Dela via

Azure Private Link i ett nav-och-ekernätverk

Den här artikeln beskriver hur du kan använda Azure Private Link i en nav-och-ekertopologi. Målgruppen innehåller nätverksarkitekter och molnlösningsarkitekter. Den här guiden beskriver hur du använder privata Azure-slutpunkter för privat åtkomst till PaaS-resurser (Plattform som en tjänst).

Den här guiden omfattar inte integrering av virtuella nätverk, tjänstslutpunkter och andra lösningar för att ansluta IaaS-komponenter (infrastruktur som en tjänst) till Azure PaaS-resurser. Mer information om dessa lösningar finns i Integrera Azure-tjänster med virtuella nätverk för nätverksisolering.

Topologier för Hub and Spoke i Azure

Du kan använda en nätverkstopologi för nav och eker i Azure för att effektivt hantera kommunikationstjänster och uppfylla säkerhetskrav i stor skala. Mer information finns i nätverkstopologin Hub-and-spoke.

En hub-and-spoke-arkitektur ger följande fördelar:

  • Distribuerar enskilda arbetsbelastningar mellan centrala IT-team och arbetsbelastningsteam
  • Sparar kostnader genom att minimera redundanta resurser
  • Hanterar nätverk effektivt genom att centralisera tjänster som flera arbetsbelastningar delar
  • Övervinner gränser som är associerade med en enda Azure-prenumeration

Följande diagram visar en typisk topologi med nav och eker som du kan distribuera i Azure.

Arkitekturdiagram som visar ett virtuellt navnätverk och två ekrar. En eker är ett lokalt nätverk. Det andra är ett virtuellt nätverk i landningszonen.

Ladda ned en Visio-fil med den här arkitekturen.

Den här arkitekturen är ett av två alternativ för nätverkstopologi som Azure stöder. Den här klassiska referensdesignen använder grundläggande nätverkskomponenter som Azure Virtual Network, peering för virtuella nätverk och användardefinierade vägar (UDR). När du använder en topologi med nav och eker konfigurerar du tjänsterna och måste se till att nätverket uppfyller kraven för säkerhet och routning.

Azure Virtual WAN är ett alternativ för distributioner i stor skala. Den här tjänsten använder en förenklad nätverksdesign. Virtual WAN minskar de konfigurationskostnader som är kopplade till routning och säkerhet.

Private Link har stöd för olika alternativ för traditionella hub-and-spoke-nätverk och för Virtual WAN-nätverk.

Private Link ger åtkomst till tjänster via ett privat slutpunktsnätverksgränssnitt. En privat slutpunkt använder en privat IP-adress från ditt virtuella nätverk. Du kan komma åt olika tjänster via den privata IP-adressen:

  • Azure PaaS-tjänster
  • Kundägda tjänster som Azure är värd för
  • Partnertjänster som Azure är värd för

Trafik mellan ditt virtuella nätverk och den tjänst som du kommer åt färdas över Azure-nätverkets stamnät. Därför får du inte längre åtkomst till tjänsten via en offentlig slutpunkt. Mer information finns i Private Link.

Följande diagram visar hur lokala användare ansluter till ett virtuellt nätverk och använder Private Link för att komma åt PaaS-resurser.

Arkitekturdiagram som visar hur Azure Private Link ansluter ett virtuellt nätverk till PaaS-resurser.

Ladda ned en Visio-fil med den här arkitekturen.

Du kan distribuera privata slutpunkter i antingen en hubb eller en eker. Några faktorer avgör vilken plats som fungerar bäst i varje situation. Tänk på följande faktorer för att fastställa den bästa konfigurationen för Azure PaaS-tjänster och för kundägda tjänster och partnertjänster som Azure är värd för.

Avgöra om du använder Virtual WAN som nätverksanslutningslösning

Om du använder Virtual WAN kan du bara distribuera privata slutpunkter i virtuella ekernätverk som du ansluter till din virtuella hubb. Du kan inte distribuera resurser till din virtuella hubb eller till en säker hubb.

Mer information om hur du integrerar privata slutpunkter i nätverket finns i följande artiklar:

Ta reda på om du använder en virtuell nätverksinstallation, till exempel Azure Firewall

Trafik till privata slutpunkter använder Azure-nätverkets stamnät och krypteras. Du kan behöva logga eller filtrera trafiken. Du kanske också vill analysera trafik som flödar till privata slutpunkter om du använder en brandvägg inom följande områden:

  • Över ekrar
  • Mellan hubben och ekrarna
  • Mellan lokala komponenter och dina Azure-nätverk

I det här fallet distribuerar du privata slutpunkter i din hubb i ett dedikerat undernät. Den här konfigurationen ger följande fördelar:

  • Förenklar konfigurationen av SNAT-regler (secure network address translation). Du kan skapa en enda SNAT-regel i den virtuella nätverksinstallationen (NVA) för trafik till det dedikerade undernätet som innehåller dina privata slutpunkter. Du kan dirigera trafik till andra program utan att använda SNAT.

  • Förenklar konfigurationen av routningstabellen. För trafik som flödar till privata slutpunkter kan du lägga till en regel för att dirigera trafiken via din NVA. Du kan återanvända den regeln i alla ekrar, virtuella privata nätverksgateways (VPN) och Azure ExpressRoute-gateways.

  • Gör att du kan tillämpa regler för nätverkssäkerhetsgrupp för inkommande trafik i det undernät som du ägnar åt en privat slutpunkt. Dessa regler filtrerar trafik till dina resurser. De ger en enda plats för att styra åtkomsten till dina resurser.

  • Centraliserar hanteringen av privata slutpunkter. Om du distribuerar alla privata slutpunkter på ett ställe kan du hantera dem mer effektivt i alla virtuella nätverk och prenumerationer.

Använd den här konfigurationen när alla arbetsbelastningar behöver åtkomst till varje PaaS-resurs som Private Link skyddar. Om dina arbetsbelastningar har åtkomst till olika PaaS-resurser ska du inte distribuera privata slutpunkter i ett dedikerat undernät. Förbättra i stället säkerheten genom att följa principen om lägsta behörighet:

  • Placera varje privat slutpunkt i ett separat undernät.
  • Ge endast arbetsbelastningar som använder en skyddad resurs åtkomst till den resursen.

Avgöra om du använder en privat slutpunkt från ett lokalt system

Om du planerar att använda privata slutpunkter för att komma åt resurser från ett lokalt system distribuerar du slutpunkterna i hubben. Den här konfigurationen ger följande fördelar:

  • Du kan använda nätverkssäkerhetsgrupper för att styra åtkomsten till dina resurser.
  • Du kan hantera dina privata slutpunkter på en central plats.

Om du planerar att komma åt resurser från program som du distribuerar i Azure gäller följande faktorer:

  • Om bara en applikation behöver åtkomst till dina resurser distribuerar du en privat slutpunkt i applikationens gren.
  • Om fler än ett program behöver åtkomst till dina resurser distribuerar du en privat slutpunkt i hubben.

Flowchart

Följande flödesschema sammanfattar alternativ och rekommendationer. Varje kund har en unik miljö, så tänk på systemets krav när du bestämmer var du ska placera privata slutpunkter.

Flödesschema som vägleder dig genom processen att bestämma om du vill placera Private Link på en eker eller i hubben i ett nav-och-ekernätverk.

Ladda ned en Visio-fil med den här arkitekturen.

Considerations

Följande faktorer kan påverka implementeringen av din privata slutpunkt. De gäller för Azure PaaS-tjänster och kundägda tjänster och partnertjänster som Azure är värd för.

Networking

När du använder privata slutpunkter i ett virtuellt spoke-nätverk innehåller undernätets standardrutttabell en /32 rutt med nästa hopptyp InterfaceEndpoint.

  • Om du använder en traditionell topologi med nav och eker kan du visa den här effektiva vägen på nätverksgränssnittsnivå för dina virtuella datorer (VM). Mer information finns i Diagnostisera problem med routning av virtuella datorer.

  • Om du använder Virtual WAN kan du visa den här vägen i de virtuella hubbens effektiva vägar. Mer information finns i Visa effektiva vägar för virtuell hubb.

Vägen /32 sprids till följande områden:

  • Peering för virtuella nätverk som du konfigurerar
  • Vpn- eller ExpressRoute-anslutningar till ett lokalt system

Om du vill begränsa åtkomsten från hubben eller det lokala systemet till en privat slutpunkt använder du en nätverkssäkerhetsgrupp i undernätet där du distribuerar den privata slutpunkten. Konfigurera lämpliga regler för inkommande trafik.

Namnlösning

Komponenter i ditt virtuella nätverk associerar en privat IP-adress med varje privat slutpunkt. Dessa komponenter kan bara matcha den privata IP-adressen om du använder en specifik DNS-konfiguration (Domain Name System). Om du använder en anpassad DNS-lösning använder du DNS-zongrupper. Integrera den privata slutpunkten med en centraliserad privat DNS-zon i Azure, oavsett om resurser distribueras i en hubb eller eker. Länka den privata DNS-zonen med alla virtuella nätverk som behöver matcha dns-namnet för din privata slutpunkt.

I den här metoden kan lokala och Azure DNS-klienter matcha namnet och få åtkomst till den privata IP-adressen. En referensimplementering finns i Private Link och DNS-integrering i stor skala.

Costs

  • När du använder privata slutpunkter i en regional peering för virtuella nätverk tillämpas inte peeringavgifter för trafik till och från privata slutpunkter.

  • Peeringkostnader gäller för annan infrastrukturresurstrafik som flödar över en peering för virtuella nätverk.

  • När du distribuerar privata slutpunkter i olika regioner gäller Private Link-priser och globala priser för inkommande och utgående peering.

Mer information finns i Bandbreddspriser.

Contributors

Microsoft ansvarar för den här artikeln. Följande deltagare skrev den här artikeln.

Huvudförfattare:

  • Jose Angel Fernández Rodrigues - Sverige | Senior Specialist GBB

Annan deltagare:

Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.

Nästa steg