Definiowanie usługi Private Link i prywatnego punktu końcowego

Ukończone

Co to jest łącze prywatne platformy Azure?

Usługa Azure Private Link umożliwia dostęp do usług PaaS platformy Azure i hostowanych przez klientów/partnerów platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.

Zanim dowiesz się więcej o usłudze Azure Private Link i jego funkcjach i korzyściach, przyjrzyjmy się problemowi, który ma rozwiązać usługa Private Link.

Firma Contoso ma sieć wirtualną platformy Azure i chcesz nawiązać połączenie z zasobem PaaS, takim jak baza danych Azure SQL Database. Podczas tworzenia takich zasobów zwykle należy określić publiczny punkt końcowy jako metodę łączności.

Posiadanie publicznego punktu końcowego oznacza, że zasób ma przypisany publiczny adres IP. Tak więc, mimo że zarówno sieć wirtualna, jak i baza danych Azure SQL Database znajdują się w chmurze platformy Azure, połączenie między nimi odbywa się za pośrednictwem Internetu.

Chodzi o to, że twoja baza danych Azure SQL Database jest uwidoczniona w Internecie za pośrednictwem publicznego adresu IP. To narażenie powoduje wiele zagrożeń bezpieczeństwa. Te zagrożenia bezpieczeństwa są obecne, gdy dostęp do dowolnego zasobu platformy Azure jest uzyskiwany za pośrednictwem publicznego adresu IP:

• Równorzędna sieć wirtualna platformy Azure.
• Sieć lokalna, która łączy się z platformą Azure przy użyciu usługi ExpressRoute i komunikacji równorzędnej firmy Microsoft.
• Sieć wirtualna platformy Azure klienta, która łączy się z usługą platformy Azure oferowaną przez Twoją firmę.

Usługa Private Link została zaprojektowana tak, aby wyeliminować te zagrożenia bezpieczeństwa przez usunięcie publicznej części połączenia.

Usługa Private Link zapewnia bezpieczny dostęp do usług platformy Azure. Usługa Private Link zapewnia to bezpieczeństwo, zastępując publiczny punkt końcowy zasobu prywatnym interfejsem sieciowym. W przypadku tej nowej architektury należy wziąć pod uwagę trzy kluczowe kwestie:

• Zasób platformy Azure staje się w sensie częścią sieci wirtualnej.
• Połączenie z zasobem używa teraz sieci szkieletowej platformy Microsoft Azure zamiast publicznego Internetu.
• Zasób platformy Azure można skonfigurować tak, aby nie ujawniał już publicznego adresu IP, co eliminuje potencjalne zagrożenie bezpieczeństwa.

Co to jest prywatny punkt końcowy platformy Azure?

Prywatny punkt końcowy to kluczowa technologia usługi Private Link. Prywatny punkt końcowy to interfejs sieciowy, który umożliwia prywatne i bezpieczne połączenie między siecią wirtualną a usługą platformy Azure. Innymi słowy, prywatny punkt końcowy to interfejs sieciowy, który zastępuje publiczny punkt końcowy zasobu.

Usługa Private Link zapewnia bezpieczny dostęp do usług platformy Azure. Usługa Private Link zapewnia to bezpieczeństwo, zastępując publiczny punkt końcowy zasobu prywatnym interfejsem sieciowym. Prywatny punkt końcowy używa prywatnego adresu IP dla usług w sieci wirtualnej.

Czym różni się prywatny punkt końcowy platformy Azure od punktu końcowego usługi?

Prywatne punkty końcowe zapewniają dostęp sieciowy do określonych zasobów za daną usługą zapewniając szczegółową segmentację. Ruch może docierać do zasobu usługi ze środowiska lokalnego bez korzystania z publicznych punktów końcowych.

Punkt końcowy usługi pozostaje publicznie routingowym adresem IP. Prywatny punkt końcowy to prywatny adres IP w przestrzeni adresowej sieci wirtualnej, w której skonfigurowano prywatny punkt końcowy.

Uwaga

Firma Microsoft zaleca korzystanie z usługi Azure Private Link w celu zapewnienia bezpiecznego i prywatnego dostępu do usług hostowanych na platformie Azure.

Co to jest usługa Azure Private Link?

Usługa Private Link zapewnia prywatny dostęp z sieci wirtualnej platformy Azure do usług PaaS i usług partnerskich firmy Microsoft na platformie Azure. Ale co zrobić, jeśli Twoja firma ma własne usługi platformy Azure? Czy można zaoferować tym klientom prywatne połączenie z usługami firmy?

Tak, przy użyciu usługi Azure Private Link. Ta usługa umożliwia oferowanie połączeń usługi Private Link z niestandardowymi usługami platformy Azure. Użytkownicy usług niestandardowych mogą następnie uzyskiwać dostęp do tych usług prywatnie — bez korzystania z Internetu — z własnych sieci wirtualnych platformy Azure.

Usługa Azure Private Link to odwołanie do własnej usługi obsługiwanej przez usługę Azure Private Link. Usługę działającą za standardowym modułem równoważenia obciążenia platformy Azure można włączyć na potrzeby dostępu do usługi Private Link, aby użytkownicy usługi mogli uzyskiwać do niej dostęp prywatnie z własnych sieci wirtualnych. Klienci mogą utworzyć prywatny punkt końcowy w sieci wirtualnej i zamapować go na tę usługę. Usługa Private Link odbiera połączenia z wielu prywatnych punktów końcowych. Prywatny punkt końcowy łączy się z jedną usługą Private Link.

Właściwości prywatnego punktu końcowego

Przed utworzeniem prywatnego punktu końcowego należy rozważyć właściwości prywatnego punktu końcowego i zebrać dane dotyczące konkretnych potrzeb, które należy rozwiązać.

• Unikatowa nazwa z grupą zasobów.
• Podsieć do wdrażania i przydzielania prywatnych adresów IP z sieci wirtualnej.
• Zasób usługi Private Link do nawiązywania połączenia przy użyciu identyfikatora zasobu lub aliasu z listy dostępnych typów. Unikatowy identyfikator sieci jest generowany dla całego ruchu wysyłanego do tego zasobu.
• Podźródło do nawiązania połączenia. Każdy typ zasobu Usługi Private Link ma różne opcje wyboru na podstawie preferencji.
• Metoda automatycznego lub ręcznego zatwierdzania połączenia. Na podstawie uprawnień kontroli dostępu opartej na rolach (RBAC) platformy Azure można automatycznie zatwierdzić prywatny punkt końcowy. W przypadku metody ręcznej właściciel zasobu zatwierdza połączenie.
• Do wysyłania ruchu można używać tylko prywatnych punktów końcowych w stanie zatwierdzonym.

Należy również rozważyć następujące kwestie:

• Klienci inicjują połączenia sieciowe. Połączenia można nawiązywać tylko w jednym kierunku.
• Prywatny punkt końcowy ma interfejs sieciowy tylko do odczytu na potrzeby cyklu życia zasobu. Interfejs jest przypisywany dynamicznie prywatnych adresów IP z podsieci, która mapuje się na zasób usługi Private Link. Wartość prywatnego adresu IP pozostaje niezmieniona dla całego cyklu życia prywatnego punktu końcowego.
• Prywatny punkt końcowy musi zostać wdrożony w tym samym regionie i subskrypcji co sieć wirtualna.
• Zasób usługi Private Link można wdrożyć w innym regionie niż sieć wirtualna i prywatny punkt końcowy.
• Można utworzyć wiele prywatnych punktów końcowych przy użyciu tego samego zasobu usługi Private Link.
• Wiele prywatnych punktów końcowych można utworzyć w tej samej lub różnych podsieciach w tej samej sieci wirtualnej.

Sprawdź swoją wiedzę

1.

Jaka jest kluczowa technologia usługi Private Links?

Prywatny punkt końcowy.

Rozpoznawanie nazw DNS.

Sieci wirtualne.

2.

Jaka jest różnica między punktem końcowym usługi a prywatnym punktem końcowym?

Prywatny punkt końcowy łączy się z zewnętrznymi systemami i usługami.

Punkt końcowy usługi łączy się z zewnętrznymi systemami i usługami.

Punkt końcowy usługi umożliwia prywatne i bezpieczne połączenie między siecią wirtualną a platformą Azure.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.