Private Link
Was sind der private Endpunkt in Azure und der Azure Private Link-Dienst?
- Privater Endpunkt in Azure : Ein privater Endpunkt in Azure ist eine Netzwerkschnittstelle, die Sie privat und sicher mit einem von Azure Private Link betriebenen Dienst verbindet. Sie können private Endpunkte verwenden, um eine Verbindung mit einem Private Link unterstützenden Azure PaaS-Dienst oder mit Ihrem eigenen Private Link-Dienst herzustellen.
- Azure Private Link-Dienst : Der Azure Private Link-Dienst ist ein von einem Dienstanbieter erstellter Dienst. Derzeit kann ein Private Link-Dienst an die Front-End-IP-Konfiguration eines Load Balancer Standard angefügt werden.
Wie wird der Datenverkehr bei der Verwendung von Private Link gesendet?
Der Datenverkehr wird privat über den Microsoft-Backbone übertragen. Er gelangt nicht ins Internet. Azure Private Link speichert keine Kundendaten.
Worin besteht der Unterschied zwischen Dienstendpunkten und privaten Endpunkten?
- Private Endpunkte gewähren Netzwerkzugriff auf bestimmte Ressourcen hinter einem bestimmten Dienst, der eine differenzierte Segmentierung bietet. Der Datenverkehr kann die Dienstressource von einem lokalen Standort ohne öffentliche Endpunkte erreichen.
- Ein Dienstendpunkt ist weiterhin ein IP-Adresse, die öffentlich geroutet werden kann. Ein privater Endpunkt ist eine private IP-Adresse im Adressraum des virtuellen Netzwerks, in dem der private Endpunkt konfiguriert wurde.
Welche Beziehung besteht zwischen dem Private Link-Dienst und dem privaten Endpunkt?
Mehrere Ressourcentypen für private Links unterstützen den Zugriff über private Endpunkte. Zu den Ressourcen gehören Azure PaaS-Dienste und Ihr eigener Private Link-Dienst. Es handelt sich um eine 1:n-Beziehung.
Ein Private Link-Dienst empfängt Verbindungen von mehreren privaten Endpunkten. Ein privater Endpunkt stellt eine Verbindung mit einem privaten Private Link-Dienst her.
Muss ich Netzwerkrichtlinien für den Private Link-Dienst deaktivieren?
Ja. Der Private Link-Dienst muss Netzwerkrichtlinien deaktivieren, damit er ordnungsgemäß funktioniert.
Kann ich den privaten Endpunkt nur für benutzerdefinierte Routen, nur für Netzwerksicherheitsgruppen oder für beide verwenden?
Ja. Um Richtlinien wie benutzerdefinierte Routen und Netzwerksicherheitsgruppen verwenden zu können, müssen Sie Netzwerkrichtlinien für ein Subnetz in einem virtuellen Netzwerk für den privaten Endpunkt aktivieren. Diese Einstellung wirkt sich auf alle privaten Endpunkte innerhalb des Subnetzes aus.
Privater Endpunkt
Kann ich mehrere private Endpunkte in demselben VNet erstellen? Können sie Verbindungen zu anderen Diensten herstellen?
Ja. Sie können mehrere private Endpunkte in demselben VNet oder Subnetz verwenden. Sie können Verbindungen zu anderen Diensten herstellen.
Können wir mehrere private DNS-Zonen mit demselben Namen verknüpfen?
Nein, das Erstellen mehrerer Zonen mit demselben Namen für ein einzelnes virtuelles Netzwerk wird nicht unterstützt.
Benötige ich ein dediziertes Subnetz für private Endpunkte?
Nein Sie benötigen kein dediziertes Subnetz für private Endpunkte. Sie können eine private Endpunkt-IP aus einem beliebigen Subnetz des VNet auswählen, in dem Ihr Dienst bereitgestellt wird.
Kann ein privater Endpunkt eine Verbindung mit dem Private Link-Dienst über verschiedene Microsoft Entra-Mandanten hinweg herstellen?
Ja. Private Endpunkte können über verschiedene Microsoft Entra-Mandanten hinweg eine Verbindung mit Private Link-Diensten oder einer Azure PaaS-Lösung herstellen. Mandantenübergreifende private Endpunkte erfordern eine manuelle Genehmigung von Anforderungen.
Können private Endpunkte eine Verbindung mit Azure PaaS-Ressourcen zwischen Azure-Regionen herstellen?
Ja. Private Endpunkte können eine Verbindung mit Azure PaaS-Ressourcen zwischen Azure-Regionen herstellen.
Kann ich die Netzwerkschnittstellenkarte (NIC) meines privaten Endpunkts ändern?
Wenn ein privater Endpunkt erstellt wird, wird eine schreibgeschützte NIC zugewiesen. Die NIC kann nicht geändert werden und bleibt für den Lebenszyklus des privaten Endpunkts beibehalten.
Wie erreiche ich Verfügbarkeit bei der Verwendung eines privaten Endpunkts, wenn ein regionaler Ausfall auftritt?
Private Endpunkte sind hochverfügbare Ressourcen mit einer SLA gemäß SLA für Azure Private Link. Da dies jedoch regionale Ressourcen sind, kann sich jeder Ausfall der Azure-Region auf die Verfügbarkeit auswirken. Um Verfügbarkeit zu erreichen, wenn regionale Ausfällen auftreten, könnten mehrere private Endpunkte, die mit derselben Zielressource verbunden sind, in unterschiedlichen Regionen bereitgestellt werden. Wenn eine Region ausfällt, können Sie auf diese Weise den Datenverkehr für Wiederherstellungsszenarien weiterhin über einen privaten Endpunkt in einer anderen Region weiterleiten, um auf die Zielressource zuzugreifen. Informationen dazu, wie regionale Ausfälle auf der Seite des Zieldiensts behandelt werden, finden Sie in der Dienstdokumentation zu Failover und Wiederherstellung. Bei Private Link-Datenverkehr wird die Azure DNS-Auflösung für den Zielendpunkt befolgt.
Wie erreiche ich bei Verwendung von privaten Endpunkten Verfügbarkeit bei Ausfällen der Verfügbarkeitszone?
Private Endpunkte sind hochverfügbare Ressourcen mit einer SLA gemäß SLA für Azure Private Link. Private Endpunkte sind zonenunabhängig: Ein Ausfall der Verfügbarkeitszone in der Region des privaten Endpunkts wirkt sich nicht auf die Verfügbarkeit des privaten Endpunkts aus.
Unterstützen private Endpunkte ICMP-Datenverkehr?
TCP- und UDP-Datenverkehr wird nur für einen privaten Endpunkt unterstützt. Weitere Informationen hierzu finden Sie unter Einschränkungen bei Azure Private Link.
Private Link-Dienst
Welche Voraussetzungen müssen gegeben sein, um einen Private Link-Dienst zu erstellen?
Ihre Dienst-Back-Ends sollten sich in einem virtuellen Netzwerk und hinter einem Load Balancer Standard befinden.
Wie kann ich meinen Private Link-Dienst skalieren?
Sie können Ihren Private Link-Dienst auf verschiedene Arten skalieren:
- Fügen Sie dem Pool hinter Ihrem Load Balancer Standard Back-End-VMs hinzu.
- Fügen Sie dem Private Link-Dienst eine IP-Adresse hinzu. Es sind bis zu acht IP-Adressen pro Private Link-Dienst gestattet.
- Fügen Sie dem Load Balancer Standard einen neuen Private Link-Dienst hinzu. Es sind bis zu acht Private Link-Dienste pro Load Balancer Standard gestattet.
Was ist die NAT (Network Address Translation, Netzwerkadressenübersetzung)-IP-Konfiguration, die im Private Link-Dienst verwendet wird? Wie können verfügbare Ports und Verbindungen skaliert werden?
- Die NAT-IP-Konfiguration stellt sicher, dass der Quelladressraum (Consumer) und der Zieladressraum (Dienstanbieter) keine IP-Konflikte aufweisen. Die Konfiguration stellt die Quell-NAT für den Datenverkehr der privaten Verbindung für das Ziel bereit. Die NAT-IP-Adresse wird als Quell-IP-Adresse für alle Pakete angezeigt, die von Ihrem Dienst empfangen werden, und als Ziel-IP-Adresse für alle von Ihrem Dienst gesendeten Pakete. Die NAT-IP-Adresse kann aus einem beliebigen Subnetz im virtuellen Netzwerk eines Dienstanbieters ausgewählt werden.
- Jede NAT-IP-Adresse bietet 64k-TCP-Verbindungen (64k-Ports) pro VM hinter Load Balancer Standard. Zum Skalieren und Hinzufügen weiterer Verbindungen können Sie entweder neue NAT-IP-Adressen oder weitere VMs hinter Load Balancer Standard hinzufügen. Dadurch wird die Portverfügbarkeit skaliert und weitere Verbindungen werden ermöglicht. Verbindungen werden über NAT-IP-Adressen und VMs hinter Load Balancer Standard verteilt.
Kann ich meinen Dienst mit mehreren privaten Endpunkten verbinden?
Ja. Ein Private Link-Dienst kann Verbindungen von mehreren privaten Endpunkten empfangen. Ein privater Endpunkt kann jedoch nur eine Verbindung mit einem Private Link-Dienst herstellen.
Wie sollte ich die Offenlegung meines Private Link-Dienstes kontrollieren?
Sie können die Offenlegung über die Sichtbarkeitskonfiguration des Private Link-Dienstes kontrollieren. Die Sichtbarkeit unterstützt drei Einstellungen:
- Keine – Nur Abonnements mit rollenbasiertem Zugriff können den Dienst finden.
- Restriktiv – Nur genehmigte Abonnements mit rollenbasiertem Zugriff können den Dienst finden.
- Alle: Jeder kann den Dienst finden.
Kann ich mit einem Load Balancer im Tarif „Basic“ einen Private Link-Dienst erstellen?
Nein. Der Private Link-Dienst über einen Load Balancer im Tarif „Basic“ wird nicht unterstützt.
Ist ein dediziertes Subnetz für den Private Link-Dienst erforderlich?
Nein. Für den Private Link-Dienst ist kein dediziertes Subnetz erforderlich. Sie können ein beliebiges Subnetz in Ihrem VNet auswählen, in dem Ihr Dienst bereitgestellt wird.
Ich bin ein Dienstanbieter, der Azure Private Link verwendet. Muss ich sicherstellen, dass alle meine Kunden über einen eindeutigen IP-Bereich verfügen und sich nicht mit meinem IP-Bereich überschneiden?
Nein. Azure Private Link stellt Ihnen diese Funktionen zur Verfügung. Es ist nicht erforderlich, dass Sie über einen Adressraum verfügen, der nicht mit dem Adressraum Ihrer Kunden überlappt.
Nächste Schritte
- Erfahren Sie mehr über Azure Private Link.