Définir le service Private Link et le point de terminaison privé
Qu’est-ce que Liaison privée Azure ?
Azure Private Link vous permet d’accéder aux services Azure PaaS ainsi qu’aux services de partenaires ou de clients hébergés par Azure sur un point de terminaison privé dans votre réseau virtuel.
Avant d’en savoir plus sur Azure Private Link et ses fonctionnalités et avantages, examinons le problème que Private Link permet de résoudre.
Contoso dispose d’un réseau virtuel Azure et vous souhaitez vous connecter à une ressource PaaS, par exemple une base de données Azure SQL. Lorsque vous créez de telles ressources, vous spécifiez généralement un point de terminaison public comme méthode de connectivité.
Le fait de disposer d’un point de terminaison public signifie qu’une adresse IP publique est affectée à la ressource. Ainsi, même si votre réseau virtuel et la base de données SQL Azure se trouvent dans le cloud Azure, la connexion entre ces deux éléments se fait via Internet.
Le problème est que votre base de données Azure SQL est exposée à l'internet par le biais de son adresse IP publique. Cette exposition entraîne plusieurs risques de sécurité. Ces risques de sécurité sont présents lorsqu’une ressource Azure est accessible via une adresse IP publique à partir de :
- Un réseau virtuel Azure appairé.
- Un réseau local qui se connecte à Azure via ExpressRoute et l’appairage Microsoft.
- Un réseau virtuel Azure d’un client qui se connecte à un service Azure offert par votre entreprise.
Private Link est conçu pour éliminer ces risques de sécurité en supprimant la partie publique de la connexion.
Private Link fournit un accès sécurisé aux services Azure. Private Link garantit ce niveau de sécurité en remplaçant le point de terminaison public d’une ressource par une interface réseau privée. Il existe trois points clés à prendre en compte avec cette nouvelle architecture :
- La ressource Azure devient, en un sens, une partie de votre réseau virtuel.
- La connexion à la ressource utilise désormais le réseau principal Microsoft Azure au lieu du réseau Internet public.
- Vous pouvez configurer la ressource Azure pour qu’elle n’expose plus son adresse IP publique, ce qui élimine ce risque de sécurité.
Qu’est-ce qu’Azure Private Endpoint ?
Private Endpoint est la technologie clé sur laquelle repose Private Link. Private Endpoint est une interface réseau qui permet une connexion privée et sécurisée entre votre réseau virtuel et un service Azure. En d’autres termes, Private Endpoint est l’interface réseau qui remplace le point de terminaison public de la ressource.
Private Link fournit un accès sécurisé aux services Azure. Private Link garantit ce niveau de sécurité en remplaçant le point de terminaison public d’une ressource par une interface réseau privée. Le point de terminaison privé utilise l’adresse IP privée pour les services dans le réseau virtuel.
En quoi le point de terminaison privé Azure diffère-t-il d’un point de terminaison de service ?
Les points de terminaison privés accordent un accès réseau à des ressources spécifiques derrière un service donné fournissant une segmentation granulaire. Le trafic peut atteindre la ressource du service à partir d’un emplacement local sans utiliser de points de terminaison publics.
Un point de terminaison de service reste une adresse IP routable publiquement. Un point de terminaison privé est une adresse IP privée dans l’espace d’adressage du réseau virtuel sur lequel le point de terminaison privé est configuré.
Notes
Microsoft recommande l’utilisation d’Azure Private Link pour un accès sécurisé et privé aux services hébergés sur la plateforme Azure.
Qu’est-ce que le service Azure Private Link ?
Private Link vous donne un accès privé depuis votre réseau virtuel Azure aux services PaaS et aux services Microsoft Partner dans Azure. Mais que se passe-t-il si votre entreprise possède ses propres services Azure ? Est-il possible de proposer à ces clients une connexion privée aux services de votre entreprise ?
Oui, à l’aide du service Azure Private Link. Ce service vous permet d’offrir des connexions Private Link à vos services Azure personnalisés. Les utilisateurs de vos services personnalisés peuvent alors accéder à ces services en privé, c’est-à-dire sans utiliser Internet, depuis leurs propres réseaux virtuels Azure.
Le service Azure Private Link est la référence à votre propre service Azure Private Link. L’accès Private Link peut être activé pour un service qui s’exécute derrière l’équilibreur de charge standard Azure. De cette façon, les utilisateurs du service pourront y accéder à l’aide d’une connexion privée, à partir de leurs propres réseaux virtuels. Vos clients peuvent créer un point de terminaison privé dans leur réseau virtuel et le mapper dans ce service. Un service Azure Private Link reçoit des connexions provenant de plusieurs points de terminaison privés. Un point de terminaison privé se connecte à un service Azure Private Link.
Propriétés de Private Endpoint
Avant de créer un point de terminaison privé, vous devez prendre en compte les propriétés de point de terminaison privé et collecter des données sur des besoins spécifiques à traiter.
- Nom unique avec un groupe de ressources.
- Sous-réseau pour déployer et allouer des adresses IP privées à partir d’un réseau virtuel.
- Ressource Private Link à connecter avec l’ID de ressource ou l’alias dans la liste des types disponibles. Un identificateur de réseau unique est généré pour tout le trafic envoyé à cette ressource.
- Sous-ressource à connecter. Chaque type de ressource Private Link a différentes options à sélectionner en fonction de vos préférences.
- Méthode d’approbation de connexion automatique ou manuelle. Selon les autorisations de contrôle d’accès en fonction du rôle Azure (RBAC), votre point de terminaison privé peut être approuvé automatiquement. Pour la méthode manuelle, le propriétaire de la ressource approuve la connexion.
- Seuls les points de terminaison privés dans un état approuvé peuvent être utilisés pour envoyer du trafic.
Considérez également :
- Les clients lancent des connexions réseau. Les connexions ne peuvent être établies que dans une seule direction.
- Le point de terminaison privé a une interface réseau en lecture seule pour le cycle de vie de la ressource. Des adresses IP privées sont attribuées dynamiquement à l’interface à partir du sous-réseau qui est mappé à la ressource Private Link. La valeur de l’adresse IP privée reste inchangée pour l’intégralité du cycle de vie du point de terminaison privé.
- Le point de terminaison privé doit être déployé dans la même région et dans le même abonnement que le réseau virtuel.
- La ressource Private Link peut être déployée dans une autre région que le réseau virtuel et le point de terminaison privé.
- Vous pouvez créer plusieurs points de terminaison privés à l’aide de la même ressource Private Link.
- Plusieurs points de terminaison privés peuvent être créés sur des sous-réseaux identiques ou différents au sein du même réseau virtuel.