✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

Azure Private Link Guide

'אביחי חג'ג
|
Sep 22, 2020
alt="blogs"
Event
Events
alt="blogs"
alt="blogs"
title="Google"

במאמר זה נסביר על Azure Private Link ונבין כיצד הוא מסייע לנו להתחבר לשירותי PaaS כמו SQL ו-Storage בצורה מאובטחת על גבי הרשת הווירטואלית שלנו – ואיך מקימים את השירות מאפס.

מה זה Azure Private Link

Azure Private Link מאפשר לגשת לשירותי Azure PaaS על גבי הרשת הווירטואלית, זאת ללא צורך בחשיפת השירותים לאינטרנט דרך Microsoft Backbone. כך, השימוש בשירות Azure Private Link יוצר גמישות ושיפור האבטחה לשירותי ה-PaaS  ע”י ביטול הצורך בגישה ציבורית ובנוסף, ניתן ליצור שירות PaaS פרטי על גבי ה-VNET ולהעביר אותו באופן פרטי ללקוחות/שותפים.

תרשים הפתרון

azure-private-link


להלן מספר יתרונות בשימוש ב-Azure Private Link

• גישה פרטית/מאובטחת לשירותי Azure – חיבור ה-VNET לשירותי Azure באופן “פרטי” ללא צורך בחשיפת השירות לאינטרנט.
• גישה מ-On-Premise – שימוש ב-Azure Private Link מאפשר גישה לשירותי Azure דרך חיבור VPN ו/או Express Route. אין צורך בגישה מ-On-Premise לשירותי ה-PaaS דרך האינטרנט.
• גישה מאובטחת רק לשירות שמולו נעשה Azure Private Link, אין צורך לאפשר גישה לכל שירותי ה-PaaS ו/או חשיפה לכל השירות עצמו - החשיפה תתבצע רק לשירות הספציפי “הפרטי” שהוגדר.
• יכולת חיבור Cross Region.

מה ההבדל בין Azure Private Link ל-Azure Service Endpoint

שאלה אחת שעולה כשחושבים על Private Link היא התהייה על השוני בהשוואה ל-Service Endpoint, אך האמת היא, שמדובר בשני שירותים שונים.

כשמשתמשים ב-Service Endpoint, הגישה לשירות ה-PaaS ננעלת לרשת הווירטואלית - אך עדין יש נקודת קצה ציבורית. קרי, הנעילה היא מבחינת התעבורה בלבד. בנוסף לכך, הנעילה היא לשירות ולא למשאב ספציפי לעומת Private Link, בו הגישה היא רק למשאב הרלוונטי.

בנוסף, Private Link מייצר Endpoint עם כתובת IP פרטית. כלומר, התעבורה עוברת אך ורק בתוך ה-VNET ואינה דורשת כללי NSG כדי לצאת החוצה בשונה מ-Service Endpoint.
הבדל נוסף שחשוב לציין הוא מבחינת עלויות: שירות ה-Service Endpoint הינו חינמי, לעומת Private Link המוצע עבור תשלום.

איך מקימים את השירות – קדימה למעבדה!

בתרחיש זה נבצע חיבור משרת VM שנמצא ב-Azure לשירות PaaS של Azure SQL DB.

הערה: שרת VM ו-SQL DB (PaaS) כבר היו קיימים בחשבון, אך אין ביניהם חיבור.

נכנסים לפורטל Azure, בוחרים Create Resource ולאחר מכן מחפשים Private Link.

PrivateLink01



נפתח “Started Page” נחמד שמסביר את הפתרון ונלחץ על “Build a private connection to a service”.

PrivateLink02



ישנה אפשרות ליצור גם דרך Private endpoints ואז ללחוץ על Add.

PrivateLink03

בחלון שנפתח, נותנים את השם ל-Private Link ואת ה-Region ונלחץ על Next.

PrivateLink04



בחלון הזה מגדירים לאיזה משאב PaaS אנחנו רוצים להתחבר, ונלחץ על Next (בדוגמה שלנו לשירות Azure SQL DB שקיים בחשבון).

שימו לב, אפשר לבחור משאב שקיים ב-Directory שלנו או משאב שנמצא ב-Directory אחר כמו לקוח/שותף.

בחלון הזה מגדירים לאיזה VNET ו-Subnet אנו רוצים לחבר את שירות ה-PaaS.

בנוסף, ניתן לבצע אינטגרציה עם Azure DNS Private zone או להשתמש בשרתי ה-DNS של הארגון ע”י הגדרת Record - משלימים את ה-Tags ולוחצים על Create.

PrivateLink05



לאחר הקמת השירות, נוכל לראות שקיים לנו Private Link חדש

PrivateLink06



בנוסף, נוכל לראות גם את ה-Interface (כתובת פנימית שה-VNET נתן לשירות) PrivateLink07 ניתן כמובן להגדיר Record ב-DNS לכתובת.

PrivateLink07



בדיקות

מתחברים לשרת הרלוונטי ומנסים להתחבר לשירות דרך ה-Private Link. הערה: במעבדה הוגדר ה-DNS לכתובת הפנימית ובנוסף אין אפשרות כמובן להתחבר לשירות דרך האינטרנט.

PrivateLink08

לסיכום

שירות Private Link מספק בשורה חדשה לחיבור שירותי PaaS בצורה מאובטחת, ללא צורך לצאת החוצה.

השירות מאפשר ליצור חיבור למשאב ספציפי ולא לכל השירות ובנוסף מאפשר להתחבר לשירותי ה-PaaS דרך ה-VPN.

אומנם מדובר בשירות בתשלום, אך אם אתם מעוניינים בחיבור שירותי PaaS בצורה מאובטחת, אין ספק ששירות זה נותן מענה רחב.


מאת: אביחי חג'ג', Azure Technical Leader | Microsoft Azure MVP בחברת U-BTech Solutions

רוצים להתעדכן בתכנים נוספים בנושאי אבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה

במאמר זה נסביר על Azure Private Link ונבין כיצד הוא מסייע לנו להתחבר לשירותי PaaS כמו SQL ו-Storage בצורה מאובטחת על גבי הרשת הווירטואלית שלנו – ואיך מקימים את השירות מאפס.

מה זה Azure Private Link

Azure Private Link מאפשר לגשת לשירותי Azure PaaS על גבי הרשת הווירטואלית, זאת ללא צורך בחשיפת השירותים לאינטרנט דרך Microsoft Backbone. כך, השימוש בשירות Azure Private Link יוצר גמישות ושיפור האבטחה לשירותי ה-PaaS  ע”י ביטול הצורך בגישה ציבורית ובנוסף, ניתן ליצור שירות PaaS פרטי על גבי ה-VNET ולהעביר אותו באופן פרטי ללקוחות/שותפים.

תרשים הפתרון

azure-private-link


להלן מספר יתרונות בשימוש ב-Azure Private Link

• גישה פרטית/מאובטחת לשירותי Azure – חיבור ה-VNET לשירותי Azure באופן “פרטי” ללא צורך בחשיפת השירות לאינטרנט.
• גישה מ-On-Premise – שימוש ב-Azure Private Link מאפשר גישה לשירותי Azure דרך חיבור VPN ו/או Express Route. אין צורך בגישה מ-On-Premise לשירותי ה-PaaS דרך האינטרנט.
• גישה מאובטחת רק לשירות שמולו נעשה Azure Private Link, אין צורך לאפשר גישה לכל שירותי ה-PaaS ו/או חשיפה לכל השירות עצמו - החשיפה תתבצע רק לשירות הספציפי “הפרטי” שהוגדר.
• יכולת חיבור Cross Region.

מה ההבדל בין Azure Private Link ל-Azure Service Endpoint

שאלה אחת שעולה כשחושבים על Private Link היא התהייה על השוני בהשוואה ל-Service Endpoint, אך האמת היא, שמדובר בשני שירותים שונים.

כשמשתמשים ב-Service Endpoint, הגישה לשירות ה-PaaS ננעלת לרשת הווירטואלית - אך עדין יש נקודת קצה ציבורית. קרי, הנעילה היא מבחינת התעבורה בלבד. בנוסף לכך, הנעילה היא לשירות ולא למשאב ספציפי לעומת Private Link, בו הגישה היא רק למשאב הרלוונטי.

בנוסף, Private Link מייצר Endpoint עם כתובת IP פרטית. כלומר, התעבורה עוברת אך ורק בתוך ה-VNET ואינה דורשת כללי NSG כדי לצאת החוצה בשונה מ-Service Endpoint.
הבדל נוסף שחשוב לציין הוא מבחינת עלויות: שירות ה-Service Endpoint הינו חינמי, לעומת Private Link המוצע עבור תשלום.

איך מקימים את השירות – קדימה למעבדה!

בתרחיש זה נבצע חיבור משרת VM שנמצא ב-Azure לשירות PaaS של Azure SQL DB.

הערה: שרת VM ו-SQL DB (PaaS) כבר היו קיימים בחשבון, אך אין ביניהם חיבור.

נכנסים לפורטל Azure, בוחרים Create Resource ולאחר מכן מחפשים Private Link.

PrivateLink01



נפתח “Started Page” נחמד שמסביר את הפתרון ונלחץ על “Build a private connection to a service”.

PrivateLink02



ישנה אפשרות ליצור גם דרך Private endpoints ואז ללחוץ על Add.

PrivateLink03

בחלון שנפתח, נותנים את השם ל-Private Link ואת ה-Region ונלחץ על Next.

PrivateLink04



בחלון הזה מגדירים לאיזה משאב PaaS אנחנו רוצים להתחבר, ונלחץ על Next (בדוגמה שלנו לשירות Azure SQL DB שקיים בחשבון).

שימו לב, אפשר לבחור משאב שקיים ב-Directory שלנו או משאב שנמצא ב-Directory אחר כמו לקוח/שותף.

בחלון הזה מגדירים לאיזה VNET ו-Subnet אנו רוצים לחבר את שירות ה-PaaS.

בנוסף, ניתן לבצע אינטגרציה עם Azure DNS Private zone או להשתמש בשרתי ה-DNS של הארגון ע”י הגדרת Record - משלימים את ה-Tags ולוחצים על Create.

PrivateLink05



לאחר הקמת השירות, נוכל לראות שקיים לנו Private Link חדש

PrivateLink06



בנוסף, נוכל לראות גם את ה-Interface (כתובת פנימית שה-VNET נתן לשירות) PrivateLink07 ניתן כמובן להגדיר Record ב-DNS לכתובת.

PrivateLink07



בדיקות

מתחברים לשרת הרלוונטי ומנסים להתחבר לשירות דרך ה-Private Link. הערה: במעבדה הוגדר ה-DNS לכתובת הפנימית ובנוסף אין אפשרות כמובן להתחבר לשירות דרך האינטרנט.

PrivateLink08

לסיכום

שירות Private Link מספק בשורה חדשה לחיבור שירותי PaaS בצורה מאובטחת, ללא צורך לצאת החוצה.

השירות מאפשר ליצור חיבור למשאב ספציפי ולא לכל השירות ובנוסף מאפשר להתחבר לשירותי ה-PaaS דרך ה-VPN.

אומנם מדובר בשירות בתשלום, אך אם אתם מעוניינים בחיבור שירותי PaaS בצורה מאובטחת, אין ספק ששירות זה נותן מענה רחב.


מאת: אביחי חג'ג', Azure Technical Leader | Microsoft Azure MVP בחברת U-BTech Solutions

רוצים להתעדכן בתכנים נוספים בנושאי אבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה

לפרטים נוספים ויצירת קשר עם נציג אורקל

תודה הודעתך התקבלה

הודעתך לא התקבלה - נסה שוב מאוחר יותר

'אביחי חג'ג

הירשם לרשימת הדיוור של IsraelClouds

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

מילון מונחיםהשירותים שלנו תנאי שימושהרשמה לניוזלטרמדיניות פרטיות