Definiera Private Link-tjänsten och den privata slutpunkten

Slutförd

Med Azure Private Link kan du komma åt Azure PaaS Services och Azure-värdbaserade kundägda/partnertjänster via en privat slutpunkt i ditt virtuella nätverk.

Innan du lär dig mer om Azure Private Link och dess funktioner och fördelar ska vi undersöka problemet som Private Link är utformat för att lösa.

Contoso har ett virtuellt Azure-nätverk och du vill ansluta till en PaaS-resurs, till exempel en Azure SQL-databas. När du skapar sådana resurser anger du normalt en offentlig slutpunkt som anslutningsmetod.

Att ha en offentlig slutpunkt innebär att resursen tilldelas en offentlig IP-adress. Så även om både ditt virtuella nätverk och Azure SQL-databasen finns i Azure-molnet sker anslutningen mellan dem via Internet.

Här är problemet att din Azure SQL-databas exponeras för Internet via dess offentliga IP-adress. Den här exponeringen skapar flera säkerhetsrisker. Dessa säkerhetsrisker finns när en Azure-resurs nås via en offentlig IP-adress från:

  • Ett peer-kopplat virtuellt Azure-nätverk.
  • Ett lokalt nätverk som ansluter till Azure med ExpressRoute och Microsoft-peering.
  • En kunds virtuella Azure-nätverk som ansluter till en Azure-tjänst som erbjuds av ditt företag.

Diagram som visar privat slutpunkt och privat länkzon.

Private Link är utformat för att eliminera dessa säkerhetsrisker genom att ta bort den offentliga delen av anslutningen.

Private Link ger säker åtkomst till Azure-tjänster. Private Link uppnår den säkerheten genom att ersätta en resurs offentliga slutpunkt med ett privat nätverksgränssnitt. Det finns tre viktiga saker att tänka på med den här nya arkitekturen:

  • Azure-resursen blir på sätt och vis en del av ditt virtuella nätverk.
  • Anslutningen till resursen använder nu Microsoft Azure-stamnätverket i stället för det offentliga Internet.
  • Du kan konfigurera Azure-resursen så att den inte längre exponerar sin offentliga IP-adress, vilket eliminerar den potentiella säkerhetsrisken.

Vad är en privat Azure-slutpunkt?

Privat slutpunkt är den viktigaste tekniken bakom Private Link. Privat slutpunkt är ett nätverksgränssnitt som möjliggör en privat och säker anslutning mellan ditt virtuella nätverk och en Azure-tjänst. Med andra ord är privat slutpunkt nätverksgränssnittet som ersätter resursens offentliga slutpunkt.

Private Link ger säker åtkomst till Azure-tjänster. Private Link uppnår den säkerheten genom att ersätta en resurs offentliga slutpunkt med ett privat nätverksgränssnitt. Privat slutpunkt använder den privata IP-adressen för tjänster till det virtuella nätverket.

Hur skiljer sig den privata Azure-slutpunkten från en tjänstslutpunkt?

Privata slutpunkter ger nätverksåtkomst till specifika resurser bakom en viss tjänst som tillhandahåller detaljerad segmentering. Trafik kan nå tjänstresursen lokalt utan att använda offentliga slutpunkter.

En tjänstslutpunkt förblir en offentligt dirigerbar IP-adress. En privat slutpunkt är en privat IP-adress i adressutrymmet för det virtuella nätverk där den privata slutpunkten har konfigurerats.

Kommentar

Microsoft rekommenderar användning av Azure Private Link för säker och privat åtkomst till tjänster som finns på Azure-plattformen.

Private Link ger dig privat åtkomst från ditt virtuella Azure-nätverk till PaaS-tjänster och Microsoft Partner-tjänster i Azure. Men vad händer om ditt företag har sina egna Azure-tjänster? Är det möjligt att erbjuda dessa kunder en privat anslutning till företagets tjänster?

Ja, med hjälp av Azure Private Link Service. Med den här tjänsten kan du erbjuda Private Link-anslutningar till dina anpassade Azure-tjänster. Konsumenter av dina anpassade tjänster kan sedan komma åt dessa tjänster privat– det vill: utan att använda Internet – från sina egna virtuella Azure-nätverk.

Azure Private Link-tjänsten är referensen till din egen tjänst som drivs av Azure Private Link. Din tjänst som körs bakom Azures standardlastbalanserare kan aktiveras för Private Link-åtkomst så att konsumenter till din tjänst kan komma åt den privat från sina egna virtuella nätverk. Dina kunder kan skapa en privat slutpunkt i sitt virtuella nätverk och mappa den till den här tjänsten. En Private Link-tjänst tar emot anslutningar från flera privata slutpunkter. En privat slutpunkt ansluter till en Private Link-tjänst.

Diagram över arbetsflödet för tjänsten private link.

Egenskaper för privat slutpunkt

Innan du skapar en privat slutpunkt bör du överväga egenskaperna för privat slutpunkt och samla in data om specifika behov.

  • Ett unikt namn med en resursgrupp.
  • Ett undernät för att distribuera och allokera privata IP-adresser från ett virtuellt nätverk.
  • Private Link-resursen för att ansluta med resurs-ID eller alias från listan över tillgängliga typer. En unik nätverksidentifierare genereras för all trafik som skickas till den här resursen.
  • Den underresurs som ska anslutas. Varje Private Link-resurstyp har olika alternativ att välja baserat på inställningar.
  • En automatisk eller manuell anslutningsgodkännandemetod. Baserat på behörigheter för rollbaserad åtkomstkontroll i Azure (RBAC) kan din privata slutpunkt godkännas automatiskt. För den manuella metoden godkänner resursens ägare anslutningen.
  • Endast privata slutpunkter i ett godkänt tillstånd kan användas för att skicka trafik.

Tänk också på följande:

  • Klienter initierar nätverksanslutningar. Anslutningar kan bara upprättas i en enda riktning.
  • Privat slutpunkt har ett skrivskyddat nätverksgränssnitt för resursens livscykel. Gränssnittet tilldelas dynamiskt privata IP-adresser från undernätet som mappar till Private Link-resursen. Värdet för den privata IP-adressen förblir oförändrat under hela livscykeln för den privata slutpunkten.
  • Den privata slutpunkten måste distribueras i samma region och prenumeration som det virtuella nätverket.
  • Private Link-resursen kan distribueras i en annan region än det virtuella nätverket och den privata slutpunkten.
  • Flera privata slutpunkter kan skapas med samma Private Link-resurs.
  • Flera privata slutpunkter kan skapas i samma eller olika undernät i samma virtuella nätverk.

Kontrollera dina kunskaper

1.

Vad är den viktigaste tekniken bakom Private Links?

2.

Vad är skillnaden mellan en tjänstslutpunkt och en privat slutpunkt?