Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
专用终结点是使用虚拟网络中的专用 IP 地址的网络接口。 此网络接口将您安全私密地连接到由 Azure 私有链接支持的服务。 启用专用终结点可将服务引入虚拟网络中。
该服务可以是Azure服务,例如:
- Azure Storage
- Azure Cosmos DB
- Azure SQL Database
- 你自己的服务,使用 Private Link service。
专用终结点属性
专用终结点指定以下属性:
| 属性 | 说明 |
|---|---|
| 名称 | 资源组中的唯一名称。 |
| 子网 | 要部署的子网,其中分配了专用 IP 地址。 有关子网要求,请参阅本文稍后的限制部分。 |
| 专用链接资源 | 要使用资源 ID 或别名连接的专用链接资源,其类型为可用类型列表中的类型。 将为发送到此资源的所有流量生成一个唯一的网络标识符。 |
| 目标子资源 | 要连接的子资源。 每个专用链接资源类型都提供多种选项,可根据偏好进行选择。 |
| 连接批准方法 | 自动或手动。 根据 Azure 基于角色的访问控制权限,专用终结点可以被自动批准。 如果要在没有Azure基于角色的权限的情况下连接到专用链接资源,请使用手动方法允许资源的所有者批准连接。 |
| 请求消息 | 您可以为需要手动批准的连接指定一条消息。 此消息可用于标识特定的请求。 |
| 连接状态 | 一个只读属性,指定专用终结点是否处于活动状态。 只能使用处于已批准状态的专用终结点发送流量。 更多可用状态: |
创建专用终结点时,请考虑以下事项:
专用终结点允许客户在相同网络环境中实现连接:
- 虚拟网络
- 区域对等互连的虚拟网络
- 全球对等虚拟网络
- 使用 VPN 或 Express Route 的本地环境
- 由 Private Link 提供支持的服务
网络连接只能由要连接到专用终结点的客户端启动。 服务提供商未提供路由配置,因此无法创建与服务客户的连接。 只能建立单向连接。
一个只读网络接口将在专用终结点的整个生命周期内自动创建。 接口会从映射到该专用链接资源的子网中获取动态专用 IP 地址。 专用 IP 地址的值在专用终结点的整个生命周期中保持不变。
专用终结点必须与虚拟网络部署在同一区域和订阅中。
专用链接资源可部署在与虚拟网络和专用终结点所在区域不同的区域中。
可以使用相同的专用链接资源创建多个专用终结点。 对于使用常见 DNS 服务器配置的单个网络,建议的做法是对指定的专用链接资源使用单个专用终结点。 使用这种做法可以避免出现重复条目或 DNS 解析冲突。
可以在同一虚拟网络中的相同或不同子网上创建多个专用终结点。 在一个订阅中可以创建的专用终结点数量有限制。 有关详细信息,请参阅 Azure 限制。
包含专用链接资源的订阅必须注册到Azure网络资源提供程序。 包含专用终结点的订阅还必须向Azure网络资源提供程序注册。 有关详细信息,请参阅 Azure 资源提供程序。
专用链接资源
专用链接资源是特定专用终结点的目标对象。 下表列出了支持专用终结点的可用资源:
| 专用链接资源名称 | 资源类型 | 子资源 |
|---|---|---|
| 应用程序网关 | Microsoft.Network/applicationgateways | 前端 IP 配置名称 |
| Azure AI Search | Microsoft.Search/searchServices | 搜索服务 (Search Service) |
| Azure AI services | Microsoft.CognitiveServices/accounts(微软认知服务/帐户) | 帐户 |
| Azure API for FHIR (快速医疗保健互操作性资源) | Microsoft HealthcareApis/services | fhir |
| Azure API Management | Microsoft.ApiManagement/service | 网关 |
| Azure 应用配置 | Microsoft.Appconfiguration/configurationStores | configurationStores |
| Azure App Service | Microsoft.Web/hostingEnvironments | 宿主环境 |
| Azure App Service | Microsoft.Web/网站 | 网站 |
| Azure Attestation 服务 | Microsoft.Attestation/凭证提供者 | 标准 |
| Azure Automation | Microsoft.Automation/automationAccounts | Webhook、DSCAndHybridWorker |
| Azure Backup | Microsoft.RecoveryServices/vaults | AzureBackup、AzureSiteRecovery |
| Azure Batch | Microsoft.Batch/batchAccounts | batchAccount、nodeManagement |
| Azure 缓存 (Cache) for Redis | Microsoft.Cache/Redis | Redis缓存 |
| Azure Redis 企业版缓存 | Microsoft.Cache/redisEnterprise | redisEnterprise |
| Azure Container Apps | Microsoft.App/ManagedEnvironments | 管理环境 |
| Azure 容器注册表 (Azure Container Registry) | Microsoft.ContainerRegistry/registries | 注册表 |
| Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | SQL、MongoDB、Cassandra、Gremlin、表 |
| 用于 MongoDB vCore 的 Azure Cosmos DB | Microsoft.DocumentDb/mongoClusters | mongo集群 |
| 适用于 PostgreSQL 的 Azure Cosmos DB | Microsoft.DBforPostgreSQL/serverGroupsv2 | 协调器 |
| Azure Data Explorer | Microsoft.Kusto/clusters | 群集 |
| Azure Data Factory | Microsoft.DataFactory/factories | dataFactory |
| Azure 数据库服务 (适用于 MariaDB) | Microsoft.DBforMariaDB/servers | MariaDB服务器 |
| Azure Database for MySQL - 灵活服务器 | Microsoft.DBforMySQL/flexibleServers | MySQL服务器 |
| Azure Database for MySQL - 单一服务器 | Microsoft.DBforMySQL/servers | MySQL服务器 |
| Azure Database for PostgreSQL - 灵活服务器 | Microsoft.DBforPostgreSQL/flexibleServers | PostgreSQL 服务器 |
| Azure Database for PostgreSQL - 单一服务器 | Microsoft.DBforPostgreSQL/servers | PostgreSQL 服务器 |
| Azure Databricks | Microsoft.Databricks/workspaces | databricks_ui_api、browser_authentication |
| Azure设备预配服务 | Microsoft.Devices/provisioningServices | iotDps |
| Azure Event Grid | Microsoft.EventGrid/域 | 域 |
| Azure Event Grid | Microsoft.EventGrid/主题 | 主题 |
| Azure事件中心 | Microsoft.EventHub/namespaces | 命名空间 |
| Azure File Sync | Microsoft.StorageSync/storageSyncServices | 文件同步服务 |
| Azure HDInsight | Microsoft.HDInsight/clusters | 群集 |
| Azure IoT Hub | Microsoft.Devices/IotHubs (微软设备/物联网中心) | iotHub |
| Azure Key Vault | Microsoft.KeyVault/vaults | 保管库 |
| Azure Key Vault HSM (硬件安全模块) | Microsoft.Keyvault/managedHSMs | HSM |
| Azure Kubernetes Service - Kubernetes API | Microsoft.ContainerService/managedClusters | 管理 |
| Azure Machine Learning | Microsoft.MachineLearningServices/注册表 | amlregistry |
| Azure Machine Learning | 微软.机器学习服务/工作区 | amlworkspace |
| Azure Managed Disks | Microsoft.Compute/磁盘访问 | 托管磁盘 |
| Azure Media Services | Microsoft.媒体/媒体服务 | keydelivery 、liveevent 、streamingendpoint |
| Azure Migrate | Microsoft.Migrate/assessmentProjects | 项目 |
| Azure Monitor Private Link 范围 | Microsoft.Insights/privatelinkscopes | azuremonitor |
| Azure Relay | Microsoft.Relay/命名空间 | 命名空间 |
| Azure Service Bus | Microsoft.ServiceBus/namespaces | 命名空间 |
| Azure SignalR Service | Microsoft.SignalRService/SignalR | SignalR |
| Azure SignalR Service | Microsoft.SignalRService/webPubSub | WebPubSub |
| Azure SQL Database | Microsoft.Sql/servers | SQL Server (sqlServer) |
| Azure SQL 托管实例 | Microsoft.Sql/managedInstances | managedInstance |
| Azure Storage | Microsoft.Storage/storageAccounts | Blob(blob、blob_secondary) 表(table、table_secondary) 队列(队列、第二队列) 文件(文件、次要文件) Web(web、web_secondary) Dfs(dfs、dfs_secondary) |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | web |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Sql、SqlOnDemand、Dev |
| Azure Virtual Desktop - 主机池 | Microsoft.DesktopVirtualization/hostpools | 连接 |
| Azure Virtual Desktop - 工作区 | Microsoft.DesktopVirtualization/workspaces | 信息提要 全球 |
| 集成帐户(高级版) | Microsoft.Logic/集成账户 | 集成账户 |
| Microsoft Purview | Microsoft.Purview/accounts | 帐户 |
| Microsoft Purview | Microsoft.Purview/accounts | 门户 |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| 私有链接服务(您自己的服务) | Microsoft.Network/privateLinkServices | 空 |
| 资源管理专用链接 | Microsoft.Authorization/resourceManagementPrivateLinks | 资源管理 |
注意
只能在常规用途 v2 (GPv2) 存储帐户上创建专用终结点。
专用端点的网络安全
使用专用终结点时,流量被保护并定向到专用链接资源。 平台会验证网络连接,仅允许那些抵达指定私有链接资源的连接。 若要在同一Azure服务中访问更多子资源,需要具有相应目标的更多专用终结点。 例如,对于Azure Storage,需要单独的专用终结点才能访问 file 和 blob 子资源。
专用终结点为Azure服务提供专用可访问的 IP 地址,但不一定限制对它的公用网络访问。 但是,所有其他Azure服务都需要额外的 access 控件。 这些控制为资源提供额外的网络安全层,提供保护,帮助防止访问与专用链接资源关联的Azure服务。
专用终结点支持网络策略。 网络策略启用对网络安全组 (NSG)、用户定义的路由 (UDR) 和应用程序安全组 (ASG) 的支持。 有关为专用终结点启用网络策略的详细信息,请参阅 管理专用终结点的网络策略。
注意
网络策略支持的功能,如网络安全组(NSG)和应用程序安全组(ASG),目前在由世纪互联运营的Azure中不可用。 有关详细信息,请参阅 “限制 ”。
使用审批工作流访问私有链接资源
可以使用以下连接审批方法连接到专用链接资源:
自动批准:当你有特定专用链接资源的权限时,请使用此方法。 所需权限是基于私有链接资源类型,并采用以下格式:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action手动请求:当你没有所需的权限并希望请求访问权限时,请使用此方法。 将启动审批工作流。 将会以“挂起”状态创建专用终结点和后续的专用终结点连接。 专用链接资源所有者负责审批该连接。 获得批准后,专用终结点即可正常发送流量,如以下审批工作流图所示:
对于专用终结点连接,专用链接资源所有者可以:
- 查看所有专用终结点连接的详细信息。
- 批准专用终结点连接。 将允许相应的专用终结点向专用链接资源发送流量。
- 拒绝专用终结点连接。 相应的专用终结点将会更新以反映该状态。
- 删除处于任何状态的专用终端连接。 相应的专用终结点将更新为断开连接状态,以反映该操作。 此时,专用终结点所有者只能删除该资源。
注意
只有处于“已批准”状态的专用终结点才能将流量发送到指定的专用链接资源。
使用别名进行连接
别名是当服务所有者在一个标准负载均衡器后创建专用链接服务时生成的唯一标识符。 服务所有者可以脱机与服务的使用者共享此别名。
使用者可以使用资源 URI 或别名请求连接到专用链接服务。 若要使用别名进行连接,请使用手动连接审批方法创建专用终结点。 若要使用手动连接审批方法,请在专用终结点创建流期间将手动请求参数设置为 True。 有关详细信息,请参阅 New-AzPrivateEndpoint 和 az network private-endpoint create。
注意
如果在提供商端将使用者订阅加入允许列表,则系统可以自动批准此手动请求。 若要了解详细信息,请转到控制服务访问。
DNS 配置
用于连接到专用链接资源的 DNS 设置非常重要。 通过公共终结点进行连接时,现有Azure服务可能已有可以使用的 DNS 配置。 为了通过专用终结点连接到同一服务,需要单独进行 DNS 设置,通常通过专用 DNS 区域进行配置。 使用完全限定的域名 (FQDN) 进行连接时,请确保 DNS 设置正确。 设置必须解析为专用终结点的专用 IP 地址。
与专用终结点关联的网络接口包含配置 DNS 所需的信息。 信息包括专用链接资源的 FQDN 和专用 IP 地址。
有关为专用终结点配置 DNS 的建议的完整详细信息,请参阅专用终结点 DNS 配置。
限制
以下信息列出了使用专用终结点的已知限制:
静态 IP 地址
| 限制 | 说明 |
|---|---|
| 目前不支持静态 IP 地址配置。 |
Azure Kubernetes Service (AKS) Azure Application Gateway HD Insight 恢复服务存储库 第三方私有连接服务 |
网络安全组
| 限制 | 说明 |
|---|---|
| 有效路由和安全规则不适用于专用终结点网络接口。 | 专用终结点 NIC 不会在 Azure 门户中显示有效路由规则和安全性规则。 |
| 不支持 NSG 流日志。 | NSG 流日志不适用于发往专用终结点的入站流量。 |
| 应用程序安全组中的成员不能超过 50 个。 | 50 是可以绑定到每个相应 ASG 的 IP 配置数,而 ASG 则与专用终结点子网上的 NSG 耦合。 超过 50 个成员可能会出现连接故障。 |
| 支持的目标端口范围最多为 250K 的因数。 | 支持的目标端口范围是通过组合 SourceAddressPrefixes、DestinationAddressPrefixes 和 DestinationPortRanges 来实现的。 示例入站规则: 1 源 * 1 目的地 * 4K 端口范围 = 4K 有效的 10 个来源 * 10 个目的地 * 10 个端口范围 = 1K 有效 50 个源 * 50 个目的地 * 50 个端口范围 = 125 K,等于有效 50 sources * 50 destinations * 100 portRanges = 250 K,有效 100 sources * 100 destinations * 100 portRanges = 1M,无效,NSG 的源/目标/端口过多。 |
| 源端口筛选被解释为 * | 对于发往专用终结点的流量,源端口筛选不会主动用作有效的流量筛选方案。 |
| 某些地区功能不可用。 | 当前在以下区域中不可用: 所有中国区域 |
NSG(网络安全组)更多注意事项
阻止来自专用终结点的出站流量是不合理的情况,因为服务提供商无法源发流量。
在使用专用终结点和添加 NSG 安全筛选器时,以下服务可能需要打开所有目标端口:
- Azure Cosmos DB - 有关详细信息,请参阅 Service 端口范围。
UDR
| 限制 | 说明 |
|---|---|
| 建议使用 SNAT。 | 由于私有终结点数据平面的可变性,建议对发往私有终结点的流量进行 SNAT 处理,以确保通过 NVA 时返回流量能够正确返回。 可以使用 NVA 中的 disableSnatOnPL 标记删除此限制。 |
后续步骤
有关专用终结点和Private Link的详细信息,请参阅 什么是 Azure Private Link?
若要开始为 Web 应用创建专用终结点,请参阅 Quickstart:使用 Azure 门户创建专用终结点。