Определение службы "Приватный канал" и частной конечной точки

12 мин

Что собой представляет Приватный канал Azure?

Приватный канал Azure обеспечивает доступ к службам PaaS Azure и к размещенным в Azure службам клиентов или партнеров через частную конечную точку виртуальной сети.

Прежде чем вы узнаете о Приватном канале Azure, его возможностях и преимуществах, давайте рассмотрим проблему, которую можно решить с помощью Приватного канала.

Компания Contoso имеет виртуальную сеть Azure, и вы хотите подключиться к ресурсу PaaS, например к базе данных SQL Azure. При создании таких ресурсов в качестве метода подключения обычно указывается общедоступная конечная точка.

Наличие общедоступной конечной точки означает, что ресурсу назначается общедоступный IP-адрес. Таким образом, несмотря на то что виртуальная сеть и база данных SQL Azure находятся в облаке Azure, подключение между ними выполняется через Интернет.

Проблема заключается в том, что база данных SQL Azure предоставляется в Интернете через его общедоступный IP-адрес. Эта уязвимость создает несколько рисков безопасности. Эти риски безопасности возникают, когда доступ к любому ресурсу Azure осуществляется через общедоступный IP-адрес из:

Одноранговая виртуальная сеть Azure.
Локальная сеть, которая подключается к Azure с помощью ExpressRoute и пиринга Майкрософт.
Виртуальная сеть Azure клиента, которая подключается к службе Azure, предлагаемой вашей компанией.

Схема, показывающая частную конечную точку и зону приватного канала.

Приватный канал предназначен для устранения этих угроз безопасности путем удаления общедоступного компонента подключения.

Приватный канал обеспечивает безопасный доступ к службам Azure. Приватный канал гарантирует безопасность, заменяя общедоступную конечную точку ресурса частным сетевым интерфейсом. В этой новой архитектуре следует обратить внимание на три основных аспекта:

ресурс Azure становится в некотором смысле частью виртуальной сети;
для подключения к ресурсу теперь используется магистральная сеть Microsoft Azure, а не общедоступный Интернет;
вы можете настроить ресурс Azure так, чтобы он больше не предоставлял общедоступный IP-адрес, что устранит потенциальную угрозу безопасности.

Что такое частная конечная точка Azure

Частная конечная точка — это ключевая технология, служащая основой для Приватного канала. Частная конечная точка — это сетевой интерфейс, обеспечивающий частное и безопасное подключение между вашей виртуальной сетью и службой Azure. Иными словами, частная конечная точка — это сетевой интерфейс, который заменяет общедоступную конечную точку ресурса.

Приватный канал обеспечивает безопасный доступ к службам Azure. Приватный канал гарантирует безопасность, заменяя общедоступную конечную точку ресурса частным сетевым интерфейсом. Частная конечная точка использует частный IP-адрес для служб в виртуальной сети.

Чем частная конечная точка Azure отличается от конечной точки службы?

Частные конечные точки предоставляют сетевой доступ к определенным ресурсам за заданной службой, обеспечивая детальное сегментирование. Трафик может получить доступ к ресурсу службы из локальной среды без использования общедоступных конечных точек.

Конечная точка службы остается общедоступным маршрутизируемым IP-адресом. Частная конечная точка — это частный IP-адрес в адресном пространстве виртуальной сети, в которой настроена частная конечная точка.

Примечание.

Корпорация Майкрософт рекомендует использовать Приватный канал Azure, поскольку он гарантирует безопасный и частный доступ к службам, размещенным на платформе Azure.

Что такое служба Приватного канала Azure?

Приватный канал обеспечивает частный доступ из виртуальной сети Azure к службам PaaS и службам партнера Корпорации Майкрософт в Azure. Но что делать, если у вашей компании есть собственные службы Azure? Можно ли предоставить этим клиентам частное подключение к службам вашей компании?

Да, с помощью службы Приватного канала Azure. Эта служба позволяет обеспечивать подключения Приватного канала к пользовательским службам Azure. Пользователи настраиваемых служб могут получить доступ к этим службам в частном порядке (т. е. без использования Интернета) из собственных виртуальных сетей Azure.

Служба Приватный канал Azure — это ссылка на вашу собственную службу, которая работает на базе приватного канала Azure. Служба, выполняющаяся с использованием стандартной подсистемы балансировки нагрузки Azure, может быть настроена для доступа к Приватному каналу, чтобы пользователи службы могли получить к ней доступ в частном порядке из своих собственных виртуальных сетей. Пользователи могут создать частную конечную точку в своей виртуальной сети и сопоставить ее с этой службой. Служба Приватных каналов принимает подключения из нескольких частных конечных точек. Частная конечная точка подключается к одной службе Приватных каналов.

Свойства частной конечной точки

Прежде чем создавать частную конечную точку, следует определить свойства частной конечной точки и собрать данные о конкретных требованиях.

Уникальное имя с группой ресурсов.
Подсеть для развертывания и выделения частных IP-адресов из виртуальной сети.
Ресурс Приватного канала для подключения с помощью идентификатора или псевдонима ресурса из списка доступных типов. Уникальный сетевой идентификатор создается для всего трафика, отправленного этому ресурсу.
Подресурс для подключения. Каждый тип ресурса Приватного канала имеет различные варианты в зависимости от предпочтений.
Способ подтверждения подключения в автоматическом или ручном режиме. На основе разрешений управления доступом на основе ролей Azure (RBAC) частная конечная точка может быть утверждена автоматически. Для ручного метода владелец ресурса утверждает подключение.
Для отправки трафика можно использовать только частные конечные точки в состоянии "Утверждено".

Также можно рассмотреть:

Клиенты инициируют сетевые подключения. Подключения можно устанавливать только в одном направлении.
Частная конечная точка имеет сетевой интерфейс только для чтения для жизненного цикла ресурса. Интерфейсу назначаются динамические частные IP-адреса из подсети, которая сопоставляется с ресурсом Приватного канала. Значение частного IP-адреса остается неизменным во время всего жизненного цикла частной конечной точки.
Частную конечную точку необходимо развернуть в том же регионе и подписке, где размещена виртуальная сеть.
Ресурс Приватного канала можно развернуть в регионе, отличном от региона виртуальной сети и частной конечной точки.
Можно создать несколько частных конечных точек с помощью одного ресурса Приватного канала.
В одной виртуальной сети можно создать несколько частных конечных точек для одних и тех же или разных подсетей.

Проверьте свои знания

На какой ключевой технологии основана служба "Приватный канал"?

Частная конечная точка.

Разрешение DNS.

Виртуальные сети.

В чем разница между конечной точкой службы и частной конечной точкой?

Частная конечная точка подключается к внешним системам и службам.

Конечная точка службы подключается к внешним системам и службам.

Конечная точка службы обеспечивает конфиденциальное и защищенное соединение между вашей виртуальной сетью и Azure.

Вы должны ответить на все вопросы перед проверкой.