Veelgestelde vragen (FAQ) over Azure Private Link

• Privé-eindpunt van Azure: Azure Private Endpoint is een netwerkinterface die u privé en veilig verbindt met een service die wordt mogelijk gemaakt door Azure Private Link. U kunt privé-eindpunten gebruiken om verbinding te maken met een Azure PaaS-service die ondersteuning biedt voor Private Link of uw eigen Private Link-service.
• Azure Private Link-service: Azure Private Link-service is een service die is gemaakt door een serviceprovider. Momenteel kan een Private Link-service worden gekoppeld aan de front-end-IP-configuratie van een Standard Load Balancer.

Verkeer wordt privé verzonden met behulp van Microsoft backbone. Het gaat niet via internet. Azure Private Link slaat geen klantgegevens op.

• Privé-eindpunten verlenen netwerktoegang tot specifieke resources achter een bepaalde service die gedetailleerde segmentatie bieden. Verkeer kan de serviceresource on-premises bereiken zonder openbare eindpunten te gebruiken.
• Een service-eindpunt blijft een openbaar routeerbaar IP-adres. Een privé-eindpunt is een privé-IP in de adresruimte van het virtuele netwerk waar het privé-eindpunt is geconfigureerd.

Meerdere private link-resourcetypen ondersteunen toegang via privé-eindpunten. Resources omvatten Azure PaaS-services en uw eigen Private Link-service. Het is een een-op-veel-relatie.

Een Private Link-service ontvangt verbindingen van meerdere privé-eindpunten. Een privé-eindpunt maakt verbinding met één Private Link-service.

Ja. Private Link-service moet netwerkbeleid uitschakelen om goed te functioneren.

Ja. Als u beleid zoals door de gebruiker gedefinieerde routes en netwerkbeveiligingsgroepen wilt gebruiken, moet u netwerkbeleid inschakelen voor een subnet in een virtueel netwerk voor het privé-eindpunt. Deze instelling is van invloed op alle privé-eindpunten binnen het subnet.

Ja. U kunt meerdere privé-eindpunten in hetzelfde VNet of subnet hebben. Ze kunnen verbinding maken met verschillende services.

Nee, het maken van meerdere zones met dezelfde naam voor één virtueel netwerk wordt niet ondersteund.

Nee U hebt geen toegewezen subnet nodig voor privé-eindpunten. U kunt een privé-eindpunt-IP kiezen uit elk subnet van het VNet waar uw service wordt geïmplementeerd.

Ja. Privé-eindpunten kunnen verbinding maken met Private Link-services of met een Azure PaaS in Microsoft Entra-tenants. Voor privé-eindpunten in tenants is een handmatige goedkeuring van de aanvraag vereist.

Ja. Privé-eindpunten kunnen verbinding maken met Azure PaaS-resources in Azure-regio's.

Wanneer een privé-eindpunt wordt gemaakt, wordt er een alleen-lezen-NIC toegewezen. De NIC kan niet worden gewijzigd en blijft behouden voor de levenscyclus van het privé-eindpunt.

Privé-eindpunten zijn maximaal beschikbare resources met een SLA per SLA voor Azure Private Link. Omdat het echter regionale resources zijn, kan elke storing in een Azure-regio van invloed zijn op de beschikbaarheid. Om beschikbaarheid te bereiken als er regionale storingen zijn, kunnen meerdere PE's die zijn verbonden met dezelfde doelresource in verschillende regio's worden geïmplementeerd. Als er één regio uitvalt, kunt u het verkeer voor uw herstelscenario's nog steeds routeren via PE in een andere regio om toegang te krijgen tot de doelresource. Raadpleeg de servicedocumentatie over failover en herstel voor informatie over hoe de regionale fouten worden verwerkt aan de kant van de doelservice. Private Link-verkeer volgt de Azure DNS-omzetting voor het doeleindpunt.

Privé-eindpunten zijn maximaal beschikbare resources met een SLA per SLA voor Azure Private Link. Privé-eindpunten zijn zoneneutraal: een fout in de beschikbaarheidszone in de regio van het privé-eindpunt heeft geen invloed op de beschikbaarheid van het privé-eindpunt.

TCP- en UDP-verkeer worden alleen ondersteund voor een privé-eindpunt. Zie Beperkingen van Private Link voor meer informatie.

Uw serviceback-ends moeten zich in een virtueel netwerk en achter een Standard Load Balancer bevinden.

U kunt uw Private Link-service op verschillende manieren schalen:

• Back-end-VM's toevoegen aan de pool achter uw Standard Load Balancer
• Voeg een IP-adres toe aan de Private Link-service. We staan maximaal 8 IP-adressen per Private Link-service toe.
• Nieuwe Private Link-service toevoegen aan Standard Load Balancer. Er zijn maximaal acht Private Link-services per Standard Load Balancer toegestaan.

• De NAT IP-configuratie zorgt ervoor dat de bronadresruimte (consument) en de doeladresruimte (serviceprovider) geen IP-conflicten heeft. De configuratie biedt bron-NAT voor het privékoppelingsverkeer voor de bestemming. Het NAT-IP-adres wordt weergegeven als bron-IP voor alle pakketten die zijn ontvangen door uw service en doel-IP voor alle pakketten die door uw service worden verzonden. NAT IP kan worden gekozen uit elk subnet in het virtuele netwerk van een serviceprovider.
• Elk NAT IP-adres biedt 64k TCP-verbindingen (64k poorten) per VM achter de Standard Load Balancer. Als u meer verbindingen wilt schalen en toevoegen, kunt u nieuwe NAT-IP-adressen toevoegen of meer VM's achter de Standard Load Balancer toevoegen. Als u dit doet, wordt de beschikbaarheid van de poort geschaald en zijn er meer verbindingen mogelijk. Verbindingen worden gedistribueerd over NAT-IP-adressen en VM's achter de Standard Load Balancer.

Ja. Eén Private Link-service kan verbindingen van meerdere privé-eindpunten ontvangen. Eén privé-eindpunt kan echter slechts verbinding maken met één Private Link-service.

U kunt de blootstelling beheren met behulp van de zichtbaarheidsconfiguratie op de Private Link-service. Zichtbaarheid ondersteunt drie instellingen:

• Geen : alleen abonnementen met op rollen gebaseerde toegang kunnen de service vinden.
• Beperkend : alleen abonnementen die zijn goedgekeurd en met toegang op basis van rollen, kunnen de service vinden.
• Alles - Iedereen kan de service vinden.

Nee Private Link-service via een Basic Load Balancer wordt niet ondersteund.

Nee Een toegewezen subnet is niet vereist voor de Private Link-service. U kunt elk subnet in uw VNet kiezen waar uw service wordt geïmplementeerd.

Nee Azure Private Link biedt deze functionaliteit voor u. U hoeft geen niet-overlappende adresruimte te hebben met de adresruimte van uw klant.

Volgende stappen

• Meer informatie over Azure Private Link