Private Link-service en privé-eindpunt definiëren

Voltooid

Wat is Azure Private Link?

Met Azure Private Link hebt u toegang tot Azure PaaS-services en door Azure gehoste services van klanten/partners via een privé-eindpunt in uw virtuele netwerk.

Voordat u meer te weten komt over Azure Private Link en de bijbehorende functies en voordelen, gaan we kijken naar het probleem dat Private Link is ontworpen om op te lossen.

Contoso heeft een virtueel Azure-netwerk en u wilt verbinding maken met een PaaS-resource, zoals een Azure SQL-database. Wanneer u dergelijke resources maakt, geeft u normaal gesproken een openbaar eindpunt op als de connectiviteitsmethode.

Als u een openbaar eindpunt hebt, betekent dit dat aan de resource een openbaar IP-adres is toegewezen. Hoewel zowel uw virtuele netwerk als de Azure SQL-database zich in de Azure-cloud bevinden, vindt de verbinding ertussen plaats via internet.

Het probleem is dat uw Azure SQL-database via het openbare IP-adres beschikbaar wordt gemaakt voor internet. Deze blootstelling creëert meerdere beveiligingsrisico's. Deze beveiligingsrisico's zijn aanwezig wanneer een Azure-resource wordt geopend via een openbaar IP-adres van:

• Een virtueel Azure-netwerk met peering.
• Een on-premises netwerk dat verbinding maakt met Azure met behulp van ExpressRoute en Microsoft-peering.
• Het virtuele Azure-netwerk van een klant dat verbinding maakt met een Azure-service die door uw bedrijf wordt aangeboden.

Private Link is ontworpen om deze beveiligingsrisico's te elimineren door het openbare deel van de verbinding te verwijderen.

Private Link biedt beveiligde toegang tot Azure-services. Private Link bereikt deze beveiliging door het openbare eindpunt van een resource te vervangen door een privénetwerkinterface. Er zijn drie belangrijke punten waarmee u rekening moet houden met deze nieuwe architectuur:

• De Azure-resource wordt in zekere zin een onderdeel van uw virtuele netwerk.
• De verbinding met de resource maakt nu gebruik van het Microsoft Azure backbone-netwerk in plaats van het openbare internet.
• U kunt de Azure-resource zo configureren dat het openbare IP-adres niet meer beschikbaar wordt gemaakt, waardoor dit potentiële beveiligingsrisico wordt geëlimineerd.

Wat is een privé-eindpunt van Azure?

Privé-eindpunt is de belangrijkste technologie achter Private Link. Privé-eindpunt is een netwerkinterface die een privé- en beveiligde verbinding tussen uw virtuele netwerk en een Azure-service mogelijk maakt. Met andere woorden, Privé-eindpunt is de netwerkinterface die het openbare eindpunt van de resource vervangt.

Private Link biedt beveiligde toegang tot Azure-services. Private Link bereikt deze beveiliging door het openbare eindpunt van een resource te vervangen door een privénetwerkinterface. Privé-eindpunt maakt gebruik van het privé-IP-adres voor services in het VNet.

Hoe verschilt azure-privé-eindpunt van een service-eindpunt?

Privé-eindpunten verlenen netwerktoegang tot specifieke resources achter een bepaalde service die gedetailleerde segmentatie bieden. Verkeer kan de serviceresource on-premises bereiken zonder openbare eindpunten te gebruiken.

Een service-eindpunt blijft een openbaar routeerbaar IP-adres. Een privé-eindpunt is een privé-IP in de adresruimte van het virtuele netwerk waar het privé-eindpunt is geconfigureerd.

Notitie

Microsoft raadt het gebruik van Azure Private Link aan voor veilige en privétoegang tot services die worden gehost op het Azure-platform.

Wat is Azure Private Link Service?

Private Link biedt u privétoegang vanuit uw virtuele Azure-netwerk naar PaaS-services en Microsoft Partner-services in Azure. Maar wat gebeurt er als uw bedrijf eigen Azure-services heeft? Is het mogelijk om deze klanten een privéverbinding aan te bieden met de services van uw bedrijf?

Ja, met behulp van de Azure Private Link-service. Met deze service kunt u Private Link-verbindingen aanbieden met uw aangepaste Azure-services. Consumenten van uw aangepaste services hebben vervolgens privé toegang tot deze services, dat wil zeggen, zonder internet te gebruiken, vanuit hun eigen virtuele Azure-netwerken.

Azure Private Link-service is de verwijzing naar uw eigen service die wordt mogelijk gemaakt door Azure Private Link. Uw service die wordt uitgevoerd achter Azure Standard Load Balancer, kan worden ingeschakeld voor Private Link-toegang, zodat gebruikers van uw service deze privé kunnen openen vanuit hun eigen VNets. Uw klanten kunnen een privé-eindpunt in hun VNet maken en toewijzen aan deze service. Een Private Link-service ontvangt verbindingen van meerdere privé-eindpunten. Een privé-eindpunt maakt verbinding met één Private Link-service.

Eigenschappen van privé-eindpunt

Voordat u een privé-eindpunt maakt, moet u rekening houden met de eigenschappen van het privé-eindpunt en gegevens verzamelen over specifieke behoeften.

• Een unieke naam met een resourcegroep.
• Een subnet voor het implementeren en toewijzen van privé-IP-adressen vanuit een virtueel netwerk.
• De Private Link-resource om verbinding te maken met behulp van de resource-id of alias, in de lijst met beschikbare typen. Er wordt een unieke netwerk-id gegenereerd voor al het verkeer dat naar deze resource wordt verzonden.
• De subresource om verbinding te maken. Elk Private Link-resourcetype heeft verschillende opties om te selecteren op basis van voorkeur.
• Een automatische of handmatige goedkeuringsmethode voor verbindingen. Op basis van RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure kan uw privé-eindpunt automatisch worden goedgekeurd. Voor de handmatige methode keurt de eigenaar van de resource de verbinding goed.
• Alleen privé-eindpunten met een goedgekeurde status kunnen worden gebruikt om verkeer te verzenden.

Houd ook rekening met het volgende:

• Clients initiëren netwerkverbindingen. Verbindingen kunnen slechts in één richting tot stand worden gebracht.
• Privé-eindpunt heeft een alleen-lezen netwerkinterface voor de levenscyclus van de resource. De interface wordt dynamisch privé-IP-adressen toegewezen vanuit het subnet dat is toegewezen aan de Private Link-resource. De waarde van het privé-IP-adres blijft ongewijzigd gedurende de volledige levenscyclus van het privé-eindpunt.
• Het privé-eindpunt moet worden geïmplementeerd in dezelfde regio en hetzelfde abonnement als het virtuele netwerk.
• De Private Link-resource kan worden geïmplementeerd in een andere regio dan het virtuele netwerk en het privé-eindpunt.
• Er kunnen meerdere privé-eindpunten worden gemaakt met dezelfde Private Link-resource.
• Er kunnen meerdere privé-eindpunten worden gemaakt op dezelfde of verschillende subnetten binnen hetzelfde virtuele netwerk.

Kennis testen

1.

Wat is de belangrijkste technologie achter Private Links?

Privé-eindpunt.

DNS-resolutie.

Virtuele netwerken.

2.

Wat is het verschil tussen een service-eindpunt en een privé-eindpunt?

Een privé-eindpunt maakt verbinding met externe systemen en services.

Een service-eindpunt maakt verbinding met externe systemen en services.

Een service-eindpunt maakt een privé- en beveiligde verbinding mogelijk tussen uw virtuele netwerk en Azure.

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.