Domande frequenti sul collegamento privato di Azure

Collegamento privato

Che cos'è l'endpoint privato di Azure e il servizio collegamento privato di Azure?

  • Endpoint privato di Azure: l'endpoint privato di Azure è un'interfaccia di rete che connette privatamente e in modo sicuro a un servizio basato sul collegamento privato di Azure. È possibile usare gli endpoint privati per connettersi a un servizio PaaS di Azure che supporta il collegamento privato o al proprio servizio collegamento privato.
  • Collegamento privato di Azure: il servizio collegamento privato di Azure è un servizio creato da un provider di servizi. Attualmente, un servizio collegamento privato può essere collegato alla configurazione IP front-end di un'istanza di Load Balancer Standard.

Come viene inviato il traffico quando si usa il collegamento privato?

Il traffico viene inviato privatamente usando la rete backbone di Microsoft. Non attraversa Internet. Il collegamento privato di Azure non archivia i dati dei clienti.

Qual è la differenza tra gli endpoint servizio e gli endpoint privati?

  • Gli endpoint privati concedono l'accesso di rete a risorse specifiche dietro un determinato servizio con la segmentazione granulare. Il traffico può raggiungere la risorsa del servizio dall'ambiente locale senza usare endpoint pubblici.
  • Un endpoint di servizio rimane un indirizzo IP instradabile pubblicamente. Un endpoint privato è un indirizzo IP privato nello spazio indirizzi della rete virtuale in cui è configurato l'endpoint privato.

Qual è la relazione tra collegamento privato servizio e endpoint privato?

Più tipi di risorse collegamento privato supportano l'accesso tramite endpoint privati. Le risorse includono i servizi PaaS di Azure e il servizio collegamento privato personale. Si tratta di una relazione uno-a-molti.

Un servizio collegamento privato riceve le connessioni da più endpoint privati. Un endpoint privato si connette a un servizio collegamento privato.

È necessario disabilitare i criteri di rete per collegamento privato?

Sì. collegamento privato Servizio deve disabilitare i criteri di rete per funzionare correttamente.

È possibile usare solo per route definite dall'utente, solo gruppi di sicurezza di rete o per entrambi per EndPoint privato?

Sì. Per usare criteri come route definite dall'utente e gruppi di sicurezza di rete, è necessario abilitare i criteri di rete per una subnet in una rete virtuale per l'endpoint privato. Questa impostazione influisce su tutti gli endpoint privati all'interno della subnet.

Endpoint privato

È possibile creare più endpoint privati nella stessa rete virtuale? Possono connettersi a servizi diversi?

Sì. È possibile avere più endpoint privati nella stessa rete virtuale o subnet. Gli endpoint possono connettersi a servizi diversi.

È possibile collegare più zone DNS private con lo stesso nome?

No, la creazione di più zone con lo stesso nome per una singola rete virtuale non è supportata.

È necessaria una subnet dedicata per gli endpoint privati?

No. Non è necessaria una subnet dedicata per gli endpoint privati. È possibile scegliere un indirizzo IP dell'endpoint privato da qualsiasi subnet della rete virtuale in cui viene distribuito il servizio.

Un endpoint privato può connettersi ai servizi collegamento privato nei tenant di Microsoft Entra?

Sì. Gli endpoint privati possono connettersi ai servizi collegamento privato o a un'istanza PaaS di Azure nei tenant di Microsoft Entra. Gli endpoint privati tra i tenant richiedono un'approvazione manuale della richiesta.

L'endpoint privato può connettersi alle risorse PaaS di Azure tra aree di Azure?

Sì. Gli endpoint privati possono connettersi alle risorse PaaS di Azure tra aree di Azure.

È possibile modificare la scheda di interfaccia di rete dell'endpoint privato?

Quando viene creato un endpoint privato, viene assegnata una scheda di interfaccia di rete di sola lettura. La scheda di interfaccia di rete non può essere modificata e rimarrà per il ciclo di vita dell'endpoint privato.

Ricerca per categorie ottenere disponibilità durante l'uso dell'endpoint privato in caso di errori a livello di area?

Gli endpoint privati sono risorse a disponibilità elevata con un contratto di servizio in base al contratto di servizio per collegamento privato di Azure. Tuttavia, poiché si tratta di risorse a livello di area, qualsiasi interruzione dell'area di Azure può influire sulla disponibilità. Per ottenere la disponibilità in caso di errori a livello di area, è possibile distribuire più PES connessi alla stessa risorsa di destinazione in aree diverse. In questo modo, se un'area diventa inattiva, è comunque possibile instradare il traffico per gli scenari di ripristino tramite endpoint privato a un'area diversa per accedere alla risorsa di destinazione. Per informazioni su come vengono gestiti gli errori a livello di area sul lato servizio di destinazione, vedere la documentazione del servizio sul failover e il ripristino. collegamento privato traffico segue la risoluzione DNS di Azure per l'endpoint di destinazione.

Ricerca per categorie ottenere disponibilità durante l'uso di endpoint privati in caso di errori della zona di disponibilità?

Gli endpoint privati sono risorse a disponibilità elevata con un contratto di servizio in base al contratto di servizio per collegamento privato di Azure. Gli endpoint privati sono indipendenti dalla zona: un errore della zona di disponibilità nell'area dell'endpoint privato non influirà sulla disponibilità dell'endpoint privato.

Gli endpoint privati supportano il traffico ICMP?

Il traffico TCP e UDP è supportato solo per un endpoint privato. Per altre informazioni, vedere collegamento privato limitazioni.

Servizio Collegamento privato

Quali sono i prerequisiti per la creazione di un servizio collegamento privato?

I back-end del servizio devono trovarsi in un Rete virtuale e dietro un Load Balancer Standard.

Come è possibile ridimensionare il servizio collegamento privato?

È possibile ridimensionare il servizio collegamento privato in diversi modi:

  • Aggiungere macchine virtuali di back-end al pool dietro un'istanza di Load Balancer Standard
  • Aggiungere un indirizzo IP al servizio collegamento privato. Sono consentiti fino a 8 indirizzi IP per servizio collegamento privato.
  • Aggiungere un nuovo servizio collegamento privato a Load Balancer Standard. Microsoft consente fino a otto servizi collegamento privato per Load Balancer Standard.

Qual è la configurazione IP NAT (Network Address Translation) usata nel servizio collegamento privato? Come è possibile ridimensionare in termini di porte e connessioni disponibili?

  • La configurazione IP NAT garantisce che lo spazio di indirizzi di origine (consumer) e di destinazione (provider di servizi) non presenti conflitti IP. La configurazione fornisce NAT di origine per il traffico di collegamento privato per la destinazione. L'indirizzo IP NAT viene visualizzato come IP di origine per tutti i pacchetti ricevuti dal servizio e dall'INDIRIZZO IP di destinazione per tutti i pacchetti inviati dal servizio. L'IP NAT può essere scelto da qualsiasi subnet nel Rete virtuale di un provider di servizi.
  • Ogni indirizzo IP NAT fornisce 64.000 connessioni TCP (64.000 porte) per macchina virtuale dietro l'istanza di Load Balancer Standard. Per ridimensionare e aggiungere altre connessioni, è possibile aggiungere nuovi indirizzi IP NAT o aggiungere altre macchine virtuali dietro l'istanza di Load Balancer Standard. In questo modo, la disponibilità della porta viene ridimensionata e sono consentite altre connessioni. Le connessioni vengono distribuite tra IP NAT e macchine virtuali dietro il Load Balancer Standard.

È possibile connettere il servizio a più endpoint privati?

Sì. Un servizio collegamento privato può ricevere connessioni da più endpoint privati. Tuttavia, un endpoint privato può connettersi a un solo servizio collegamento privato.

Come è necessario controllare l'esposizione del servizio collegamento privato?

È possibile controllare l'esposizione usando la configurazione della visibilità nel servizio collegamento privato. La visibilità supporta tre impostazioni:

  • Nessuno: solo le sottoscrizioni con accesso basato sui ruoli possono individuare il servizio.
  • Restrittivo : solo le sottoscrizioni approvate e con accesso basato sui ruoli possono individuare il servizio.
  • Tutti: tutti gli utenti possono individuare il servizio.

È possibile creare un servizio collegamento privato con Load Balancer Basic?

No. collegamento privato Servizio su un'istanza di Load Balancer Basic non è supportato.

È necessaria una subnet dedicata per collegamento privato Servizio?

No. Una subnet dedicata non è necessaria per il servizio collegamento privato. È possibile scegliere qualsiasi subnet nella rete virtuale in cui viene distribuito il servizio.

I provider di servizi che usano un collegamento privato di Azure devono assicurarsi che tutti i clienti abbiano uno spazio indirizzi IP univoco e che non si sovrappongano al proprio spazio indirizzi IP?

No. Collegamento privato di Azure fornisce questa funzionalità. Non è necessario avere spazio indirizzi non sovrapposto con lo spazio indirizzi del cliente.

Passaggi successivi