Planen und Implementieren privater Endpunkte
Ein privater Endpunkt ist eine Netzwerkschnittstelle, die eine private IP-Adresse aus Ihrem virtuellen Netzwerk verwendet. Diese Netzwerkschnittstelle bietet eine private und sichere Verbindung zwischen Ihnen und einem von Azure Private Link unterstützten Dienst. Indem Sie einen privaten Endpunkt aktivieren, binden Sie den Dienst in Ihr virtuelles Netzwerk ein.
Dieser Dienst könnte ein Azure-Dienst sein, wie z. B.:
- Azure Storage
- Azure Cosmos DB
- Azure SQL-Datenbank
- Ihr eigener Dienst, der einen Private Link-Dienst verwendet
Eigenschaften eines privaten Endpunkts
Für einen privaten Endpunkt werden die folgenden Eigenschaften angegeben:
| Eigenschaft | Beschreibung |
|---|---|
| Name | Ein eindeutiger Name innerhalb der Ressourcengruppe. |
| Subnet | Das bereitzustellende Subnetz, dem die private IP-Adresse zugewiesen wird. |
| Private Link-Ressource | Die Private Link-Ressource, mit der anhand der Liste verfügbarer Typen eine Verbindung über die Ressourcen-ID oder den Alias hergestellt werden soll. Für den gesamten Datenverkehr an diese Ressource wird ein eindeutiger Netzwerkbezeichner generiert. |
| Unterressource des Ziels | Die Unterressource, mit der eine Verbindung hergestellt wird. Jeder Private Link-Ressourcentyp verfügt über verschiedene Optionen, die je nach Präferenz ausgewählt werden können. |
| Methode zur Genehmigung der Verbindung | Automatisch oder manuell. Abhängig von den über die rollenbasierte Zugriffssteuerung in Azure erteilten Berechtigungen kann Ihr privater Endpunkt automatisch genehmigt werden. Wenn Sie eine Verbindung mit einer Private Link-Ressource ohne rollenbasierte Berechtigungen in Azure herstellen, verwenden Sie die manuelle Methode, um dem Besitzer der Ressource zu ermöglichen, die Verbindung zu genehmigen. |
| Request-Nachricht | Sie können eine Nachricht für angeforderte Verbindungen angeben, die manuell genehmigt werden sollen. Mithilfe dieser Nachricht kann eine bestimmte Anforderung identifiziert werden. |
| Verbindungsstatus | Eine schreibgeschützte Eigenschaft, die angibt, ob der private Endpunkt aktiv ist. Nur private Endpunkte in genehmigtem Zustand können zum Senden von Datenverkehr verwendet werden. Weitere verfügbare Status: Genehmigt: Die Verbindung wurde automatisch oder manuell genehmigt und ist zur Verwendung bereit. Ausstehend: Die Verbindung wurde manuell erstellt und wartet auf die Genehmigung durch den Eigentümer der privaten Link-Ressource. Abgelehnt: Die Verbindung wurde vom Eigentümer der privaten Link-Ressource abgelehnt. Verbindungsabbruch: Die Verbindung wurde vom Eigentümer der privaten Link-Ressource getrennt. Der private Endpunkt dient nur noch Informationszwecken und sollte zur Bereinigung gelöscht werden. |
Berücksichtigen Sie beim Erstellen privater Endpunkte Folgendes:
Private Endpunkte ermöglichen die Konnektivität zwischen den Kunden, wenn für diese ebenfalls folgende Komponenten gelten:
- Virtuelles Netzwerk
- Virtuelle Netzwerke mit regionalem Peering
- Virtuelle Netzwerke mit globalem Peering
- Lokale Umgebungen, die VPN oder ExpressRoute verwenden
- Dienste, die von Private Link unterstützt werden
- Virtuelles Netzwerk
Netzwerkverbindungen können nur von Clients initiiert werden, die eine Verbindung mit dem privaten Endpunkt herstellen. Dienstanbieter verfügen nicht über eine Routingkonfiguration, um Verbindungen mit Dienstkunden herzustellen. Verbindungen können nur in einer Richtung eingerichtet werden.
Für den Lebenszyklus des privaten Endpunkts wird eine schreibgeschützte Netzwerkschnittstelle automatisch erstellt. Der Schnittstelle wird eine private dynamische IP-Adresse aus dem Subnetz zugewiesen, das der privaten Link-Ressource zugeordnet ist. Der Wert der privaten IP-Adresse bleibt über den gesamten Lebenszyklus des privaten Endpunkts unverändert.
Der private Endpunkt muss in derselben Region und im selben Abonnement wie das virtuelle Netzwerk bereitgestellt werden.
Die Private Link-Ressource kann in einer anderen Region als das virtuelle Netzwerk und der private Endpunkt bereitgestellt werden.
Mehrere private Endpunkte können mithilfe derselben Private Link-Ressource erstellt werden. Für ein einzelnes Netzwerk mit einer herkömmlichen DNS-Serverkonfiguration wird empfohlen, nur einen privaten Endpunkt pro angegebener Private Link-Ressource zu verwenden. Verwenden Sie diese Vorgehensweise, um doppelte Einträge oder Konflikte bei der DNS-Auflösung zu vermeiden.
Mehrere private Endpunkte können im gleichen oder in verschiedenen Subnetzen innerhalb desselben virtuellen Netzwerks erstellt werden. Die Anzahl der privaten Endpunkte, die Sie in einem Abonnement anlegen können, ist begrenzt.
Das Abonnement mit der Private Link-Ressource muss beim Microsoft-Netzwerkressourcenanbieter registriert werden. Das Abonnement mit dem privaten Endpunkt muss beim Microsoft-Netzwerkressourcenanbieter registriert werden.
Netzwerksicherheit privater Endpunkte
Bei der Verwendung privater Endpunkte ist der Datenverkehr zu Private Link-Ressourcen geschützt. Die Plattform überprüft die Netzwerkverbindungen und lässt nur solche zu, die die angegebene Private Link-Ressource erreichen. Für den Zugriff auf weitere Unterressourcen innerhalb desselben Azure-Diensts sind weitere private Endpunkte mit entsprechenden Zielen erforderlich. Im Fall von Azure Storage würden Sie beispielsweise separate private Endpunkte benötigen, um auf die Unterressourcen Datei und Blob zuzugreifen.
Private Endpunkte bieten eine privat zugängliche IP-Adresse für den Azure-Dienst, beschränken aber nicht unbedingt den öffentlichen Netzwerkzugriff darauf. Alle anderen Azure-Dienste erfordern jedoch zusätzliche Zugriffssteuerungen. Diese Steuerungen stellen eine zusätzliche Ebene der Netzwerksicherheit für Ihre Ressourcen dar und bieten einen Schutz, der den Zugriff auf den der Private Link-Ressource zugeordneten Azure-Dienst verhindern hilft.
Private Endpunkte unterstützen Netzwerkrichtlinien. Netzwerkrichtlinien ermöglichen die Unterstützung von Netzwerksicherheitsgruppen (NSG), benutzerdefinierten Routen (UDR) und Anwendungssicherheitsgruppen (ASG).
Über eine Private-Endpoint-Verbindung hat ein Private Link-Ressourcenbesitzer folgende Möglichkeiten:
- Überprüfen aller Details von Verbindungen mit privaten Endpunkten
- Genehmigen einer Verbindung mit privaten Endpunkten. Der entsprechende private Endpunkt wird für das Senden von Datenverkehr an die Private Link-Ressource aktiviert.
- Ablehnen einer Verbindung mit einem privaten Endpunkt Der entsprechende private Endpunkt wird aktualisiert, um den Status widerzuspiegeln.
- Löschen einer Verbindung mit einem privaten Endpunkt in beliebigem Zustand. Der entsprechende private Endpunkt wird mit dem Status „Getrennt“ aktualisiert, um die Aktion widerzuspiegeln. Der Besitzer bzw. die Besitzerin des privaten Endpunkts kann an diesem Punkt nur die Ressource löschen.
Zugriff auf eine Private Link-Ressource mithilfe des Genehmigungsworkflows
Sie können sich mit einer Private Link-Ressource mit den folgenden Methoden zur Genehmigung von Verbindungen verbinden:
Automatisch genehmigen: Verwenden Sie diese Methode, wenn Sie die spezifische Private Link-Ressource besitzen oder dafür über Berechtigungen verfügen. Die erforderlichen Berechtigungen basieren auf dem Private Link-Ressourcentyp im folgenden Format:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
Manuell anfordern: Verwenden Sie diese Methode, wenn Sie nicht über die erforderlichen Berechtigungen verfügen und Zugriff anfordern möchten. Ein Genehmigungsworkflow wird ausgelöst. Der private Endpunkt und die anschließende Verbindung mit dem privaten Endpunkt werden im Status Ausstehend erstellt. Der Besitzer der Private Link-Ressource ist für die Genehmigung der Verbindung verantwortlich. Nach der Genehmigung ist der private Endpunkt in der Lage, Datenverkehr normal zu senden (siehe das folgende Diagramm des Genehmigungsworkflows):
Über eine Private-Endpoint-Verbindung hat ein Private Link-Ressourcenbesitzer folgende Möglichkeiten:
- Überprüfen aller Details von Verbindungen mit privaten Endpunkten
- Genehmigen einer Verbindung mit privaten Endpunkten. Der entsprechende private Endpunkt wird für das Senden von Datenverkehr an die Private Link-Ressource aktiviert.
- Ablehnen einer Verbindung mit einem privaten Endpunkt Der entsprechende private Endpunkt wird aktualisiert, um den Status widerzuspiegeln.
- Löschen einer Verbindung mit einem privaten Endpunkt in beliebigem Zustand. Der entsprechende private Endpunkt wird mit dem Status „Getrennt“ aktualisiert, um die Aktion widerzuspiegeln. Der Besitzer bzw. die Besitzerin des privaten Endpunkts kann an diesem Punkt nur die Ressource löschen.
Hinweis
Nur ein privater Endpunkt im Zustand Genehmigt kann Datenverkehr an eine angegebene Private Link-Ressource senden.
Herstellen einer Verbindung mithilfe eines Alias
Ein Alias ist ein eindeutiger Moniker, der generiert wird, wenn ein*e Dienstbesitzer*in den Private Link-Dienst hinter einem Standardlastenausgleich erstellt. Dienstbesitzer*innen können diesen Alias offline für Benutzer*innen Ihres Diensts freigeben.
Die Benutzer können eine Verbindung mit einem Private Link-Dienst anfordern, indem sie entweder den URI (Uniform Resource Identifier) der Ressource oder den Alias verwenden. Um eine Verbindung über den Alias herzustellen, müssen Sie einen privaten Endpunkt mithilfe der manuellen Verbindungsgenehmigungsmethode erstellen. Um die manuelle Verbindungsgenehmigungsmethode zu verwenden, legen Sie den Parameter für die manuelle Anforderung während des Flows zum Erstellen eines privaten Endpunkts auf TRUE fest.
Hinweis
Diese manuelle Anforderung kann automatisch genehmigt werden, wenn das Heimanwenderabonnement auf Anbieterseite auf die Positivliste gesetzt wurde.
DNS-Konfiguration
Die DNS-Einstellungen, die Sie zum Herstellen einer Verbindung mit einer Private Link-Ressource verwenden, sind wichtig. Bestehende Azure-Dienste verfügen möglicherweise bereits über eine DNS-Konfiguration, die beim Herstellen einer Verbindung über einen öffentlichen Endpunkt verwendet werden kann. Um eine Verbindung über einen privaten Endpunkt mit demselben Dienst herzustellen, sind separate DNS-Einstellungen erforderlich, die häufig über private DNS-Zonen konfiguriert werden. Stellen Sie sicher, dass Ihre DNS-Einstellungen korrekt sind, wenn Sie den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für die Verbindung verwenden. Die Einstellungen müssen so festgelegt sein, dass die private IP-Adresse des privaten Endpunkts aufgelöst wird.
Die Netzwerkschnittstelle, die dem privaten Endpunkt zugeordnet ist, enthält die Informationen, die zum Konfigurieren des DNS benötigt werden. Hierzu gehören der FQDN und die private IP-Adresse für eine Private Link-Ressource.
Begrenzungen
In der folgenden Übersicht sind die bekannten Einschränkungen für die Verwendung privater Endpunkte aufgeführt:
Statische IP-Adresse
| Einschränkung | Beschreibung |
|---|---|
| Die Konfiguration von statischen IP-Adressen wird derzeit nicht unterstützt. | Azure Kubernetes Service (AKS) Azure Application Gateway HDInsight Recovery Services-Tresore Private Link-Dienste von Drittanbietern |
Netzwerksicherheitsgruppe
| Einschränkung | Beschreibung |
|---|---|
| Effektive Routen und Sicherheitsregeln, die für die Netzwerkschnittstelle (NIC) des privaten Endpunkts nicht verfügbar sind. | Effektive Routen und Sicherheitsregeln werden für die NIC des privaten Endpunkts im Azure-Portal nicht angezeigt. |
| NSG-Flussprotokolle werden nicht unterstützt. | NSG-Datenflussprotokolle sind für eingehenden Datenverkehr zu einem privaten Endpunkt nicht verfügbar. |
| Nicht mehr als 50 Mitglieder in einer Anwendungssicherheitsgruppe. | An jede einzelne ASG, die mit der NSG im Subnetz des privaten Endpunkts verbunden ist, können 50 IP-Konfigurationen gebunden werden. Bei mehr als 50 Mitgliedern können Verbindungsfehler auftreten. |
| Zielportbereiche werden bis zu einem Faktor von 250 000 unterstützt. | Zielportbereiche werden als Multiplikation von SourceAddressPrefixes, DestinationAddressPrefixes und DestinationPortRanges unterstützt. Beispiel für eine Eingangsregel: 1 Quelle × 1 Ziel × 4.000 Portbereiche = 4.000 gültig 10 Quellen × 10 Ziele × 10 Portbereiche = 1.000 gültig 50 Quellen × 50 Ziele × 50 Portbereiche = 125.000 gültig 50 Quellen × 50 Ziele × 100 Portbereiche = 250.000 gültig 100 Quellen × 100 Ziele × 100 Portbereiche = 1 Mio. ungültig, NSG hat zu viele Quellen/Ziele/Ports. |
| Quellportfilterung. | Die Quellportfilterung wird nicht aktiv als gültiges Szenario der Datenverkehrsfilterung für den an einen privaten Endpunkt gerichteten Datenverkehr verwendet. |
| Feature in ausgewählten Regionen nicht verfügbar. | Derzeit nicht in den folgenden Regionen verfügbar: Indien, Westen Australien, Mitte 2 Südafrika, Westen Brasilien, Südosten Alle Government-Regionen Alle China-Regionen |
Weitere Überlegungen zur NSG
Ausgehender Datenverkehr, der von einem privaten Endpunkt abgelehnt wird, ist kein gültiges Szenario, da der Dienstanbieter den Datenverkehr nicht initiieren kann.
Bei den folgenden Diensten müssen möglicherweise alle Zielports geöffnet sein, wenn ein privater Endpunkt verwendet und NSG-Sicherheitsfilter hinzugefügt werden:
- Azure Cosmos DB
- Azure Cosmos DB
UDR
| Einschränkung | Beschreibung |
|---|---|
| SNAT wird immer empfohlen. | Da die Datenebene des privaten Endpunkts variabel ist, wird empfohlen, für Datenverkehr an einen privaten Endpunkt die SNAT zu verwenden, um sicherzustellen, dass der Rückgabedatenverkehr berücksichtigt wird. |
| Feature in ausgewählten Regionen nicht verfügbar. | Derzeit nicht in den folgenden Regionen verfügbar: Indien, Westen Australien, Mitte 2 Südafrika, Westen Brasilien, Südosten |
Anwendungssicherheitsgruppe
| Einschränkung | Beschreibung |
|---|---|
| Feature in ausgewählten Regionen nicht verfügbar. | Derzeit nicht in den folgenden Regionen verfügbar: Indien, Westen Australien, Mitte 2 Südafrika, Westen Brasilien, Südosten |