Private Link
什麼是Azure Private Link 和 Azure Private Link 服務?
- Azure Private Link:Azure 私人端點是一種網路介面,可讓您以私人且安全地方式連線至 Azure Private Link 所支援的服務。 您可以使用私人端點來連線到支援 Private Link 或您 Private Link 服務的 Azure PaaS 服務。
- Azure Private Link 服務:Azure Private Link 服務是服務提供者所建立的服務。 目前,Private Link 服務可以附加至 Standard Load Balancer 的前端 IP 設定。
使用 Private Link 時如何傳送流量?
流量會使用 Microsoft 骨幹私下傳送。 不會跨越網際網路。 Azure Private Link 不會儲存客戶資料。
服務端點和私人端點有何不同?
- 私人端點會將網路存取權授與指定服務後方的特定資源,提供細微的分割。 流量可以從內部部署連線到服務資源,而不需使用公用端點。
- 服務端點會維持公開路由傳送的 IP 位址。 私人端點為虛擬網路位址空間中已設定私人端點的私人 IP。
Private Link 服務和私人端點之間的關係為何?
多個私人連結資源類型支援透過私人端點的存取。 資源包括 Azure PaaS 服務,以及您自己的 Private Link 服務。 這是一對多關聯性。
Private Link 服務會接收多個私人端點的連線。 一個私人端點會連線至一個 Private Link 服務。
我是否須停用 Private Link 的網路原則?
是。 Private Link 服務必須停用網路原則,才能正常運作。
私人端點只能針對使用者定義路由來使用、只能針對網路安全性群組來使用,還是能同時針對兩者來使用?
是。 若要利用使用者定義路由和網路安全性群組等原則,您必須為私人端點虛擬網路中的子網路啟用網路原則。 此設定會影響子網路中所有的私人端點。
私人端點
我可以在相同的虛擬網路中建立多個私人端點嗎? 這些私人端點是否可連線到不同的服務?
是。 您可以在相同的虛擬網路或子網中有多個私人端點。 這些私人端點可以連線到不同的服務。
我們可以連結多個具有相同名稱的私人 DNS 區域嗎?
否,不支援為單一虛擬網路建立具有相同名稱的多個區域。
私人端點是否需要專用子網路?
否。 私人端點不需要專用子網路。 您可以從部署服務所在虛擬網路的任何子網中選擇私人端點IP。
私人端點是否可以連線到跨 Microsoft Entra 租用戶的 Private Link 服務?
是。 私人端點可以連線到 Private Link 服務,或跨 Microsoft Entra 租用戶的 Azure PaaS。 跨租用戶的私人端點需要手動核准要求。
私人端點是否可連線至不同 Azure 區域的 Azure PaaS 資源?
是。 私人端點可連線至不同 Azure 區域的 Azure PaaS 資源。
是否可修改我的私人端點網路介面卡 (NIC)?
建立私人端點時,會指派唯讀的 NIC。 NIC 無法修改,而且會保留在私人端點的生命週期中。
若發生區域性失敗,使用私人端點時如何取得可用性?
私人端點為高可用性資源,且 SLA 為根據 Azure Private Link 的 SLA。 不過,由於這些私人端點是區域資源,因此任何 Azure 區域中斷都會影響可用性。 若要在發生區域性失敗時達到可用性,可以在不同的區域中部署多個連線至相同目的地資源的 PE。 如此一來,如果某個區域停止運作,您仍然可以透過不同區域中的 PE 路由傳送復原案例的流量,以存取目的地資源。 如需如何在目的地服務端處理區域失敗的資訊,請參閱有關容錯移轉和復原的服務文件。 Private Link 流量會遵循目的地端點的 Azure DNS 解析。
若發生可用性區域失敗,使用私人端點時如何取得可用性?
私人端點為高可用性資源,且 SLA 為根據 Azure Private Link 的 SLA。 私人端點與區域無關:私人端點區域的可用性區域失敗不會影響私人端點的可用性。
私人端點是否支援 ICMP 流量?
TCP 與 UDP 流量僅支援私人端點。 如需更多資訊,請參閱 Azure Prive Link 限制。
Private Link 服務
建立 Private Link 服務的必要條件為何?
您的服務後端應位於虛擬網路,在 Standard Load Balancer 後方。
如何調整 Private Link 服務的規模?
您可透過幾種不同的方式來調整 Private Link 服務:
- 將後端 VM 新增至您 Standard Load Balancer 後方的集區
- 將 IP 新增至 Private Link 服務。 各 Private Link 服務最多允許 8 個 IP。
- 將新的 Private Link 服務新增至 Standard Load Balancer。 各 Standard Load Balancer 最多可有八個 Private Link 服務。
什麼是 Private Link 服務中使用的 NAT (網路位址轉譯) IP 設定? 如何根據可用的連接埠和連線來調整?
- NAT IP 設定可確保來源 (取用者) 和目的地 (服務提供者) 位址空間沒有 IP 衝突。 設定會為目的地的私人連結流量提供來源 NAT。 NAT IP 位址會顯示為服務所接收的所有封包的來源 IP,以及服務所傳送之所有封包的目的地 IP。 您可從服務提供者的虛擬網路中選擇任何子網路的 NAT IP。
- 針對 Standard Load Balancer 背後的 VM,每個 NAT IP 都會提供 64k 的 TCP 連線 (64k 連接埠)。 若要調整和新增更多連線,您可以新增 NAT IP 或在 Standard Load Balancer 後方新增更多 VM。 這樣做會調整埠可用性,並允許更多連線。 聯機會分散到標準Load Balancer後方的NATIP和VM。
我可以將服務連線至多個私人端點嗎?
是。 一個 Private Link 服務可接收多個私人端點的連線。 但一個私人端點只能連線至一個 Private Link 服務。
如何控制 Private Link 服務的公開程度?
您可以使用 Private Link 服務上的可見度設定來控制暴露的風險。 可見度支援三項設定:
- 無 - 只有具有角色型存取權的訂用帳戶可以找到服務。
- 限制 - 只有已獲得核准且具有角色型存取權的訂用帳戶可以找到服務。
- 所有 - 所有人都可以找到該服務。
可使用基本負載平衡器建立 Private Link 服務嗎?
否。 不支援基本負載平衡器上的 Private Link 服務。
Private Link 服務需要專用的子網路嗎?
否。 Private Link 服務不需要專用子網路。 您可以選擇虛擬網路中部署服務的任何子網。
我是使用 Azure Private Link 的服務提供者。 是否需要確定所有的客戶都有唯一的 IP 空間,而不會與 IP 空間重疊?
否。 Azure Private Link 為您提供這項功能。 您不需要具有客戶位址空間的非重疊地址空間。