Azure 专用链接的工作原理

  • 10 分钟

熟悉专用链接的基本功能和优势。 现在我们来研究专用链接的工作原理。 特别是,让我们考虑一下它是如何与专用终结点和专用链接服务一起使用,以提供对 Azure 服务的专用访问的。 此信息可帮助你评估专用链接是否适合你的公司。

专用链接提供对 Azure 服务的专用访问。 此处的“专用”表示连接使用 Microsoft Azure 主干网络,而不是 Internet。 为了进行这一切换,专用链接将 Azure 资源的连接方法从公共终结点更改为专用终结点。

现在,你不使用公共 IP 地址访问 Azure 资源。 相反,你使用 Azure 从子网的地址空间分配给资源的专用 IP 地址。

关键点是什么? Azure 资源现在实际上是你的虚拟网络的一部分。 网络上的客户端可以像访问任何其他网络资源一样访问此专用链接资源。

为了获得更大的安全性,与资源的连接现在使用 Microsoft Azure 主干网络。 也就是说,进出资源的任何流量都会完全绕过公共 Internet。

但是,资源的公共终结点仍然存在,即使你没有使用它。 存在公共终结点,即使未使用,也依然是安全隐患。 幸运的是,可以禁用 Azure 资源的公共终结点,从而消除潜在的安全问题。

Azure 专用终结点的工作原理

如何将资源接口从公共接口转换为专用接口? 将 Azure 专用终结点添加到你的网络配置中。 专用终结点是一个网络接口,用于在虚拟网络和指定的 Azure 资源之间创建专用连接。

专用终结点从虚拟网络中指定子网的地址空间获取未使用的专用 IP 地址。 例如,假设你有一个使用地址空间 10.1.0.0/24 的子网。 该子网上的虚拟机使用 10.1.0.20 或 10.1.0.155 等 IP 地址。

专用终结点从同一地址空间获取一个 IP 地址,如 10.1.0.32。 然后,专用终结点将该地址映射到指定的 Azure 服务。 使用专用 IP 地址实际上是将服务引入你的虚拟网络。

备注

连接到专用链接资源的客户端无需在连接字符串中使用专用终结点分配的 IP 地址。 相反,如果将专用终结点配置为与专用 DNS 区域集成,则 Azure 会自动为终结点分配一个 FQDN。 例如,如果专用链接资源是 Azure 存储表,则 FQDN 将类似于 mystorageaccount1234.table.core.windows.net。

下面是评估专用终结点时要考虑的几个关键点:

  • 专用终结点在虚拟机与 Azure 虚拟网络中的其他客户端和专用链接支持的 Azure 服务之间提供专用连接。
  • 专用终结点在区域对等互连虚拟网络和专用链接支持的 Azure 服务之间提供专用连接。
  • 专用终结点在全局对等互连虚拟网络和专用链接支持的 Azure 服务之间提供专用连接。
  • 专用终结点在本地网络(通过 ExpressRoute 专用对等互连或 VPN 连接)和专用链接支持的 Azure 服务之间提供专用连接。
  • 每个虚拟网络最多可部署 1,000 个专用终结点接口。
  • 每个 Azure 订阅最多可部署 64,000 个专用终结点接口。
  • 最多可将 1,000 个专用终结点接口映射到同一个专用链接资源。

注意

虽然可以将多个专用终结点接口映射到单个资源,但不建议执行此操作,因为这可能导致 DNS 冲突和其他问题。 最佳做法是仅将单个专用终结点映射到单个专用链接资源。

  • 连接是单向的,这意味着只有客户端可以连接到专用终结点接口。 如果 Azure 服务映射到专用终结点接口,则该服务的提供商将无法连接到(甚至无法感知)该专用终结点接口。
  • 部署的专用终结点接口是只读的,这意味着没有人可以修改它。 例如,没有人可以将接口映射到不同的资源,也没有人可以更改接口的 IP 地址。
  • 尽管必须将专用终结点部署在与虚拟网络相同的区域中,但专用链接资源可以位于不同的区域中。

备注

服务终结点和专用终结点之间的区别是什么? 服务终结点将 Azure 资源配置为仅允许通过指定的虚拟网络进行连接。 但是,该连接仍是通过资源的公共终结点建立的,因此仍然存在一些安全风险。 专用终结点支持禁用资源的公共终结点,从而消除了这些风险。

Azure 专用链接服务为自定义 Azure 服务带来了专用链接的各种优点。 唯一的要求是在 Azure 标准负载均衡器后面运行自定义服务。 然后,可以创建专用链接服务资源,并将其附加到负载均衡器。

注意

Azure 提供两种负载均衡器版本:基本和标准。 基本负载均衡器不支持专用链接服务,因此请确保使用的是标准负载均衡器。

创建专用链接服务资源后,Azure 将为该资源发出别名,这是一个全局唯一的只读字符串,语法为前缀.guid.后缀:

  • 前缀。 为自定义服务提供的名称。
  • guid。 Azure 自动生成的全局唯一 ID。
  • 后缀。 文本 region.azure.privatelinkservice; region 是部署专用链接服务的区域。

你将与自定义服务的使用者共享专用链接服务别名。 然后,每个使用者将在其自己的 Azure 虚拟网络中设置专用终结点。 使用者再将该终结点映射到专用链接服务别名。

下面是评估专用链接服务时要考虑的几个关键点:

  • 可以通过任何公共区域中的专用终结点访问专用链接服务。
  • 必须将专用链接服务部署在与标准负载均衡器和托管自定义 Azure 服务的虚拟网络相同的区域中。
  • 每个 Azure 订阅最多可部署 800 个专用链接服务资源。
  • 最多可将 1,000 个专用终结点接口映射到单个专用链接服务资源。
  • 可以使用不同的前端 IP 配置在同一标准负载均衡器上部署多个专用链接服务资源。

汇总

你的目标是不使用公共 Internet 访问 Azure 资源吗? 你是否希望提供专用的自定义 Azure 资源? 如果你对以上一个或两个问题的回答都为“是”,则专用链接、专用终结点和专用链接服务可以通过以下方式实现你的目标:

  • 若要实现从 Microsoft 合作伙伴对 Azure PaaS 服务或 Azure 服务的专用访问,可在 Azure 虚拟网络的子网中创建专用终结点。 该专用终结点使用专用链接,通过 Microsoft Azure 主干网上的专用 IP 地址访问 Azure 服务。 使用 ExpressRoute 专用对等互连或 VPN 隧道的对等互连虚拟网络和本地网络也可以通过专用终结点访问 Azure 服务。
  • 若要提供对自定义 Azure 服务的专用访问,可将该服务放置在标准负载均衡器后面,创建专用链接服务资源,并将其附加到负载均衡器的前端 IP 配置。

Azure 虚拟网络、Azure 对等互连虚拟网络和本地网络通过专用终结点映射的专用 IP 地址访问 Azure 服务的网络示意图。