定義 Private Link 服務和私人端點

已完成

什麼是 Azure Private Link？

Azure Private Link 可讓您透過虛擬網路中的私人端點，存取各項 Azure PaaS 服務以及 Azure 託管的客戶自有/合作夥伴服務。

在您了解 Azure Private Link 及其功能和優點之前，我們先來看看 Private Link 預計要解決的問題。

Contoso 擁有 Azure 虛擬網路，而您想要連線到 PaaS 資源 (例如 Azure SQL 資料庫)。 建立這類資源時，通常會指定公用端點做為連線方法。

擁有公用端點，表示會為資源指派公用 IP 位址。 因此，即使您的虛擬網路和 Azure SQL 資料庫都位於 Azure 雲端內，這兩者間的連線仍會透過網際網路來進行。

此處的問題在於，Azure SQL 資料庫會透過其公用 IP 位址向網際網路公開。 這類公開會產生多重安全性風險。 透過公用 IP 位址從下列位置存取 Azure 資源時，也會出現這些安全性風險：

• 對等互連的 Azure 虛擬網路。
• 使用 ExpressRoute 和 Microsoft 對等互連連線至 Azure 的內部部署網路。
• 客戶的 Azure 虛擬網路，可連線至公司提供的 Azure 服務。

Private Link 的設計目的是移除連線的公用部分，以消除這些安全性風險。

Private Link 可提供 Azure 服務的安全存取。 Private Link 可將資源的公用端點取代為私人網路介面，以實現該安全性。 對於這個新架構，有三個要點需要考量：

• 在某種意義上，Azure 資源會成為您虛擬網路的一部分。
• 連線至資源時，現在會使用 Microsoft Azure 骨幹網路，而不是公用網際網路。
• 您可以將 Azure 資源設定為不再公開其公用 IP 位址，這樣就不會有潛在的安全性風險。

什麼是 Azure 私人端點？

私人端點是 Private Link 背後的關鍵技術。 私人端點是一種網路介面，可讓您在虛擬網路與 Azure 服務之間進行私人且安全的連線。 換句話說，私人端點是取代資源公用端點的網路介面。

Private Link 可提供 Azure 服務的安全存取。 Private Link 可將資源的公用端點取代為私人網路介面，以實現該安全性。 對於進入 VNet 中的服務，私人端點會使用私人 IP 位址。

Azure 私人端點與服務端點有何不同？

私人端點會將網路存取權授與指定服務後方的特定資源，提供細微的分割。 流量可以從內部部署連線到服務資源，而不需使用公用端點。

服務端點會維持公開路由傳送的 IP 位址。 私人端點是設定了私人端點之虛擬網路位址空間中的私人 IP。

注意

Microsoft 建議使用 Azure Private Link 來保護和私人存取 Azure 平臺上所裝載的服務。

什麼是 Azure Private Link 服務？

Private Link 可讓您從 Azure 虛擬網路對 Azure 中的 PaaS 服務和 Microsoft 合作夥伴服務進行私人存取。 但是，如果您的公司有自己的 Azure 服務，該如何處理？ 是否可為這些客戶提供對公司服務的私人連線？

可以，使用 Azure Private Link 服務即可。 這種服務可讓您提供對自訂 Azure 服務的 Private Link 連線。 然後，自訂服務的取用者可從自己的 Azure 虛擬網路私下存取這些服務 (也就是不使用網際網路)。

Azure Private Link 服務是由 Azure Private Link 所支援的自有服務參考。 您可以針對在 Azure 標準負載平衡器後方執行的服務，啟用 Private Link 存取，讓服務取用者可以從自己的 VNet 私下存取服務。 您的客戶可以在其 VNet 內建立私人端點，並將其對應到此服務。 Private Link 服務會接收來自多個私人端點的連線。 一個私人端點會連線至一個 Private Link 服務。

私人端點屬性

建立私人端點之前，您應該考慮私人端點屬性，並收集要解決的特定需求相關資料。

• 資源群組的唯一名稱。
• 要從虛擬網路部署及配置私人 IP 位址的子網路。
• 要從可用類型清單中使用資源識別碼或別名連線的 Private Link 資源。 系統會為傳送至此資源的所有流量產生唯一的網路識別碼。
• 要連線的子資源。 每個 Private Link 資源類型都有不同的選項，可根據喜好設定來選取。
• 自動或手動連線的核准方法。 根據 Azure 角色型存取控制 (RBAC) 權限，可以自動核准您的私人端點。 使用手動方法時，資源的擁有者會核准連線。
• 只有處於核准狀態的私人端點可用來傳送流量。

也請考慮：

• 用戶端會起始網路連線。 只能建立單向連線。
• 私人端點在資源的生命週期內具有唯讀網路介面。 介面會從對應至 Private Link 資源的子網路中，動態指派到私人 IP 位址。 私人 IP 位址值在私人端點整個生命週期中都保持不變。
• 私人端點必須部署在與虛擬網路相同的區域和訂用帳戶中。
• Private Link 資源可以部署在與虛擬網路和私人端點不同的區域中。
• 您可以使用相同的 Private Link 資源建立多個私人端點。
• 您可以在相同虛擬網路內的相同或不同子網路中建立多個私人端點。

檢定您的知識

1.

Private Link 背後的關鍵技術為何？

私人端點。

DNS 解析。

虛擬網路。

2.

服務端點和私人端點有何不同？

私人端點可連線到外部系統和服務。

服務端點可連線到外部系統和服務。

服務端點可讓您在虛擬網路與 Azure 之間進行私人且安全的連線。

您必須先回答所有問題，才能檢查進度。