Udostępnij za pośrednictwem


Obsługa wielu dzierżaw i usługa Azure Private Link

Usługa Azure Private Link udostępnia prywatne adresowanie IP dla usług platformy Azure oraz dla własnych aplikacji hostowanych na maszynach wirtualnych platformy Azure. Za pomocą usługi Private Link można włączyć łączność prywatną ze środowisk platformy Azure dzierżawców. Dzierżawcy mogą również używać usługi Private Link do uzyskiwania dostępu do rozwiązania ze środowisk lokalnych, gdy są one połączone za pośrednictwem wirtualnych bram sieci prywatnej (VPN Gateway) lub Usługi ExpressRoute.

Usługa Azure Private Link jest używana przez wielu dużych dostawców SaaS, w tym Snowflake, Confluent Cloud i MongoDB Atlas.

W tym artykule dowiesz się, jak skonfigurować usługę Private Link dla rozwiązania wielodostępnego hostowanego na platformie Azure.

Najważniejsze zagadnienia

Nakładające się przestrzenie adresowe IP

Usługa Private Link oferuje zaawansowane funkcje dla rozwiązań wielodostępnych, w których dzierżawcy mogą uzyskiwać dostęp do usługi za pośrednictwem prywatnych przestrzeni adresowych.

Różne dzierżawy często używają tych samych lub nakładających się prywatnych przestrzeni adresów IP. Na przykład rozwiązanie wielodostępne może używać przestrzeni adresowej IP .10.1.0.0/16 Załóżmy, że dzierżawa A używa własnej sieci lokalnej z tą samą przestrzenią adresową IP, a przypadkowo dzierżawa B używa również tej samej przestrzeni adresowej IP. Nie można łączyć się bezpośrednio ani łączyć sieci równorzędnych ze sobą, ponieważ zakresy adresów IP nakładają się na siebie.

Jeśli używasz usługi Private Link do włączania łączności między poszczególnymi dzierżawami a rozwiązaniem wielodostępnym, ruch każdej dzierżawy automatycznie ma zastosowane translacja adresów sieciowych (NAT). Każda dzierżawa może używać prywatnego adresu IP we własnej sieci, a ruch przepływa do rozwiązania wielodostępnego w sposób niewidoczny. Usługa Private Link wykonuje translator adresów sieciowych w ruchu, nawet jeśli dzierżawcy i dostawca usług używają nakładających się zakresów adresów IP:

Diagram przedstawiający łączność między dwiema dzierżawami i usługą wielodostępną, z których wszystkie używają tej samej przestrzeni adresowej IP.

Gdy ruch dociera do rozwiązania wielodostępu, został już przetłumaczony. Oznacza to, że ruch wydaje się pochodzić z własnej przestrzeni adresowej IP sieci wirtualnej usługi wielodostępnej. Usługa Private Link udostępnia funkcję protokołu TCP Proxy Protocol w wersji 2 , która umożliwia wielodostępnej usłudze poznanie dzierżawy, która wysłała żądanie, a nawet oryginalny adres IP z sieci źródłowej.

Wybór usługi

W przypadku korzystania z usługi Private Link należy wziąć pod uwagę usługę, z którą chcesz zezwolić na łączność przychodzącą.

Usługa Azure Private Link jest używana z maszynami wirtualnymi za standardowym modułem równoważenia obciążenia.

Możesz również użyć usługi Private Link z innymi usługami platformy Azure. Usługi te obejmują platformy hostingu aplikacji, takie jak aplikacja systemu Azure Service. Obejmują one również aplikacja systemu Azure Gateway lub Azure API Management, które są bramami sieci i interfejsu API.

Używana platforma aplikacji określa wiele aspektów konfiguracji usługi Private Link oraz limity, które mają zastosowanie. Ponadto niektóre usługi nie obsługują usługi Private Link dla ruchu przychodzącego. Zapoznaj się z dokumentacją usług platformy Azure, których używasz, aby zrozumieć ich obsługę usługi Private Link.

Limity

Starannie rozważ liczbę prywatnych punktów końcowych, które można utworzyć na podstawie architektury rozwiązania. Jeśli używasz platformy aplikacji typu platforma jako usługa (PaaS), ważne jest, aby pamiętać o maksymalnej liczbie prywatnych punktów końcowych, które może obsługiwać pojedynczy zasób. Jeśli uruchamiasz maszyny wirtualne, możesz dołączyć wystąpienie usługi Private Link do standardowego modułu równoważenia obciążenia (SLB). W tej konfiguracji zazwyczaj można połączyć większą liczbę prywatnych punktów końcowych, ale nadal obowiązują limity. Te limity mogą określać liczbę dzierżaw, które można połączyć z zasobami przy użyciu usługi Private Link. Zapoznaj się z limitami, limitami przydziałów i ograniczeniami subskrypcji i usług platformy Azure, aby zrozumieć limity liczby punktów końcowych i połączeń.

Ponadto niektóre usługi wymagają wyspecjalizowanej konfiguracji sieci do korzystania z usługi Private Link. Jeśli na przykład używasz usługi Private Link z usługą aplikacja systemu Azure Gateway, musisz aprowizować dedykowaną podsieć, oprócz standardowej podsieci dla zasobu usługi Application Gateway.

Dokładnie przetestuj rozwiązanie, w tym konfigurację wdrożenia i diagnostyki, z włączoną konfiguracją usługi Private Link. Gdy prywatne punkty końcowe są włączone w niektórych usługach platformy Azure, publiczny ruch internetowy jest blokowany. To zachowanie może wymagać zmiany procesów wdrażania i zarządzania.

Możesz zdecydować się na wdrożenie rozwiązania, które będzie dostępne zarówno z Internetu, jak i uwidocznione za pośrednictwem prywatnych punktów końcowych. Na przykład niektóre dzierżawy mogą wymagać łączności prywatnej, podczas gdy inne korzystają z publicznej łączności z Internetem. Weź pod uwagę ogólną topologię sieci i ścieżki, które są zgodne z ruchem każdej dzierżawy.

Jeśli rozwiązanie jest oparte na maszynach wirtualnych, które znajdują się za standardowym modułem równoważenia obciążenia, możesz uwidocznić punkt końcowy za pośrednictwem usługi Private Link. W takim przypadku zapora aplikacji internetowej i routing aplikacji prawdopodobnie są już częścią obciążenia opartego na maszynie wirtualnej.

Wiele usług PaaS platformy Azure obsługuje usługę Private Link na potrzeby łączności przychodzącej, nawet w różnych subskrypcjach platformy Azure i dzierżawach firmy Microsoft Entra. Możesz użyć funkcji usługi Private Link, aby uwidocznić punkt końcowy.

W przypadku korzystania z innych usług internetowych, takich jak Azure Front Door, należy rozważyć, czy obsługują one usługę Private Link dla ruchu przychodzącego. Jeśli tak nie jest, rozważ sposób przepływu ruchu przez każdą ścieżkę do rozwiązania.

Załóżmy na przykład, że tworzysz aplikację internetową działającą w zestawie skalowania maszyn wirtualnych. Usługa Azure Front Door, w tym zapora aplikacji internetowej (WAF), służy do przyspieszania zabezpieczeń i ruchu, a usługa Front Door umożliwia wysyłanie ruchu przez prywatny punkt końcowy do usługi zaplecza (źródła). Dzierżawa A łączy się z rozwiązaniem przy użyciu publicznego punktu końcowego, a dzierżawa B łączy się przy użyciu prywatnego punktu końcowego. Ponieważ usługa Front Door nie obsługuje usługi Private Link dla połączeń przychodzących, ruch dzierżawy B pomija usługę Front Door i jej zaporę aplikacji internetowej:

Diagram przedstawiający żądania przesyłane przez usługę Azure Front Door, a także za pośrednictwem prywatnego punktu końcowego, który pomija usługę Front Door.

Modele izolacji

Usługa Private Link jest przeznaczona do obsługi scenariuszy, w których jedna warstwa aplikacji może być używana przez wielu oddzielnych klientów, takich jak dzierżawy. Jeśli rozważasz izolację usługi Private Link, głównym problemem jest liczba zasobów, które należy wdrożyć w celu obsługi wymagań. Modele izolacji dzierżawy, których można używać dla usługi Private Link, zależą od używanej usługi.

Jeśli używasz usługi Private Link z maszynami wirtualnymi za standardowym modułem równoważenia obciążenia, możesz rozważyć kilka modeli izolacji.

Kwestie wymagające rozważenia Udostępniona usługa Private Link i współużytkowany moduł równoważenia obciążenia Dedykowana usługa Private Link i dedykowany moduł równoważenia obciążenia Dedykowana usługa Private Link i współużytkowany moduł równoważenia obciążenia
Złożoność wdrożenia Niski Średni poziom w zależności od liczby dzierżaw Średni poziom w zależności od liczby dzierżaw
Złożoność operacyjna Niski Średni poziom w zależności od liczby zasobów Średni poziom w zależności od liczby zasobów
Limity do rozważenia Liczba prywatnych punktów końcowych w tej samej usłudze Private Link Liczba usług Private Link na subskrypcję Liczba usług Private Link na standardowy moduł równoważenia obciążenia
Przykładowy scenariusz Duże rozwiązanie wielodostępne z udostępnioną warstwą aplikacji Oddzielne sygnatury wdrożenia dla każdej dzierżawy Warstwa aplikacji udostępnionej w jednej sygnaturze z dużą liczbą dzierżaw

We wszystkich trzech modelach poziom izolacji i wydajności danych zależy od innych elementów rozwiązania, a wdrożenie usługi Private Link nie ma istotnego wpływu na te czynniki.

Możesz rozważyć wdrożenie udostępnionej usługi Private Link połączonej ze standardowym modułem równoważenia obciążenia. Każda dzierżawa może utworzyć prywatny punkt końcowy i użyć go do nawiązania połączenia z rozwiązaniem.

Pojedyncze wystąpienie usługi Private Link obsługuje dużą liczbę prywatnych punktów końcowych. Jeśli limit zostanie wyczerpany, możesz wdrożyć więcej wystąpień usługi Private Link, chociaż istnieją również limity liczby usług Private Link, które można wdrożyć w jednym module równoważenia obciążenia. Jeśli spodziewasz się, że dotrzesz do tych limitów, rozważ użycie podejścia opartego na sygnaturach wdrażania i wdrożenie współużytkowanych modułów równoważenia obciążenia i wystąpień usługi Private Link do każdej sygnatury.

Możesz wdrożyć dedykowaną usługę Private Link i dedykowany moduł równoważenia obciążenia dla każdej dzierżawy. Takie podejście ma sens, gdy masz dedykowany zestaw maszyn wirtualnych dla każdej dzierżawy, na przykład gdy dzierżawcy mają ścisłe wymagania dotyczące zgodności.

Można również wdrożyć dedykowane wystąpienia usługi Private Link dla każdej dzierżawy przy użyciu współużytkowanego standardowego modułu równoważenia obciążenia. Jednak ten model jest mało prawdopodobne, aby zapewnić wiele korzyści. Ponadto, ponieważ istnieje limit liczby usług Private Link, które można wdrożyć w jednym standardowym module równoważenia obciążenia, ten model nie może być skalowany poza małe rozwiązanie wielodostępne.

Częściej można wdrożyć wiele udostępnionych usług Private Link. Takie podejście umożliwia rozszerzenie liczby prywatnych punktów końcowych, które rozwiązanie może obsługiwać w jednym udostępnionym module równoważenia obciążenia.

Modele izolacji dla usług PaaS platformy Azure z prywatnymi punktami końcowymi

Podczas wdrażania usług Platformy jako usługi (PaaS) platformy Azure i umożliwienia dzierżawcom uzyskiwania dostępu do tych usług z prywatnymi punktami końcowymi należy wziąć pod uwagę możliwości i ograniczenia określonej usługi. Ponadto należy rozważyć, czy zasoby warstwy aplikacji są przeznaczone dla określonej dzierżawy, czy też są współużytkowane przez dzierżawy.

W przypadku wdrożenia dedykowanego zestawu zasobów warstwy aplikacji dla każdej dzierżawy prawdopodobnie można wdrożyć jeden prywatny punkt końcowy dla tej dzierżawy, który będzie używany do uzyskiwania dostępu do zasobów. Jest mało prawdopodobne, że wyczerpniesz limity usług związanych z usługą Private Link, ponieważ każda dzierżawa ma własne zasoby przeznaczone dla nich.

Podczas udostępniania zasobów warstwy aplikacji między dzierżawami można rozważyć wdrożenie prywatnego punktu końcowego dla każdej dzierżawy. Istnieją limity liczby prywatnych punktów końcowych, które można dołączyć do jednego zasobu, a te limity są różne dla każdej usługi.

Usługa Private Link ma kilka funkcji, które są przydatne w środowisku wielodostępnym. Jednak konkretne dostępne funkcje zależą od używanej usługi. Podstawowa usługa Azure Private Link dla maszyn wirtualnych i modułów równoważenia obciążenia obsługuje wszystkie funkcje opisane poniżej. Inne usługi z obsługą usługi Private Link mogą udostępniać tylko podzbiór tych funkcji.

Aliasy usługi

Gdy dzierżawa konfiguruje dostęp do usługi przy użyciu usługi Private Link, musi być w stanie zidentyfikować usługę, aby platforma Azure mogła nawiązać połączenie.

Usługa Private Link i niektóre inne usługi platformy Azure zgodne z usługą Private Link umożliwiają skonfigurowanie aliasu podanego w dzierżawach. Korzystając z aliasu, należy unikać ujawniania identyfikatorów subskrypcji platformy Azure i nazw grup zasobów.

Widoczność usługi

Usługa Private Link umożliwia kontrolowanie widoczności prywatnego punktu końcowego. Możesz zezwolić wszystkim klientom platformy Azure na łączenie się z usługą, jeśli znają jej alias lub identyfikator zasobu. Alternatywnie możesz ograniczyć dostęp tylko do zestawu znanych klientów platformy Azure.

Można również określić zestaw wstępnie zatwierdzonych identyfikatorów subskrypcji platformy Azure, które mogą łączyć się z prywatnym punktem końcowym. Jeśli zdecydujesz się użyć tego podejścia, rozważ zbieranie i autoryzowanie identyfikatorów subskrypcji. Na przykład możesz podać interfejs użytkownika administracji w aplikacji w celu zbierania identyfikatora subskrypcji dzierżawy. Następnie można dynamicznie ponownie skonfigurować wystąpienie usługi Private Link, aby wstępnie zatwierdzić ten identyfikator subskrypcji dla połączeń.

Zatwierdzenia połączeń

Po zażądaniu połączenia między klientem (takim jak dzierżawa) i prywatnym punktem końcowym usługa Private Link wymaga zatwierdzenia połączenia. Dopóki połączenie nie zostanie zatwierdzone, ruch nie będzie mógł przepływać przez połączenie prywatnego punktu końcowego.

Usługa Private Link obsługuje kilka typów przepływów zatwierdzania, w tym:

  • Zatwierdzanie ręczne, w którym zespół jawnie zatwierdza każde połączenie. Takie podejście jest opłacalne, jeśli masz tylko kilka dzierżaw, którzy korzystają z usługi za pośrednictwem usługi Private Link.
  • Zatwierdzenie oparte na interfejsie API, w którym usługa Private Link traktuje połączenie jako wymagające ręcznego zatwierdzenia, a aplikacja używa interfejsu API aktualizacji prywatnego punktu końcowego, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell do zatwierdzania połączenia. Takie podejście może być przydatne, gdy masz listę dzierżaw, które zostały autoryzowane do korzystania z prywatnych punktów końcowych.
  • Automatyczne zatwierdzanie, w którym sama usługa Private Link przechowuje listę identyfikatorów subskrypcji, które powinny automatycznie zatwierdzać połączenia.

Aby uzyskać więcej informacji, zobacz Kontrola dostępu do usługi.

Protokół proxy w wersji 2

W przypadku korzystania z usługi Private Link aplikacja domyślnie ma widoczność tylko adresu IP, który był za pośrednictwem translatora adresów sieciowych (NAT). To zachowanie oznacza, że ruch wydaje się przepływać z własnej sieci wirtualnej.

Usługa Private Link umożliwia uzyskanie dostępu do oryginalnego adresu IP klienta w sieci wirtualnej dzierżawy. Ta funkcja używa protokołu TCP Proxy w wersji 2.

Załóżmy na przykład, że administratorzy dzierżawy muszą dodać ograniczenia dostępu oparte na adresach IP, takie jak host 10.0.0.10 może uzyskać dostęp do usługi, ale host 10.0.0.20 nie może. W przypadku korzystania z protokołu proxy w wersji 2 możesz zezwolić dzierżawcom na konfigurowanie tego typu ograniczeń dostępu w aplikacji. Jednak kod aplikacji musi sprawdzić oryginalny adres IP klienta i wymusić ograniczenia.

  • Wyjaśnienie i pokazy usługi Azure Private Link od dostawcy (ISV) i konsumentów: film wideo przedstawiający funkcję usługi Azure Private Link, która umożliwia dostawcom usług wielodostępnych (na przykład niezależnym dostawcom oprogramowania tworzącym produkty SaaS). To rozwiązanie umożliwia konsumentom dostęp do usługi dostawcy przy użyciu prywatnych adresów IP z własnych sieci wirtualnych platformy Azure użytkownika.
  • Protokół serwera proxy TCP w wersji 2 z usługą Azure Private Link — szczegółowe omówienie: wideo przedstawiające szczegółowe omówienie protokołu TCP Proxy Protocol v2, który jest zaawansowaną funkcją usługi Azure Private Link. Jest to przydatne w scenariuszach wielodostępnych i SaaS. W filmie wideo pokazano, jak włączyć protokół proxy w wersji 2 w usłudze Azure Private Link. Pokazano również, jak skonfigurować usługę NGINX w celu odczytu źródłowego prywatnego adresu IP oryginalnego klienta, a nie adresu IP translatora adresów sieciowych, aby uzyskać dostęp do usługi za pośrednictwem prywatnego punktu końcowego.
  • Używanie serwera NGINX Plus do dekodowania protokołu proxy TLV linkIdentifier z usługi Azure Private Link: wideo przedstawiające sposób użycia serwera proxy NGINX Plus w celu pobrania protokołu TCP Proxy Protocol v2 TLV z usługi Azure Private Link. Wideo pokazuje, jak można następnie wyodrębnić i zdekodować liczbowe linkIdentifier, nazywane również LINKID, połączenia prywatnego punktu końcowego. To rozwiązanie jest przydatne w przypadku dostawców wielodostępnych, którzy muszą zidentyfikować konkretną dzierżawę konsumenta, z której nawiązano połączenie.
  • Wzorzec łączności prywatnej SaaS: przykładowe rozwiązanie ilustrujące jedno podejście do automatyzowania zatwierdzania połączeń prywatnych punktów końcowych przy użyciu aplikacji zarządzanych platformy Azure.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Autorzy zabezpieczeń:

Inny współautor:

  • Sumeet Mittal | Główny menedżer produktu, usługa Azure Private Link

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Zapoznaj się z metodami sieci dotyczącymi wielodostępności.