem virtuellen Azure-Netzwerk auf PaaS-Dienste und Microsoft Partner-Dienste in Azure. Aber was geschieht, wenn Ihr Unternehmen über eigene Azure-Dienste verfügt? Ist es möglich, diesen Kunden eine private Verbindung mit den Diensten Ihres Unternehmens anzubieten?

Ja, mithilfe des Azure Private Link-Diensts. Mit diesem Dienst können Sie Private Link-Verbindungen mit Ihren benutzerdefinierten Azure-Diensten anbieten. Consumer Ihrer benutzerdefinierten Dienste können dann privat (also ohne Verwendung des Internets) aus ihren eigenen virtuellen Azure-Netzwerken auf diese Dienste zugreifen.

Der Azure Private Link-Dienst ist der Verweis auf Ihren eigenen Dienst, der von Azure Private Link unterstützt wird. Ihr Dienst, der hinter Azure Standard Load Balancer ausgeführt wird, kann für den Private Link-Zugriff aktiviert werden, sodass die Consumer Ihres Dienstes privat über ihre eigenen virtuellen Netzwerke darauf zugreifen können. Ihre Kunden können einen privaten Endpunkt in ihrem VNet erstellen und diesem Dienst zuordnen. Ein Private Link-Dienst empfängt Verbindungen von mehreren privaten Endpunkten. Ein privater Endpunkt stellt eine Verbindung mit einem privaten Private Link-Dienst her.

Eigenschaften eines privaten Endpunkts

Bevor Sie einen privaten Endpunkt erstellen, sollten Sie die Eigenschaften des privaten Endpunkts erwägen und Daten zu bestimmten Anforderungen sammeln, die berücksichtigt werden müssen.

Ein eindeutiger Name mit einer Ressourcengruppe.
Ein Subnetz zum Bereitstellen und Zuordnen der privaten IP-Adressen aus einem virtuellen Netzwerk.
Die Private Link-Ressource aus der Liste verfügbarer Typen, mit der über die Ressourcen-ID oder den Alias eine Verbindung hergestellt werden soll. Ein eindeutiger Netzwerkbezeichner wird für den gesamten Datenverkehr generiert, der an diese Ressource gesendet wird.
Die Unterressource, mit der eine Verbindung hergestellt wird. Jeder Private Link-Ressourcentyp verfügt über verschiedene Optionen, die je nach Präferenz ausgewählt werden können.
Eine automatische oder manuelle Verbindungsgenehmigungsmethode. Auf Grundlage der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) kann Ihr privater Endpunkt automatisch genehmigt werden. Für die manuelle Methode genehmigt der Besitzer der Ressource die Verbindung.
Nur private Endpunkte im Status „Genehmigt“ können zum Senden von Datenverkehr verwendet werden.

Überprüfen Sie auch:

Clients initiieren Netzwerkverbindungen. Verbindungen können nur in einer Richtung eingerichtet werden.
Ein privater Endpunkt verfügt über eine schreibgeschützte Netzwerkschnittstelle für den Lebenszyklus der Ressource. Der Schnittstelle werden dynamisch private IP-Adressen aus dem Subnetz zugewiesen, das der Private Link-Ressource zugeordnet ist. Der Wert der privaten IP-Adresse verändert sich während des gesamten Lebenszyklus des privaten Endpunkts nicht.
Der private Endpunkt muss in derselben Region und im selben Abonnement wie das virtuelle Netzwerk bereitgestellt werden.
Die Private Link-Ressource kann in einer anderen Region als das virtuelle Netzwerk und der private Endpunkt bereitgestellt werden.
Mithilfe derselben Private Link-Ressource können mehrere private Endpunkte erstellt werden.
Innerhalb eines virtuellen Netzwerks können mehrere private Endpunkte (im selben oder in einem anderen Subnetz) erstellt werden.

Überprüfen Sie Ihr Wissen

Welche Schlüsseltechnologie steht hinter Private Links?

Privater Endpunkt.

DNS-Auflösung.

Virtuelle Netzwerke.

Worin besteht der Unterschied zwischen einem Dienstendpunkt und einem privaten Endpunkt?

Ein privater Endpunkt stellt eine Verbindung mit externen Systemen und Diensten her.

Ein Dienstendpunkt stellt eine Verbindung mit externen Systemen und Diensten herstellt.

Ein Dienstendpunkt ermöglicht eine private und sichere Verbindung zwischen Ihrem virtuellen Netzwerk und Azure.

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.