Azure Private Link 的運作方式
您已經熟悉 Private Link 的基本功能和優點。 接下來,我們要探討 Private Link 的運作方式。 特別是,我們來看看它是如何與私人端點和 Private Link 服務搭配運作,以提供 Azure 服務的私人存取的。 這項資訊可協助您評估 Private Link 對公司而言是否為適合的解決方案。
如何將 Private Link 融入 Azure 虛擬網路中
Private Link 可提供 Azure 服務的私人存取。 在此,「私人」表示連線使用的是 Microsoft Azure 骨幹網路,而不是網際網路。 要進行此切換時,Private Link 會將 Azure 資源的連線方法從公用端點變更為私人端點。
現在,您不再使用公用 IP 位址來存取 Azure 資源。 此時您會使用 Azure 從子網路的位址空間指派給資源的私人 IP 位址。
重點為何? Azure 資源現已有效成為您虛擬網路的一部分。 您網路上的用戶端可順暢存取此 Private Link 資源,就像存取任何其他網路資源一樣。
為了進一步提高安全性,資源的連線現在會使用 Microsoft Azure 骨幹網路。 也就是說,任何進出於資源的流量都會完全繞過公用網際網路。
不過,即使您未使用資源的公用端點,該端點仍會存在。 只要有公用端點存在 (即便未使用),就會有安全性風險。 幸好,您可以停用 Azure 資源的公用端點,如此就可避免潛在的安全性問題。
Azure 私人端點如何運作
如何將資源介面從公用轉移為私人? 將 Azure 私人端點新增至您的網路設定。 私人端點是一種網路介面,可在您的虛擬網路與指定的 Azure 資源之間建立私人連線。
私人端點會從您虛擬網路中指定子網路的位址空間取用未使用的私人 IP 位址。 例如,假設您有一個使用位址空間 10.1.0.0/24 的子網路。 該子網路上的虛擬機器使用 10.1.0.20 或 10.1.0.155 之類的 IP 位址。
私人端點會從相同的位址空間取得 IP 位址,例如 10.1.0.32。 接著,私人端點會將該位址對應至指定的 Azure 服務。 使用私人 IP 位址可將服務有效導入您的虛擬網路中。
注意
連線至 Private Link 資源的用戶端,不需在連接字串中使用私人端點獲派的 IP 位址。 相對地,如果您將私人端點設定為與私人 DNS 區域整合,則 Azure 會自動將 FQDN 指派給該端點。 例如,如果 Private Link 資源是 Azure 儲存體資料表,則 FQDN 會是類似 mystorageaccount1234.table.core.windows.net 的內容。
以下是評估私人端點時所應考量的幾個要點:
- 私人端點可在您 Azure 虛擬網路上的虛擬機器和其他用戶端,以及 Private Link 支援的 Azure 服務之間,提供私人連線能力。
- 私人端點可在您的地區性對等互連虛擬網路與 Private Link 支援的 Azure 服務之間提供私人連線能力。
- 私人端點可在您的全域對等互連虛擬網路與 Private Link 支援的 Azure 服務之間提供私人連線能力。
- 私人端點可在您的內部部署網路 (透過 ExpressRoute 私人對等互連或 VPN 進行連線),以及 Private Link 支援的 Azure 服務之間,提供私人連線能力。
- 您最多可為每個虛擬網路部署 1,000 個私人端點介面。
- 您最多可為每個 Azure 訂用帳戶部署 64,000 個私人端點介面。
- 您最多可將 1,000 個私人端點介面對應至相同的 Private Link 資源。
警告
雖然將多個私人端點介面對應至單一資源是可行的,但不建議這樣做,因為這樣可能會導致 DNS 衝突和其他問題。 最佳做法是將單一私人端點對應至單一 Private Link 資源。
- 連線是單向的,這表示只有用戶端可以連線至私人端點介面。 如果某個 Azure 服務對應至私人端點介面,該服務的提供者就無法連線至 (甚至無法感知) 私人端點介面。
- 已部署的私人端點介面是唯讀的,也就是說,沒有人加以修改。 例如,任何人都無法將介面對應至不同資源,也無法變更介面的 IP 位址。
- 雖然您必須將私人端點部署在與虛擬網路相同的區域中,但 Private Link 資源可位於不同的區域中。
注意
服務端點和私人端點之間有何差異? 服務端點會將 Azure 資源設定為僅允許來自指定虛擬網路的連線。 不過,該連線仍會透過資源的公用端點建立,因此仍會有一些安全性風險。 私人端點可支援停用資源的公用端點,藉以消除這些風險。
Azure Private Link 服務如何運作
Azure Private Link 服務可為您的自訂 Azure 服務帶來 Private Link 的優點。 唯一的需求是,您必須在 Azure Standard Load Balancer 後方執行自訂服務。 然後,您可以建立 Private Link 服務資源,並將其連結至負載平衡器。
警告
Azure 提供了兩種版本的負載平衡器:基本和標準。 基本 Load Balancer 不支援 Private Link 服務,因此請務必使用 Standard Load Balancer。
在您建立 Private Link 服務資源後,Azure 會發出該資源的別名,這是全域唯一的唯讀字串,語法為 prefix.guid.suffix:
- 首碼。 您為自訂服務提供的名稱。
- guid。 由 Azure 自動產生的全域唯一識別碼。
- 尾碼。 文字 region.azure.privatelinkservice 是 Private Link 服務部署所在的區域。
您可以與自訂服務的取用者共用 Private Link 服務別名。 然後,每個取用者可在自己的 Azure 虛擬網路中設定私人端點。 取用者接著可將端點對應至 Private Link 服務別名。
以下是評估 Private Link 服務時所應考量的一些要點:
- 您可以透過任何公用區域中的私人端點存取您的 Private Link 服務。
- Private Link 服務必須部署在與標準負載平衡器和裝載自訂 Azure 服務的虛擬網路相同的區域中。
- 您最多可為每個 Azure 訂用帳戶部署 800 個 Private Link 服務資源。
- 最多可將 1,000 個私人端點介面對應至單一 Private Link 服務資源。
- 您可以使用不同的前端 IP 設定,在相同的標準負載平衡器上部署多個 Private Link 服務資源。
融會貫通
您的目標是要存取 Azure 資源而不使用公用網際網路嗎? 您是否想要私下提供自訂 Azure 資源? 如果您對這兩個問題至少回答了一個「是」,則 Private Link、私人端點和 Private Link 服務會以下列方式完成工作:
- 若要從 Microsoft 合作夥伴私下存取 Azure PaaS 服務或 Azure 服務,請在 Azure 虛擬網路的子網路中建立私人端點。 該私人端點會使用 Private Link,透過 Microsoft Azure 骨幹並使用私人 IP 位址來存取 Azure 服務。 使用 ExpressRoute 私人對等互連或 VPN 通道的對等互連虛擬網路和內部部署網路,也可以透過私人端點來存取 Azure 服務。
- 若要提供自訂 Azure 服務的私人存取,請將服務放置於標準負載平衡器後方、建立 Private Link 服務資源,然後將其連結至負載平衡器的前端 IP 設定。
