Como funciona o Azure Private Link

  • 10 minutos

Você está familiarizado com os recursos básicos e benefícios do Private Link. Agora vamos investigar como o Private Link funciona. Em particular, vamos considerar como ele funciona com o Ponto de Extremidade Privado e o Serviço de Link Privado para oferecer acesso privado aos serviços do Azure. Estas informações ajudam-no a avaliar se o Private Link é a solução certa para a sua empresa.

O Private Link fornece acesso privado aos serviços do Azure. Aqui, "privado" significa que a conexão usa a rede de backbone do Microsoft Azure em vez da Internet. Para fazer essa mudança, o Private Link altera o método de conectividade para o recurso do Azure de ponto de extremidade público para ponto de extremidade privado.

Agora você não acessa o recurso do Azure usando um endereço IP público. Em vez disso, você usa um endereço IP privado que o Azure atribui ao recurso a partir do espaço de endereço de sua sub-rede.

A principal conclusão? O recurso do Azure agora é efetivamente uma parte de sua rede virtual. Os clientes na sua rede podem aceder a este recurso de ligação privada como qualquer outro recurso de rede.

Para uma segurança ainda maior, a conexão com o recurso agora usa a rede de backbone do Microsoft Azure. Ou seja, qualquer tráfego de e para o recurso ignora totalmente a internet pública.

No entanto, o ponto de extremidade público do recurso ainda existe, mesmo que você não o esteja usando. A presença de um ponto de extremidade público, mesmo não utilizado, ainda é um risco de segurança. Felizmente, é possível desabilitar o ponto de extremidade público do recurso do Azure, o que ignora esse possível problema de segurança.

Como funciona o Azure Private Endpoint

Como mudar uma interface de recursos de público para privado? Adicione um Ponto de Extremidade Privado do Azure à sua configuração de rede. O Ponto de Extremidade Privado é uma interface de rede que cria uma conexão privada entre sua rede virtual e um recurso especificado do Azure.

O Ponto de Extremidade Privado obtém um endereço IP privado não utilizado do espaço de endereço de uma sub-rede especificada na sua rede virtual. Por exemplo, suponha que você tenha uma sub-rede que usa o espaço de endereço 10.1.0.0/24. As máquinas virtuais nessa sub-rede usam endereços IP como 10.1.0.20 ou 10.1.0.155.

O Ponto de Extremidade Privado obtém um endereço IP do mesmo espaço de endereço, como 10.1.0.32. Em seguida, o Ponto de Extremidade Privado mapeia esse endereço para um serviço especificado do Azure. Usar o endereço IP privado efetivamente traz o serviço para sua rede virtual.

Nota

Os clientes que se conectam a um recurso de Link Privado não precisam usar o endereço IP atribuído do Ponto de Extremidade Privado na cadeia de conexão. Em vez disso, se você configurar o Ponto de Extremidade Privado para integração com sua zona DNS privada, o Azure atribuirá automaticamente um FQDN ao ponto de extremidade. Por exemplo, se o recurso Link Privado for uma tabela de Armazenamento do Azure, o FQDN será algo como mystorageaccount1234.table.core.windows.net.

Aqui estão alguns pontos-chave a serem considerados ao avaliar o Ponto de extremidade privado:

  • O Ponto de Extremidade Privado oferece conectividade privada entre máquinas virtuais e outros clientes na sua rede virtual do Azure e serviços do Azure alimentados por Link Privado.
  • O Ponto de Extremidade Privado oferece conectividade privada entre suas redes virtuais emparelhadas regionalmente e os serviços do Azure alimentados por Link Privado.
  • O Ponto de Extremidade Privado oferece conectividade privada entre suas redes virtuais globalmente emparelhadas e os serviços do Azure baseados em Link Privado.
  • O Ponto de Extremidade Privado oferece conectividade privada entre sua rede local — conectada por meio do Emparelhamento Privado de Rota Expressa ou de uma VPN — e os serviços do Azure baseados em Link Privado.
  • Você pode implantar um máximo de 1.000 interfaces de Ponto Final Privado por rede virtual.
  • Você pode implantar um máximo de 64.000 interfaces de Ponto Final Privado por assinatura do Azure.
  • Você pode mapear um máximo de 1.000 interfaces de Ponto Final Privado para o mesmo recurso de Link Privado.

Atenção

Embora seja possível mapear várias interfaces de Ponto Final Privado para um único recurso, isso não é recomendado porque isso pode levar a conflitos de DNS e outros problemas. A prática recomendada é mapear apenas um único ponto de extremidade privado para um único recurso de link privado.

  • As conexões são uma maneira, o que significa que apenas os clientes podem se conectar a uma interface de Ponto Final Privado. Se um serviço do Azure for mapeado para uma interface de Ponto de Extremidade Privado, o provedor desse serviço não poderá se conectar (ou mesmo perceber) a interface de Ponto de Extremidade Privado.
  • Uma interface de Ponto Final Privado implantada é somente leitura, o que significa que ninguém pode modificá-la. Por exemplo, ninguém pode mapear a interface para um recurso diferente, nem ninguém pode alterar o endereço IP da interface.
  • Embora você deva implantar o Ponto de Extremidade Privado na mesma região da sua rede virtual, o recurso de Link Privado pode estar localizado em uma região diferente.

Nota

Qual é a diferença entre um ponto de extremidade de serviço e um ponto de extremidade privado? Um ponto de extremidade de serviço configura um recurso do Azure para permitir conexões somente de uma rede virtual especificada. No entanto, essa conexão ainda é feita através do ponto de extremidade público do recurso, portanto, alguns riscos de segurança permanecem. O Ponto de Extremidade Privado remove esses riscos ao suportar a desativação do ponto de extremidade público de um recurso.

O Serviço de Link Privado do Azure traz os benefícios do Link Privado para seus serviços personalizados do Azure. O único requisito é que você execute seu serviço personalizado por trás do Azure Standard Load Balancer. Em seguida, você pode criar um recurso do Serviço de Link Privado e anexá-lo ao balanceador de carga.

Atenção

O Azure oferece duas versões do seu balanceador de carga: básica e padrão. O Balanceador de Carga Básico não suporta o Serviço de Link Privado, portanto, certifique-se de estar usando o Balanceador de Carga Padrão.

Depois de criar o recurso do Serviço de Link Privado, o Azure emite um alias para o recurso, que é uma cadeia de caracteres somente leitura globalmente exclusiva com o prefixo de sintaxe.GUID.sufixo:

  • prefixo. Um nome fornecido para o serviço personalizado.
  • GUID. Um ID globalmente exclusivo gerado automaticamente pelo Azure.
  • sufixo. O texto region.azure.privatelinkservice; region é a região onde o Serviço de Link Privado é implantado.

Você compartilha o alias do Serviço de Link Privado com os consumidores do seu serviço personalizado. Em seguida, cada consumidor configura um Ponto de Extremidade Privado em sua própria rede virtual do Azure. Em seguida, o consumidor mapeia o ponto de extremidade para o alias do Serviço de Link Privado.

Aqui estão alguns pontos-chave a considerar ao avaliar o Serviço de Link Privado:

  • O seu Serviço de Ligação Privada pode ser acedido através de um ponto final privado em qualquer região pública.
  • O Serviço de Ligação Privada deve ser implementado na mesma região que o balanceador de carga padrão e a rede virtual que aloja seu serviço personalizado do Azure.
  • Pode implementar um máximo de 800 recursos do Serviço de Ligação Privada por subscrição do Azure.
  • Pode ser mapeado um máximo de 1.000 interfaces de Ponto Final Privado para um único recurso do Serviço de Ligação Privada.
  • Pode implementar vários recursos do Serviço de Ligação Privada no mesmo balanceador de carga padrão utilizando diferentes configurações de IP de front-end.

Juntar tudo

Seu objetivo é acessar um recurso do Azure sem usar a Internet pública? Deseja oferecer um recurso personalizado do Azure de forma privada? Se você respondeu sim a uma ou ambas as perguntas, o Private Link, o Private Endpoint e o Private Link Service farão o trabalho da seguinte maneira:

  • Para aceder de forma privada a um serviço PaaS do Azure ou a um serviço do Azure a partir de um Parceiro Microsoft, crie um ponto de extremidade privado numa sub-rede da sua rede virtual do Azure. Esse ponto de extremidade privado usa o Private Link para acessar o serviço do Azure usando um endereço IP privado no backbone do Microsoft Azure. As redes virtuais emparelhadas e as redes locais que usam o emparelhamento privado da Rota Expressa ou um túnel VPN também podem acessar o serviço do Azure por meio do ponto de extremidade privado.
  • Para oferecer acesso privado a um serviço personalizado do Azure, coloque o serviço atrás de um balanceador de carga padrão, crie um recurso de Serviço de Link Privado e anexe-o à configuração IP front-end do balanceador de carga.

Diagrama de rede de uma rede virtual do Azure, uma rede virtual emparelhada do Azure e uma rede local acessando os serviços do Azures por meio de um endereço IP privado mapeado pelo Ponto de Extremidade Privado.