Co je služba Azure Private Link?

Služba Azure Private Link je odkazem na vaši vlastní službu, která využívá Službu Azure Private Link. Vaše služba, která běží za Službou Azure Standard Load Balancer , může být povolená pro přístup ke službě Private Link, aby k ní uživatelé mohli přistupovat soukromě ze svých vlastních virtuálních sítí. Vaši zákazníci můžou ve své virtuální síti vytvořit privátní koncový bod a namapovat ho na tuto službu. Tento článek vysvětluje koncepty související s stranou poskytovatele služeb.

Diagram služby Azure Private Link

Obrázek: Služba Azure Private Link

Workflow

Diagram pracovního postupu služby private link

Obrázek: Pracovní postup služby Azure Private Link

  • Nakonfigurujte aplikaci tak, aby běžela za standardním nástrojem pro vyrovnávání zatížení ve vaší virtuální síti. Pokud už máte aplikaci nakonfigurovanou za standardním nástrojem pro vyrovnávání zatížení, můžete tento krok přeskočit.

  • Vytvořte službu Private Link odkazující na výše uvedený nástroj pro vyrovnávání zatížení. V procesu výběru nástroje pro vyrovnávání zatížení zvolte konfiguraci front-endové IP adresy, ve které chcete přijímat provoz. Zvolte podsíť pro IP adresy překladu adres (NAT) pro službu Private Link. Doporučuje se mít v podsíti k dispozici aspoň osm IP adres NAT. Zdá se, že veškerý uživatelský provoz pochází z tohoto fondu privátních IP adres poskytovateli služeb. Zvolte vhodné vlastnosti a nastavení pro službu Private Link.

    Poznámka:

    Služba Azure Private Link se podporuje jenom v Load Balanceru úrovně Standard.

Sdílení služby

Po vytvoření služby Private Link vygeneruje Azure globálně jedinečný pojmenovaný moniker s názvem alias na základě vámi zadaného názvu služby. S vašimi zákazníky můžete sdílet alias nebo identifikátor URI prostředku vaší služby. Příjemci mohou zahájit připojení Private Link pomocí aliasu nebo identifikátoru URI prostředku.

Správa žádostí o připojení

Jakmile příjemce zahájí připojení, poskytovatel služeb může žádost o připojení přijmout nebo odmítnout. Všechny požadavky na připojení budou uvedené ve vlastnosti privateendpointconnections ve službě Private Link.

Odstranění služby

Pokud se služba Private Link už nepoužívá, můžete ji odstranit. Než ale službu odstraníte, ujistěte se, že k ní nejsou přidružená žádná připojení privátního koncového bodu. Všechna připojení můžete odmítnout a službu odstranit.

Vlastnosti

Služba Private Link určuje následující vlastnosti:

Vlastnost Vysvětlení
Stav zřizování (provisioningState) Vlastnost určená jen pro čtení, která uvádí aktuální stav zřizování pro službu Private Link. Platné stavy zřizování jsou: Odstranění, Selhání, Úspěch,*Aktualizace. Pokud je stav zřizování úspěšný, úspěšně jste zřídili službu Private Link.
Alias (alias) Alias je globálně jedinečný řetězec jen pro čtení pro vaši službu. Pomáhá maskovat zákaznická data pro vaši službu a zároveň vytvoří pro vaši službu snadno sdílený název. Když vytvoříte službu Private Link, Azure vygeneruje alias pro vaši službu, kterou můžete sdílet se zákazníky. Vaši zákazníci můžou tento alias použít k vyžádání připojení k vaší službě.
Viditelnost (viditelnost) Viditelnost je vlastnost, která řídí nastavení expozice pro vaši službu Private Link. Poskytovatelé služeb se můžou rozhodnout omezit vystavení své službě předplatným s oprávněními řízení přístupu na základě role v Azure. K omezení expozice je možné použít také omezenou sadu předplatných.
Automatické schválení (autoApproval) Automatické schvalování řídí automatický přístup ke službě Private Link. Předplatná zadaná v seznamu automatického schvalování se automaticky schvalují při vyžádání připojení z privátních koncových bodů v těchto předplatných.
Konfigurace front-endových IP adres nástroje pro vyrovnávání zatížení (loadBalancerFrontendIpConfigurations) Služba Private Link je svázaná s front-endovou IP adresou Load Balanceru úrovně Standard. Veškerý provoz určený pro službu se dostane do front-endu SLB. Pravidla SLB můžete nakonfigurovat tak, aby tento provoz směrovali do příslušných back-endových fondů, ve kterých běží vaše aplikace. Konfigurace front-endových IP adres nástroje pro vyrovnávání zatížení se liší od konfigurací IP adres překladu adres (NAT).
Konfigurace PROTOKOLU IP překladu adres (IPConfigurations) Tato vlastnost odkazuje na konfiguraci IP adresy PŘEKLADU adres (NAT) pro službu Private Link. IP adresu překladu adres (NAT) můžete vybrat z libovolné podsítě ve virtuální síti poskytovatele služeb. Služba Private Link provádí překlad adres (NAT) na straně cíle u provozu služby Private Link. Tento překlad adres (NAT) zajišťuje, že mezi zdrojovým adresovým prostorem (na straně příjemce) a cílovým adresovým prostorem (poskytovatel služeb) není žádný konflikt IP adres. Na straně cíle nebo poskytovatele služeb se IP adresa NAT zobrazí jako zdrojová IP adresa pro všechny pakety přijaté vaší službou. Cílová IP adresa se zobrazí pro všechny pakety odeslané vaší službou.
Připojení privátního koncového bodu (privateEndpointConnections) Tato vlastnost obsahuje seznam privátních koncových bodů, které se připojují ke službě Private Link. Ke stejné službě Private Link se může připojit více privátních koncových bodů a poskytovatel služeb může řídit stav jednotlivých privátních koncových bodů.
Proxy tcp V2 (EnableProxyProtocol) Tato vlastnost umožňuje poskytovateli služeb načíst informace o připojení o příjemci služby pomocí proxy serveru tcp v2. Poskytovatel služeb zodpovídá za nastavení konfigurací přijímačů tak, aby bylo možné analyzovat hlavičku protokolu proxy v2.

Detaily

  • Ke službě Private Link je možné přistupovat ze schválených privátních koncových bodů v libovolné veřejné oblasti. Privátní koncový bod je dostupný ze stejné virtuální sítě a virtuálních sítí v místním partnerském vztahu. Privátní koncový bod je dostupný z globálně partnerských virtuálních sítí a místních sítí pomocí privátních připojení VPN nebo ExpressRoute.

  • Po vytvoření služby Private Link se vytvoří síťové rozhraní pro životní cyklus prostředku. Toto rozhraní není možné spravovat zákazníkem.

  • Služba Private Link musí být nasazená ve stejné oblasti jako virtuální síť a Load Balancer úrovně Standard.

  • K jedné službě Private Link je možné přistupovat z několika privátních koncových bodů patřících do různých virtuálních sítí, předplatných a/nebo tenantů služby Active Directory. Připojení se naváže prostřednictvím pracovního postupu připojení.

  • Ve stejném Load Balanceru úrovně Standard je možné vytvořit více služeb Private Link s využitím různých konfigurací front-endových IP adres. Počet služeb Private Link, které můžete vytvořit na Standard Load Balancer a na předplatné, platí omezení. Podrobnosti najdete v tématu věnovaném omezením Azure.

  • Služba Private Link může mít více než jednu konfiguraci IP adres překladu adres (NAT) propojenou s ní. Volba více než jedné konfigurace IP adres NAT může pomoct poskytovatelům služeb škálovat. Dnes můžou poskytovatelé služeb přiřadit až osm IP adres NAT na službu Private Link. S každou IP adresou překladu adres (NAT) můžete pro svá připojení TCP přiřadit více portů, a tím i horizontální navýšení kapacity. Do služby Private Link můžete přidat více IP adres NAT, ale po konfiguraci musíte udržovat aspoň jednu IP adresu PŘEKLADU adres. Odstranění poslední zbývající IP adresy překladu adres (NAT) se omezí, abyste zajistili, že aktivní připojení nebudou ovlivněná v důsledku nedostupných IP adres NAT.

Alias

Alias je globálně jedinečný název vaší služby. Pomáhá maskovat zákaznická data pro vaši službu a zároveň vytvoří pro vaši službu snadno sdílený název. Když vytvoříte službu Private Link, Azure vygeneruje alias pro vaši službu, kterou můžete sdílet se zákazníky. Vaši zákazníci můžou tento alias použít k vyžádání připojení k vaší službě.

Alias se skládá ze tří částí: Předpona.IDENTIFIKÁTOR GUID.Přípona

  • Předpona je název služby. Můžete si vybrat vlastní předponu. Po vytvoření aliasu ho nemůžete změnit, proto vyberte příslušnou předponu.

  • IDENTIFIKÁTOR GUID bude poskytován platformou. Tento identifikátor GUID vytvoří globálně jedinečný název.

  • Přípona je připojená službou Azure: region.azure.privatelinkservice

Úplný alias: Předpona. {GUID}.region.azure.privatelinkservice

Řízení expozice služby

Služba Private Link nabízí v nastavení Viditelnost tři možnosti pro řízení vystavení vaší služby. Nastavení viditelnosti určuje, jestli se příjemce může připojit k vaší službě. Tady jsou možnosti nastavení viditelnosti, od nejvíce omezující po nejméně omezující:

  • Pouze řízení přístupu na základě role: Pokud je vaše služba určená k privátní spotřebě z různých virtuálních sítí, které vlastníte, použijte řízení přístupu na základě role uvnitř předplatných přidružených ke stejnému tenantovi Active Directory. Viditelnost mezi tenanty je povolená prostřednictvím řízení přístupu na základě role.

  • Omezeno předplatným: Pokud bude vaše služba spotřebována napříč různými tenanty, můžete omezit vystavení omezené sadě předplatných, kterým důvěřujete. Autorizace je možné předem schválit.

  • Kdokoli s vaším aliasem: Pokud chcete, aby vaše služba byla veřejná a povolila všem uživatelům s vaším aliasem služby Private Link požádat o připojení, vyberte tuto možnost.

Řízení přístupu ke službě

Spotřebitelé, kteří mají pod kontrolou viditelnosti nastavení viditelnosti pro vaši službu Private Link, můžou ve svých virtuálních sítích vytvořit privátní koncový bod a požádat o připojení ke službě Private Link. Připojení privátního koncového bodu se vytvoří ve stavu Čeká na vyřízení u objektu služby Private Link. Poskytovatel služeb zodpovídá za činnost na žádosti o připojení. Připojení můžete schválit, odmítnout připojení nebo ho odstranit. Provoz do služby Private Link můžou posílat jenom připojení, která jsou schválená.

Akce schválení připojení je možné automatizovat pomocí vlastnosti automatického schvalování ve službě Private Link. Automatické schválení je možnost, aby poskytovatelé služeb předem schválili sadu předplatných pro automatický přístup ke službě. Zákazníci budou muset sdílet svá předplatná offline, aby poskytovatelé služeb mohli přidat do seznamu automatického schvalování. Automatické schválení je podmnožinou pole viditelnosti.

Viditelnost řídí nastavení expozice, zatímco automatické schválení řídí nastavení schválení pro vaši službu. Pokud zákazník požádá o připojení z předplatného v seznamu automatického schvalování, připojení se automaticky schválí a připojení se naváže. Poskytovatelé služeb nemusí žádost schválit ručně. Pokud zákazník požádá o připojení z předplatného v poli viditelnosti, a ne v poli automatického schvalování, žádost se dostane k poskytovateli služeb. Poskytovatel služeb musí připojení schválit ručně.

Získání informací o připojení pomocí proxy serveru TCP v2

Ve službě private link je zdrojová IP adresa paketů přicházejících z privátního koncového bodu přeložená na straně poskytovatele služeb pomocí IP adresy překladu adres (NAT) přidělené z virtuální sítě poskytovatele. Aplikace obdrží přidělenou IP adresu NAT místo skutečné zdrojové IP adresy příjemců služeb. Pokud vaše aplikace potřebuje skutečnou zdrojovou IP adresu ze strany příjemce, můžete ve službě povolit proxy protokol a načíst informace z hlavičky protokolu proxy. Kromě zdrojové IP adresy má hlavička proxy protokolu také ID propojení privátního koncového bodu. Kombinace zdrojové IP adresy a LinkID může poskytovatelům služeb pomoct jedinečně identifikovat jejich uživatele.

Další informace o proxy protokolu najdete tady.

Tyto informace se kódují pomocí vlastního vektoru TLV (Type-Length-Value) následujícím způsobem:

Vlastní podrobnosti TLV:

Pole Délka (octety) Popis
Typ 0 PP2_TYPE_AZURE (0xEE)
Délka 2 Délka hodnoty
Hodnota 0 PP2_SUBTYPE_AZURE_PRIVATEENDPOINT_LINKID (0x01)
4 UINT32 (4 bajty) představující LINKID privátního koncového bodu. Zakódováno v malém endovském formátu.

Poznámka:

Poskytovatel služeb zodpovídá za to, že je služba za standardním nástrojem pro vyrovnávání zatížení nakonfigurovaná tak, aby parsovala hlavičku protokolu proxy podle specifikace , pokud je povolený proxy protokol ve službě private link. Požadavek selže, pokud je ve službě privátního propojení povoleno nastavení protokolu proxy, ale služba poskytovatele služeb není nakonfigurovaná na parsování hlaviček. Požadavek selže, když služba poskytovatele služeb očekává hlavičku protokolu proxy, ale ve službě privátního propojení není toto nastavení povoleno. Po povolení nastavení proxy protokolu bude hlavička proxy protokolu zahrnuta také do testů stavu HTTP/TCP z hostitele do back-endových virtuálních počítačů. Informace o klientovi nejsou v hlavičce obsaženy.

Shodu LINKID , která je součástí protokolu PROXYv2 (TLV), lze nalézt v PrivateEndpointConnection as vlastnost linkIdentifier.

Další informace najdete v tématu Rozhraní API služby Private Link Services.

Omezení

Při používání služby Private Link platí následující známá omezení:

  • Podporuje se jenom v Load Balanceru úrovně Standard. Load Balancer úrovně Basic se nepodporuje.

  • Podporuje se jenom v Load Balanceru úrovně Standard, kde je back-endový fond nakonfigurovaný síťovým rozhraním. Nepodporuje se v Load Balanceru úrovně Standard, kde je back-endový fond nakonfigurovaný podle IP adresy.

  • Podporuje pouze provoz IPv4.

  • Podporuje pouze provoz TCP a UDP.

  • Služba Private Link má časový limit nečinnosti přibližně 5 minut (300 sekund). Aby se zabránilo dosažení tohoto limitu, musí aplikace, které se připojují přes službu Private Link, používat protokol TCP Keepalives nižší než tento čas.

  • Pro příchozí pravidlo NAT s typem nastaveným na back-endový fond pro provoz se službou Azure Private Link musí být nakonfigurované pravidlo vyrovnávání zatížení.

Další kroky