Privé-eindpunten plannen en implementeren
Een privé-eindpunt is een netwerkinterface die gebruikmaakt van een privé-IP-adres van uw virtuele netwerk. Deze netwerkinterface maakt privé en op een veilige manier verbinding met een service die door Azure Private Link mogelijk wordt gemaakt. Door een privé-eindpunt in te schakelen, brengt u de service naar uw virtuele netwerk.
De service kan een Azure-service zijn, zoals:
- Azure Storage
- Azure Cosmos DB
- Azure SQL-database
- Uw eigen service met behulp van de Private Link-service.
Eigenschappen van privé-eindpunt
Een privé-eindpunt geeft de volgende eigenschappen op:
| Eigenschappen | Beschrijving |
|---|---|
| Naam | Een unieke naam binnen de resourcegroep. |
| Subnet | Het subnet dat moet worden geïmplementeerd, waarbij het privé-IP-adres is toegewezen. |
| Private Link-resource | De private link-resource om verbinding te maken met behulp van een resource-id of alias, in de lijst met beschikbare typen. Er wordt een unieke netwerk-id gegenereerd voor al het verkeer dat naar deze resource wordt verzonden. |
| Subresource van doel | De subresource om verbinding te maken. Elk resourcetype private-link heeft verschillende opties die u kunt selecteren op basis van voorkeur. |
| Goedkeuringsmethode voor verbinding | Automatisch of handmatig. Afhankelijk van de machtigingen voor op rollen gebaseerd toegangsbeheer van Azure, kan uw privé-eindpunt automatisch worden goedgekeurd. Als u verbinding maakt met een private link-resource zonder machtigingen op basis van rollen in Azure, gebruikt u de handmatige methode om de eigenaar van de resource toestemming te geven voor het goedkeuren van de verbinding. |
| Bericht aanvragen | U kunt een bericht opgeven voor aangevraagde verbindingen die handmatig moeten worden goedgekeurd. Dit bericht kan worden gebruikt om een specifieke aanvraag te identificeren. |
| Verbindingsstatus | Een alleen-lezen eigenschap die aangeeft of het privé-eindpunt actief is. Alleen privé-eindpunten met een goedgekeurde status kunnen worden gebruikt om verkeer te verzenden. Meer beschikbare statussen: Goedgekeurd: De verbinding is automatisch of handmatig goedgekeurd en kan worden gebruikt. In behandeling: de verbinding is handmatig gemaakt en is in behandeling door de eigenaar van de private-link-resource. Geweigerd: de verbinding is geweigerd door de eigenaar van de private-link-resource. Verbinding verbroken: de verbinding is verwijderd door de eigenaar van de private-link-resource. Het privé-eindpunt wordt informatief en moet worden verwijderd voor het opschonen. |
Houd rekening met het volgende wanneer u privé-eindpunten maakt:
Privé-eindpunten maken connectiviteit mogelijk tussen de klanten van hetzelfde:
- Virtueel netwerk
- Regionaal gekoppelde virtuele netwerken
- Wereldwijd gekoppelde virtuele netwerken
- On-premises omgevingen die gebruikmaken van VPN of Express Route
- Services die worden aangedreven door Private Link
- Virtueel netwerk
Netwerkverbindingen kunnen alleen worden gestart door clients die verbinding maken met het privé-eindpunt. Serviceproviders hebben geen routeringsconfiguratie om verbindingen met serviceklanten te maken. Verbindingen kunnen slechts in één richting tot stand worden gebracht.
Er wordt automatisch een alleen-lezen netwerkinterface gemaakt voor de levenscyclus van het privé-eindpunt. Aan de interface wordt een dynamisch privé-IP-adres toegewezen vanuit het subnet dat is toegewezen aan de private-link-resource. De waarde van het privé-IP-adres blijft ongewijzigd gedurende de volledige levenscyclus van het privé-eindpunt.
Het privé-eindpunt moet worden geïmplementeerd in dezelfde regio en hetzelfde abonnement als het virtuele netwerk.
De private-link-resource kan worden geïmplementeerd in een andere regio dan de resource voor het virtuele netwerk en het privé-eindpunt.
Er kunnen meerdere privé-eindpunten worden gemaakt met dezelfde private link-resource. Voor één netwerk met behulp van een algemene DNS-serverconfiguratie is het raadzaam om één privé-eindpunt te gebruiken voor een opgegeven private-link-resource. Gebruik deze procedure om dubbele vermeldingen of conflicten in DNS-omzetting te voorkomen.
Er kunnen meerdere privé-eindpunten worden gemaakt op dezelfde of verschillende subnetten binnen hetzelfde virtuele netwerk. Er gelden limieten voor het aantal privé-eindpunten dat u in een abonnement kunt maken.
Het abonnement dat de private link-resource bevat, moet worden geregistreerd bij de Microsoft-netwerkresourceprovider. Het abonnement dat het privé-eindpunt bevat, moet ook worden geregistreerd bij de Microsoft-netwerkresourceprovider.
Netwerkbeveiliging van privé-eindpunten
Wanneer u privé-eindpunten gebruikt, wordt verkeer beveiligd met een private link-resource. Het platform valideert netwerkverbindingen, zodat alleen de verbindingen die de opgegeven private-link-resource bereiken, zijn toegestaan. Voor toegang tot meer subresources binnen dezelfde Azure-service zijn meer privé-eindpunten met bijbehorende doelen vereist. In het geval van Azure Storage hebt u bijvoorbeeld afzonderlijke privé-eindpunten nodig voor toegang tot het bestand en de blob-subresources.
Privé-eindpunten bieden een privé-toegankelijk IP-adres voor de Azure-service, maar beperken niet noodzakelijkerwijs de toegang tot het openbare netwerk. Voor alle andere Azure-services zijn echter aanvullende besturingselementen voor toegang vereist. Deze besturingselementen bieden een extra netwerkbeveiligingslaag voor uw resources, waardoor beveiliging wordt geboden om toegang tot de Azure-service te voorkomen die is gekoppeld aan de private-link-resource.
Privé-eindpunten ondersteunen netwerkbeleid. Netwerkbeleid maakt ondersteuning mogelijk voor netwerkbeveiligingsgroepen (NSG), door de gebruiker gedefinieerde routes (UDR) en toepassingsbeveiligingsgroepen (ASG).
Via een privé-eindpuntverbinding kan de eigenaar van een private-link-resource het volgende doen:
- Bekijk alle details van de privé-eindpuntverbinding.
- Een privé-eindpuntverbinding goedkeuren. Het bijbehorende privé-eindpunt is ingeschakeld voor het verzenden van verkeer naar de private-link-resource.
- Een privé-eindpuntverbinding weigeren. Het bijbehorende privé-eindpunt wordt bijgewerkt om de status weer te geven.
- Verwijder een privé-eindpuntverbinding in elke status. Het bijbehorende privé-eindpunt wordt bijgewerkt met een niet-verbonden status om de actie weer te geven. De eigenaar van het privé-eindpunt kan op dit moment alleen de resource verwijderen.
Toegang tot een private-link-resource met behulp van een goedkeuringswerkstroom
U kunt verbinding maken met een private link-resource met behulp van de volgende methoden voor goedkeuring van verbindingen:
Automatisch goedkeuren: gebruik deze methode wanneer u de eigenaar bent of machtigingen hebt voor de specifieke private-link-resource. De vereiste machtigingen zijn gebaseerd op het resourcetype private-link in de volgende indeling:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
Handmatig aanvragen: gebruik deze methode wanneer u niet over de vereiste machtigingen beschikt en toegang wilt aanvragen. Er wordt een goedkeuringswerkstroom geïnitieerd. Het privé-eindpunt en latere privé-eindpuntverbindingen worden gemaakt in de status In behandeling . De eigenaar van de private-link-resource is verantwoordelijk voor het goedkeuren van de verbinding. Nadat het is goedgekeurd, is het privé-eindpunt ingeschakeld om normaal verkeer te verzenden, zoals wordt weergegeven in het volgende werkstroomdiagram voor goedkeuring:
Via een privé-eindpuntverbinding kan de eigenaar van een private-link-resource het volgende doen:
- Bekijk alle details van de privé-eindpuntverbinding.
- Een privé-eindpuntverbinding goedkeuren. Het bijbehorende privé-eindpunt is ingeschakeld voor het verzenden van verkeer naar de private-link-resource.
- Een privé-eindpuntverbinding weigeren. Het bijbehorende privé-eindpunt wordt bijgewerkt om de status weer te geven.
- Verwijder een privé-eindpuntverbinding in elke status. Het bijbehorende privé-eindpunt wordt bijgewerkt met een niet-verbonden status om de actie weer te geven. De eigenaar van het privé-eindpunt kan op dit moment alleen de resource verwijderen.
Notitie
Alleen privé-eindpunten met een goedgekeurde status kunnen verkeer verzenden naar een opgegeven private-link-resource.
Verbinding maken met behulp van een alias
Een alias is een unieke moniker die wordt gegenereerd wanneer een service-eigenaar een private link-service achter een standaard load balancer maakt. Service-eigenaren kunnen deze alias offline delen met consumenten van uw service.
De consumenten kunnen een verbinding met een private-link-service aanvragen met behulp van de URI (Resource Uniform Resource Identifier) of de alias. Als u verbinding wilt maken met behulp van de alias, maakt u een privé-eindpunt met behulp van de handmatige goedkeuringsmethode voor de verbinding. Als u de handmatige goedkeuringsmethode voor verbindingen wilt gebruiken, stelt u de handmatige aanvraagparameter in op True tijdens het maken van het privé-eindpunt.
Notitie
Deze handmatige aanvraag kan automatisch worden goedgekeurd als het abonnement van de consument wordt toegestaan aan de providerzijde.
DNS-configuratie
De DNS-instellingen die u gebruikt om verbinding te maken met een private-link-resource zijn belangrijk. Bestaande Azure-services hebben mogelijk al een DNS-configuratie die u kunt gebruiken wanneer u verbinding maakt via een openbaar eindpunt. Als u via een privé-eindpunt verbinding wilt maken met dezelfde service, zijn afzonderlijke DNS-instellingen, vaak geconfigureerd via privé-DNS-zones, vereist. Zorg ervoor dat uw DNS-instellingen juist zijn wanneer u de FQDN (Fully Qualified Domain Name) voor de verbinding gebruikt. De instellingen moeten worden omgezet in het privé-IP-adres van het privé-eindpunt.
De netwerkinterface die is gekoppeld aan het privé-eindpunt bevat de informatie die nodig is om uw DNS te configureren. De informatie bevat de FQDN en het privé-IP-adres voor een private-link-resource.
Beperkingen
De volgende informatie bevat de bekende beperkingen voor het gebruik van privé-eindpunten:
Statisch IP-adres
| Beperking | Beschrijving |
|---|---|
| Configuratie van statische IP-adressen wordt momenteel niet ondersteund. | Azure Kubernetes Service (AKS) Azure Application Gateway HDInsight Recovery Services-kluizen Private Link-services van derden |
Netwerkbeveiligingsgroep
| Beperking | Beschrijving |
|---|---|
| Effectieve routes en beveiligingsregels zijn niet beschikbaar voor de netwerkinterface van privé-eindpunten. | Effectieve routes en beveiligingsregels worden niet weergegeven voor de privé-eindpunt-NIC in Azure Portal. |
| NSG-stroomlogboeken worden niet ondersteund. | NSG-stroomlogboeken zijn niet beschikbaar voor binnenkomend verkeer dat is bestemd voor een privé-eindpunt. |
| Maximaal 50 leden in een toepassingsbeveiligingsgroep. | Vijftig is het aantal IP-configuraties dat kan worden gekoppeld aan elke respectieve ASG die is gekoppeld aan de NSG op het subnet van het privé-eindpunt. Verbindingsfouten kunnen optreden met meer dan 50 leden. |
| Doelpoortbereiken worden ondersteund tot een factor van 250 K. | Doelpoortbereiken worden ondersteund als een vermenigvuldigende SourceAddressPrefixes, DestinationAddressPrefixes en DestinationPortRanges. Voorbeeld van een regel voor inkomend verkeer: Eén bron * één bestemming * 4K portRanges = 4K Geldig 10 bronnen * 10 bestemmingen * 10 portRanges = 1 K Geldig 50 bronnen * 50 bestemmingen * 50 portRanges = 125 K Geldig 50 bronnen * 50 bestemmingen * 100 portRanges = 250 K Geldig 100 bronnen * 100 bestemmingen * 100 portRanges = 1M Ongeldig, NSG heeft te veel bronnen/bestemmingen/poorten. |
| Bronpoortfiltering. | Filteren van bronpoorten wordt niet actief gebruikt als geldig scenario voor het filteren van verkeer voor verkeer dat is bestemd voor een privé-eindpunt. |
| Functie is niet beschikbaar in bepaalde regio's. | Momenteel niet beschikbaar in de volgende regio's: India - west Australië - centraal 2 Zuid-Afrika - west Brazilië - zuidoost Alle Government-regio's Alle Chinese regio's |
NSG meer overwegingen
Uitgaand verkeer dat is geweigerd vanuit een privé-eindpunt is geen geldig scenario, omdat de serviceprovider geen verkeer kan genereren.
Voor de volgende services moeten mogelijk alle doelpoorten zijn geopend wanneer u een privé-eindpunt gebruikt en NSG-beveiligingsfilters toevoegt:
- Azure Cosmos DB
- Azure Cosmos DB
UDR
| Beperking | Beschrijving |
|---|---|
| SNAT wordt altijd aanbevolen. | Vanwege de variabele aard van het gegevensvlak van het privé-eindpunt wordt het aanbevolen om SNAT-verkeer dat is bestemd voor een privé-eindpunt, te gebruiken om ervoor te zorgen dat retourverkeer wordt gehonoreerd. |
| Functie is niet beschikbaar in bepaalde regio's. | Momenteel niet beschikbaar in de volgende regio's: India - west Australië - centraal 2 Zuid-Afrika - west Brazilië - zuidoost |
Toepassingsbeveiligingsgroep
| Beperking | Beschrijving |
|---|---|
| Functie is niet beschikbaar in bepaalde regio's. | Momenteel niet beschikbaar in de volgende regio's: India - west Australië - centraal 2 Zuid-Afrika - west Brazilië - zuidoost |