Azure SQL ve Azure Storage gibi shared PaaS servisleri Azure Network’ümüz içerisinde yer almayan ve bu sebebten dolayı sadece public interface’leri aracılığıyle erişebilir servislerdir. Daha önce yazımda paylaşmış olduğum Virtual Network Service endpoint ‘leri kullanarak PaaS kaynaklarımıza olan bu erişimin Microsoft intrernal ağını terketmeden gerçekleşmesini sağlayabiliriz ancak yinede PaaS servisiniz Public endpoint üzerinden hizmet vermeye devam edecek ve on-premises network’ümüz üzerinden (VPN Gateway yada ExpressRoute) erişilebilir olmayacakıtr.
Azure Private Link Nedir ?
Azure Private Link VNet’iniz içerisinde Private endpoint’ler ve bu private endpoint’lere atanmış internal IP’ler yaratarak PaaS servislerine bu internal IP’ler ile erişebilmenize olanak sağlayan bir özelliktir.
PaaS servisleri için Private Link kullanmanın diğer faydalarını paylaşmak gerekirse;
- PaaS kaynaklarınıza ait private IP,
- Trafiğin Microsoft Internal network’ü dışına çıkmaması,
- On-Premises ve Peered network’leri desteklemesi,
- Berlili kaynaklara atanabilmesi (Database, Storage vb.)
- Farklı Azure bölgelerinde (Azure Region) bulunan kaynaklar, hatta Azure üyelikleri (tenants) arasında kullanılabilmesi.
Private Link’in Service Endpoint’ten farkı nedir ?
Servis endpoint’ler virtual network’ünüzün PaaS kaynaklarına direk olarak Microsoft network’ü içerisinden route edilmesini sağlar ancak public endpoint’leriniz halen internet üzerinden erişebilir durumda kalır.
Servis endpoint’ler sadece belirli bir servis erişimini güvenli hale getirirken, Private link’ler internal IP ile belirli kaynaklar için erişimi mümkün kılar.
Private Link şuan için sadece Azure Storage, Azure SQL, SQL Data Warehouse ve Azure Data Lake Storage Gen2 çin belirli Azure bölgelerinde desteklenmektedir. Bu linkten desteklenen servis ve bölgelerin güncel listesine erişelirisiniz.
https://docs.microsoft.com/en-us/azure/private-link/private-link-overview#availability
Private Endpoint Oluşturmak
Private Endpoint oluşturmak için “Private Link Center” kullanacağız.
Azure Portal -> All Services -> Private Link Center
Region seçimi yapmadan önce yukarıdan link’ten Azure Private Link’in o bölgede desteklenip desteklenmediğini kontrol etmeyi unutmayın.
Private endpoint oluştuktan sonra ilgili resource group altında bir private endpoint servis objesinin ve PaaS kaynaklara bağlantı oluştururken kulanılacak olan network interface oluştuğunu göreceksiniz.
Network Interface’in özelliklerine baktığınızda ise kaynaklara bağlanmak için kullanabileceğiniz Private IP adresini göreceksiniz. Bağlantı için bu IP adresini kullanabileceğimiz gibi dilerseniz DNS kaydıda oluşturabilirsiniz.
Son olarak küçük bir bilgi daha aynı subnet içerisinde Private Link ve Service Endpoint aynı anda kullanılamıyor seçiminzi iyi yapın 🙂
Görüşmez üzere.