.gif)
.jpg)
במאמר זה נסביר על Azure Private Link ונבין כיצד הוא מסייע לנו להתחבר לשירותי PaaS כמו SQL ו-Storage בצורה מאובטחת על גבי הרשת הווירטואלית שלנו – ואיך מקימים את השירות מאפס.
מה זה Azure Private Link
Azure Private Link מאפשר לגשת לשירותי Azure PaaS על גבי הרשת הווירטואלית, זאת ללא צורך בחשיפת השירותים לאינטרנט דרך Microsoft Backbone. כך, השימוש בשירות Azure Private Link יוצר גמישות ושיפור האבטחה לשירותי ה-PaaS ע”י ביטול הצורך בגישה ציבורית ובנוסף, ניתן ליצור שירות PaaS פרטי על גבי ה-VNET ולהעביר אותו באופן פרטי ללקוחות/שותפים.
תרשים הפתרון
להלן מספר יתרונות בשימוש ב-Azure Private Link
• גישה פרטית/מאובטחת לשירותי Azure – חיבור ה-VNET לשירותי Azure באופן “פרטי” ללא צורך בחשיפת השירות לאינטרנט.
• גישה מ-On-Premise – שימוש ב-Azure Private Link מאפשר גישה לשירותי Azure דרך חיבור VPN ו/או Express Route. אין צורך בגישה מ-On-Premise לשירותי ה-PaaS דרך האינטרנט.
• גישה מאובטחת רק לשירות שמולו נעשה Azure Private Link, אין צורך לאפשר גישה לכל שירותי ה-PaaS ו/או חשיפה לכל השירות עצמו - החשיפה תתבצע רק לשירות הספציפי “הפרטי” שהוגדר.
• יכולת חיבור Cross Region.
מה ההבדל בין Azure Private Link ל-Azure Service Endpoint
שאלה אחת שעולה כשחושבים על Private Link היא התהייה על השוני בהשוואה ל-Service Endpoint, אך האמת היא, שמדובר בשני שירותים שונים.
כשמשתמשים ב-Service Endpoint, הגישה לשירות ה-PaaS ננעלת לרשת הווירטואלית - אך עדין יש נקודת קצה ציבורית. קרי, הנעילה היא מבחינת התעבורה בלבד. בנוסף לכך, הנעילה היא לשירות ולא למשאב ספציפי לעומת Private Link, בו הגישה היא רק למשאב הרלוונטי.
בנוסף, Private Link מייצר Endpoint עם כתובת IP פרטית. כלומר, התעבורה עוברת אך ורק בתוך ה-VNET ואינה דורשת כללי NSG כדי לצאת החוצה בשונה מ-Service Endpoint.
הבדל נוסף שחשוב לציין הוא מבחינת עלויות: שירות ה-Service Endpoint הינו חינמי, לעומת Private Link המוצע עבור תשלום.
איך מקימים את השירות – קדימה למעבדה!
בתרחיש זה נבצע חיבור משרת VM שנמצא ב-Azure לשירות PaaS של Azure SQL DB.
הערה: שרת VM ו-SQL DB (PaaS) כבר היו קיימים בחשבון, אך אין ביניהם חיבור.
נכנסים לפורטל Azure, בוחרים Create Resource ולאחר מכן מחפשים Private Link.
נפתח “Started Page” נחמד שמסביר את הפתרון ונלחץ על “Build a private connection to a service”.
ישנה אפשרות ליצור גם דרך Private endpoints ואז ללחוץ על Add.
בחלון שנפתח, נותנים את השם ל-Private Link ואת ה-Region ונלחץ על Next.
בחלון הזה מגדירים לאיזה משאב PaaS אנחנו רוצים להתחבר, ונלחץ על Next (בדוגמה שלנו לשירות Azure SQL DB שקיים בחשבון).
שימו לב, אפשר לבחור משאב שקיים ב-Directory שלנו או משאב שנמצא ב-Directory אחר כמו לקוח/שותף.
בחלון הזה מגדירים לאיזה VNET ו-Subnet אנו רוצים לחבר את שירות ה-PaaS.
בנוסף, ניתן לבצע אינטגרציה עם Azure DNS Private zone או להשתמש בשרתי ה-DNS של הארגון ע”י הגדרת Record - משלימים את ה-Tags ולוחצים על Create.
לאחר הקמת השירות, נוכל לראות שקיים לנו Private Link חדש
בנוסף, נוכל לראות גם את ה-Interface (כתובת פנימית שה-VNET נתן לשירות) PrivateLink07 ניתן כמובן להגדיר Record ב-DNS לכתובת.
בדיקות
מתחברים לשרת הרלוונטי ומנסים להתחבר לשירות דרך ה-Private Link. הערה: במעבדה הוגדר ה-DNS לכתובת הפנימית ובנוסף אין אפשרות כמובן להתחבר לשירות דרך האינטרנט.
לסיכום
שירות Private Link מספק בשורה חדשה לחיבור שירותי PaaS בצורה מאובטחת, ללא צורך לצאת החוצה.
השירות מאפשר ליצור חיבור למשאב ספציפי ולא לכל השירות ובנוסף מאפשר להתחבר לשירותי ה-PaaS דרך ה-VPN.
אומנם מדובר בשירות בתשלום, אך אם אתם מעוניינים בחיבור שירותי PaaS בצורה מאובטחת, אין ספק ששירות זה נותן מענה רחב.
מאת: אביחי חג'ג', Azure Technical Leader | Microsoft Azure MVP בחברת U-BTech Solutions
רוצים להתעדכן בתכנים נוספים בנושאי אבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
במאמר זה נסביר על Azure Private Link ונבין כיצד הוא מסייע לנו להתחבר לשירותי PaaS כמו SQL ו-Storage בצורה מאובטחת על גבי הרשת הווירטואלית שלנו – ואיך מקימים את השירות מאפס.
מה זה Azure Private Link
Azure Private Link מאפשר לגשת לשירותי Azure PaaS על גבי הרשת הווירטואלית, זאת ללא צורך בחשיפת השירותים לאינטרנט דרך Microsoft Backbone. כך, השימוש בשירות Azure Private Link יוצר גמישות ושיפור האבטחה לשירותי ה-PaaS ע”י ביטול הצורך בגישה ציבורית ובנוסף, ניתן ליצור שירות PaaS פרטי על גבי ה-VNET ולהעביר אותו באופן פרטי ללקוחות/שותפים.
תרשים הפתרון
להלן מספר יתרונות בשימוש ב-Azure Private Link
• גישה פרטית/מאובטחת לשירותי Azure – חיבור ה-VNET לשירותי Azure באופן “פרטי” ללא צורך בחשיפת השירות לאינטרנט.
• גישה מ-On-Premise – שימוש ב-Azure Private Link מאפשר גישה לשירותי Azure דרך חיבור VPN ו/או Express Route. אין צורך בגישה מ-On-Premise לשירותי ה-PaaS דרך האינטרנט.
• גישה מאובטחת רק לשירות שמולו נעשה Azure Private Link, אין צורך לאפשר גישה לכל שירותי ה-PaaS ו/או חשיפה לכל השירות עצמו - החשיפה תתבצע רק לשירות הספציפי “הפרטי” שהוגדר.
• יכולת חיבור Cross Region.
מה ההבדל בין Azure Private Link ל-Azure Service Endpoint
שאלה אחת שעולה כשחושבים על Private Link היא התהייה על השוני בהשוואה ל-Service Endpoint, אך האמת היא, שמדובר בשני שירותים שונים.
כשמשתמשים ב-Service Endpoint, הגישה לשירות ה-PaaS ננעלת לרשת הווירטואלית - אך עדין יש נקודת קצה ציבורית. קרי, הנעילה היא מבחינת התעבורה בלבד. בנוסף לכך, הנעילה היא לשירות ולא למשאב ספציפי לעומת Private Link, בו הגישה היא רק למשאב הרלוונטי.
בנוסף, Private Link מייצר Endpoint עם כתובת IP פרטית. כלומר, התעבורה עוברת אך ורק בתוך ה-VNET ואינה דורשת כללי NSG כדי לצאת החוצה בשונה מ-Service Endpoint.
הבדל נוסף שחשוב לציין הוא מבחינת עלויות: שירות ה-Service Endpoint הינו חינמי, לעומת Private Link המוצע עבור תשלום.
איך מקימים את השירות – קדימה למעבדה!
בתרחיש זה נבצע חיבור משרת VM שנמצא ב-Azure לשירות PaaS של Azure SQL DB.
הערה: שרת VM ו-SQL DB (PaaS) כבר היו קיימים בחשבון, אך אין ביניהם חיבור.
נכנסים לפורטל Azure, בוחרים Create Resource ולאחר מכן מחפשים Private Link.
נפתח “Started Page” נחמד שמסביר את הפתרון ונלחץ על “Build a private connection to a service”.
ישנה אפשרות ליצור גם דרך Private endpoints ואז ללחוץ על Add.
בחלון שנפתח, נותנים את השם ל-Private Link ואת ה-Region ונלחץ על Next.
בחלון הזה מגדירים לאיזה משאב PaaS אנחנו רוצים להתחבר, ונלחץ על Next (בדוגמה שלנו לשירות Azure SQL DB שקיים בחשבון).
שימו לב, אפשר לבחור משאב שקיים ב-Directory שלנו או משאב שנמצא ב-Directory אחר כמו לקוח/שותף.
בחלון הזה מגדירים לאיזה VNET ו-Subnet אנו רוצים לחבר את שירות ה-PaaS.
בנוסף, ניתן לבצע אינטגרציה עם Azure DNS Private zone או להשתמש בשרתי ה-DNS של הארגון ע”י הגדרת Record - משלימים את ה-Tags ולוחצים על Create.
לאחר הקמת השירות, נוכל לראות שקיים לנו Private Link חדש
בנוסף, נוכל לראות גם את ה-Interface (כתובת פנימית שה-VNET נתן לשירות) PrivateLink07 ניתן כמובן להגדיר Record ב-DNS לכתובת.
בדיקות
מתחברים לשרת הרלוונטי ומנסים להתחבר לשירות דרך ה-Private Link. הערה: במעבדה הוגדר ה-DNS לכתובת הפנימית ובנוסף אין אפשרות כמובן להתחבר לשירות דרך האינטרנט.
לסיכום
שירות Private Link מספק בשורה חדשה לחיבור שירותי PaaS בצורה מאובטחת, ללא צורך לצאת החוצה.
השירות מאפשר ליצור חיבור למשאב ספציפי ולא לכל השירות ובנוסף מאפשר להתחבר לשירותי ה-PaaS דרך ה-VPN.
אומנם מדובר בשירות בתשלום, אך אם אתם מעוניינים בחיבור שירותי PaaS בצורה מאובטחת, אין ספק ששירות זה נותן מענה רחב.
מאת: אביחי חג'ג', Azure Technical Leader | Microsoft Azure MVP בחברת U-BTech Solutions
רוצים להתעדכן בתכנים נוספים בנושאי אבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר