שלום לכולם,
במאמר זה אני אסביר מה זה Azure Private Link, איך הוא מסייע לנו להתחבר לשירותי PaaS כמו SQL ו-Storage בצורה מאובטחת על גבי הרשת הווירטואלית שלנו וכמובן נראה כיצד מקימים שירות כזה.
נכון לכתיבת המאמר השירות נמצא ב-Preview.
מה זה Azure Private Link
Azure Private Link מאפשר לגשת לשירותי Azure PaaS על גבי הרשת הווירטואלית ללא צורך בחשיפת השירותים לאינטרנט דרך Microsoft Backbone.
שימוש בשירות Azure Private Link נותן גמישות ושיפור האבטחה לשירותי ה-PaaS ע”י ביטול הצורך בגישה ציבורית.
בנוסף, השירות מאפשר ליצור שירות PaaS פרטי על גבי ה-VNET ולהעביר אותו באופן פרטי ללקוחות/שותפים.
תרשים הפתרון
להלן מספר יתרונות בשימוש ב-Azure Private Link
- גישה פרטית/מאובטחת לשירותי Azure – חיבור ה-VNET לשירותי Azure באופן “פרטי” ללא צורך בחשיפת השירות לאינטרנט.
- גישה מ-On-Premise – שימוש ב-Azure Private Link מאפשר גישה לשירותי Azure דרך חיבור VPN ו/או Express Route. אין צורך בגישה מ-On-Premise לשירותי ה-PaaS דרך האינטרנט.
- גישה מאובטחת רק לשירות שמולו נעשה Azure Private Link, אין צורך לאפשר גישה לכל שירותי ה-PaaS ו/או חשיפה לכל השירות עצמו. החשיפה תתבצע רק לשירות הספציפי “הפרטי” שהוגדר.
- יכולת חיבור Cross Region.
מה ההבדל בין Azure Private Link ל-Azure Service Endpoint.
שאלה אחת שעולה בראש כשחושבים על Private Link היא במה זה שונה מ-Service Endpoint? אז מדובר בשני שירותים שונים.
כשמשתמשים ב-Service Endpoint גישה לשירות ה-PaaS ננעלת לרשת הווירטואלית אך עדין יש נקודת קצה ציבורית – הנעילה היא מבחינת התעבורה בלבד בנוסף הנעילה היא לשירות ולא למשאב ספציפי לעומת Private Link שהגישה היא רק למשאב הרלוונטי.
בנוסף, Private Link מייצר Endpoint עם כתובת IP פרטית כלומר התעבורה עוברת אך ורק בתוך ה-VNET ואינה דורשת כללי NSG כדי לצאת החוצה בשונה מ-Service Endpoint.
הבדל נוסף שחשוב לציין הוא מבחינת עלויות כי שירות Service Endpoint חינם לעומת Private Link שבתשלום.
איך מקימים את השירות – קדימה למעבדה
נכון לכתיבת המאמר מדובר בשירות Preview.
בתרחיש זה נבצע חיבור משרת VM שנמצא ב-Azure לשירות PaaS של Azure SQL DB.
הערה: שרת VM ו-SQL DB (PaaS) כבר קיימים בחשבון אך אין ביניהם חיבור.
- נכנסים לפורטל Azure, בוחרים Create Resource ולאחר מכן מחפשים Private Link
- נפתח “Started Page” נחמד שמסביר את הפתרון ונלחץ על “Build a private connection t a service”.
- בחלון שנפתח נותנים את השם ל-Private Link ואת ה-Region ונלחץ על Next.
- בחלון הזה מגדירים לאיזה משאב PaaS אנחנו רוצים להתחבר ונלחץ על Next
(בדוגמה שלנו לשירות Azure SQL DB שקיים בחשבון).
שימו לב, אפשר לבחור משאב שקיים ב-Directory שלנו או משאב שנמצא ב-Directory אחר כמו לקוח/שותף.
- בחלון הזה מגדירים לאיזה VNET ו-Subnet אנו רוצים לחבר את שירות ה-PaaS.
בנוסף, ניתן לבצע אינטגרציה עם Azure DNS Private zone או להשתמש בשרתי ה-DNS של הארגון ע”י הגדרת Record משלימים את Tags ולוחצים על Create. - לאחר הקמת השירות נוכל לראות שקיים לנו Private Link חדש
ובנוסף, נוכל לראות גם את ה-Interface (כתובת פנימית שה-VNET נתן לשירות) ניתן כמובן להגדיר Record ב-DNS לכתובת.
בדיקות
מתחברים לשרת הרלוונטי ומנסים להתחבר לשירות דרך ה-Private Link. הערה: במעבדה הוגדר ה-DNS לכתובת הפנימית ובנוסף אין אפשרות כמובן להתחבר לשירות דרך האינטרנט.
לסיכום
שירות Private Link נותן בשורה חדשה לחיבור שירותי PaaS בצורה מאובטחת ללא צורך לצאת החוצה.
השירות מאפשר ליצור חיבור למשאב ספציפי ולא לכל השירות ובנוסף מאפשר להתחבר לשירותי ה-PaaS דרך ה-VPN.
אומנם מדובר בשירות בתשלום אבל אין ספק שנותן מענה רחב לחיבור שירותי PaaS בצורה מאובטחת.
בהצלחה
Leave a Reply