Private Link
O que é o Azure Private Endpoint e o Azure Private Link Service?
- Ponto de Extremidade Privado do Azure: o Ponto de Extremidade Privado do Azure é uma interface de rede que o conecta de forma privada e segura a um serviço desenvolvido pelo Azure Private Link. Você pode usar Pontos de Extremidade Privados para se conectar a um serviço PaaS do Azure que ofereça suporte ao Link Privado ou ao seu próprio Serviço de Link Privado.
- Serviço de Link Privado do Azure: o serviço de Link Privado do Azure é um serviço criado por um provedor de serviços. Atualmente, um serviço de Link Privado pode ser anexado à configuração IP frontend de um Balanceador de Carga Padrão.
Como o tráfego está sendo enviado ao usar o Private Link?
O tráfego é enviado de forma privada usando o backbone da Microsoft. Não atravessa a internet. O Azure Private Link não armazena dados do cliente.
Qual é a diferença entre Pontos de Extremidade de Serviço e Pontos de Extremidade Privados?
- Os endpoints privados concedem acesso à rede a recursos específicos por trás de um determinado serviço, fornecendo segmentação granular. O tráfego pode chegar ao recurso de serviço a partir do local sem usar pontos de extremidade públicos.
- Um ponto de extremidade de serviço continua sendo um endereço IP roteável publicamente. Um ponto de extremidade privado é um IP privado no espaço de endereço da rede virtual onde o ponto de extremidade privado está configurado.
Qual é a relação entre o Private Link Service e o Private Endpoint?
Vários tipos de recursos de link privado suportam o acesso por meio de pontos de extremidade privados. Os recursos incluem serviços de PaaS do Azure e seu próprio Serviço de Link Privado. É uma relação um-para-muitos.
Um serviço de Link Privado recebe conexões de vários Pontos de Extremidade Privados. Um ponto de extremidade privado se conecta a um Serviço de Link Privado.
Preciso desativar as políticas de rede para o Private Link?
Sim. O Serviço de Link Privado precisa desabilitar as políticas de rede para funcionar corretamente.
Posso usar apenas para Rotas Definidas pelo Usuário, somente Grupos de Segurança de Rede ou para ambos para Ponto de Extremidade Privado?
Sim. Para utilizar políticas como Rotas Definidas pelo Usuário e Grupos de Segurança de Rede, você precisa habilitar políticas de Rede para uma sub-rede em uma rede virtual para o Ponto de Extremidade Privado. Essa configuração afeta todos os pontos de extremidade privados dentro da sub-rede.
Ponto Final Privado
Posso criar vários pontos de extremidade privados na mesma rede virtual? Eles podem se conectar a diferentes serviços?
Sim. Você pode ter vários pontos de extremidade privados na mesma rede virtual ou sub-rede. Eles podem se conectar a diferentes serviços.
Podemos vincular várias zonas DNS privadas com o mesmo nome?
Não, não há suporte para a criação de várias zonas com o mesmo nome para uma única rede virtual.
Necessito de uma sub-rede dedicada para Terminais Privados?
N.º Você não precisa de uma sub-rede dedicada para pontos de extremidade privados. Você pode escolher um IP de ponto de extremidade privado de qualquer sub-rede da rede virtual onde seu serviço é implantado.
Um ponto de extremidade privado pode se conectar a serviços de Link Privado entre locatários do Microsoft Entra?
Sim. Os pontos de extremidade privados podem se conectar a serviços de Link Privado ou a um PaaS do Azure entre locatários do Microsoft Entra. Os pontos de extremidade privados entre locatários exigem uma aprovação de solicitação manual.
O Ponto de Extremidade Privado pode se conectar aos recursos de PaaS do Azure em todas as regiões do Azure?
Sim. Os Pontos de Extremidade Privados podem se conectar aos recursos de PaaS do Azure em todas as regiões do Azure.
Posso modificar minha placa de interface de rede (NIC) privada de ponto final?
Quando um ponto de extremidade privado é criado, uma NIC somente leitura é atribuída. A NIC não pode ser modificada e permanecerá durante o ciclo de vida do ponto de extremidade Privado.
Como faço para obter disponibilidade ao usar o Private Endpoint se houver falhas regionais?
Os Pontos de Extremidade Privados são recursos altamente disponíveis com um SLA de acordo com o SLA do Azure Private Link. No entanto, como são recursos regionais, qualquer interrupção de região do Azure pode afetar a disponibilidade. Para obter disponibilidade se houver falhas regionais, várias PEs conectadas ao mesmo recurso de destino podem ser implantadas em regiões diferentes. Dessa forma, se uma região ficar inativa, você ainda poderá rotear o tráfego para seus cenários de recuperação por meio de PE em região diferente para acessar o recurso de destino. Para obter informações sobre como as falhas regionais são tratadas no lado do serviço de destino, consulte a documentação do serviço sobre failover e recuperação. O tráfego de Link Privado segue a resolução DNS do Azure para o ponto de extremidade de destino.
Como faço para obter disponibilidade ao usar pontos de extremidade privados se houver falhas na zona de disponibilidade?
Os Pontos de Extremidade Privados são recursos altamente disponíveis com um SLA de acordo com o SLA do Azure Private Link. Os Pontos de Extremidade Privados são agnósticos em relação à zona: uma falha na zona de disponibilidade na região do Ponto de Extremidade Privado não afetará a disponibilidade do Ponto de Extremidade Privado.
Os endpoints privados suportam tráfego ICMP?
O tráfego TCP e UDP só é suportado para um ponto de extremidade privado. Para obter mais informações, consulte Limitações de Link privado.
Serviço de Ligação Privada
Quais são os pré-requisitos para criar um Serviço de Link Privado?
Seus back-ends de serviço devem estar em uma rede virtual e atrás de um balanceador de carga padrão.
Como posso dimensionar o meu serviço Private Link?
Você pode dimensionar seu Serviço de Link Privado de algumas maneiras diferentes:
- Adicionar VMs de back-end ao pool por trás do seu Standard Load Balancer
- Adicione um IP ao Serviço de Link Privado. Permitimos até 8 IPs por Serviço de Link Privado.
- Adicione o novo Serviço de Link Privado ao Balanceador de Carga Padrão. Permitimos até oito Serviços de Link Privado por Balanceador de Carga Padrão.
Qual é a configuração de IP NAT (Network Address Translation) usada no Private Link Service? Como posso dimensionar em termos de portas e conexões disponíveis?
- A configuração NAT IP garante que o espaço de endereçamento de origem (consumidor) e destino (provedor de serviços) não tenha conflitos de IP. A configuração fornece NAT de origem para o tráfego de link privado para o destino. O endereço IP NAT aparece como IP de origem para todos os pacotes recebidos pelo seu serviço e IP de destino para todos os pacotes enviados pelo seu serviço. NAT IP pode ser escolhido a partir de qualquer sub-rede na rede virtual de um provedor de serviços.
- Cada IP NAT fornece conexões TCP de 64k (portas de 64k) por VM atrás do Balanceador de Carga Padrão. Para dimensionar e adicionar mais conexões, você pode adicionar novos IPs NAT ou adicionar mais VMs por trás do Balanceador de Carga Padrão. Isso dimensiona a disponibilidade da porta e permite mais conexões. As conexões são distribuídas entre IPs NAT e VMs por trás do Balanceador de Carga Padrão.
Posso ligar o meu serviço a vários Terminais Privados?
Sim. Um Serviço de Link Privado pode receber conexões de vários Pontos de Extremidade Privados. No entanto, um ponto de extremidade privado só pode se conectar a um serviço de link privado.
Como devo controlar a exposição do meu Serviço de Link Privado?
Você pode controlar a exposição usando a configuração de visibilidade no serviço Private Link. A visibilidade suporta três configurações:
- Nenhum - Somente assinaturas com acesso baseado em função podem localizar o serviço.
- Restritiva - Somente assinaturas aprovadas e com acesso baseado em função podem localizar o serviço.
- Todos - Todos podem localizar o serviço.
Posso criar um serviço Private Link com o Basic Load Balancer?
N.º O Serviço de Link Privado sobre um Balanceador de Carga Básico não é suportado.
É necessária uma sub-rede dedicada para o Serviço de Link Privado?
N.º Uma sub-rede dedicada não é necessária para o Serviço de Link Privado. Você pode escolher qualquer sub-rede em sua rede virtual onde o serviço é implantado.
Sou um provedor de serviços usando o Azure Private Link. Preciso garantir que todos os meus clientes tenham espaço IP exclusivo e não se sobreponham ao meu espaço IP?
N.º O Azure Private Link fornece essa funcionalidade para você. Não é necessário ter espaço de endereço não sobreposto com o espaço de endereçamento do cliente.
Próximos passos
- Saiba mais sobre o Azure Private Link