Azure Private Link - Privater Zugriff auf Azure-Services über VNet

Azure Private Link auf Microsoft Azure

Azure Private Link ermöglicht den Zugriff auf Azure PaaS-Services (wie Storage, SQL Database, Cosmos DB), Microsoft-Partner-Services und eigene Dienste über einen Private Endpoint im eigenen Virtual Network. Traffic läuft dabei ausschließlich über das Microsoft-Backbone-Netzwerk, ohne das öffentliche Internet zu durchqueren.

Im Gegensatz zu Service Endpoints, die Traffic auf Subnetz-Ebene routen, bietet Private Link eine dezidierte private IP-Adresse für jeden Service. Dies ermöglicht granulare Zugriffskontrolle, Nutzung mit VPN/ExpressRoute und keine Überlappung mit öffentlichen IP-Ranges.

Azure Private Link ist in allen Azure-Regionen verfügbar und erfüllt höchste Compliance-Anforderungen für DSGVO und andere Datenschutzstandards.

Typische Anwendungsfälle

Sicherer PaaS-Zugriff: Zugriff auf Azure Storage Accounts, SQL Databases oder Key Vault aus VMs ohne öffentliche IPs oder Firewall-Ausnahmen, ausschließlich über private Netzwerkverbindungen.

Hybrid-Szenarien: On-Premises-Anwendungen greifen über ExpressRoute oder Site-to-Site VPN auf Azure PaaS-Services zu, als wären sie im lokalen Netzwerk.

SaaS-Konsum: Nutzung von SaaS-Angeboten (z.B. Snowflake, Datadog, MongoDB Atlas) über Private Endpoints ohne Exposition gegenüber dem Internet.

Private Service Bereitstellung: Eigene Services hinter einem Load Balancer als Private Link Service für Kunden oder andere Subscriptions bereitstellen.

Häufig gestellte Fragen zu Azure Private Link

Was ist der Unterschied zwischen Private Endpoint und Service Endpoint?

Service Endpoints routen Traffic auf Subnetz-Ebene zu Azure-Services, bieten aber keine private IP. Private Endpoints erstellen dedizierte NICs mit privaten IPs für jeden Service, ermöglichen granulare NSG-Kontrolle und funktionieren mit VPN/ExpressRoute.

Kann ich über Private Link auf mehrere Regionen zugreifen?

Private Endpoints sind regional. Für Multi-Region-Szenarien können mehrere Private Endpoints erstellt werden oder Global VNet Peering genutzt werden, um von einer Region aus auf Endpoints in anderen Regionen zuzugreifen.

Wie funktioniert DNS mit Private Link?

Azure bietet Private DNS Zones, die automatisch FQDN von Azure-Services auf Private Endpoint IPs auflösen. Für Hybrid-Szenarien muss On-Premises-DNS über Conditional Forwarders auf Azure DNS zeigen.

Werden alle Azure-Services unterstützt?

Die meisten Azure PaaS-Services unterstützen Private Link: Storage, SQL, Cosmos DB, Key Vault, App Service, Container Registry, Event Hub, Service Bus und viele mehr. Die vollständige Liste ist in der Dokumentation verfügbar.

Wie wird Private Link abgerechnet?

Kosten pro Private Endpoint: ca. 0,01 EUR/Stunde (ca. 7,30 EUR/Monat) plus Datenverarbeitung (ca. 0,01 EUR/GB). Private Link Service selbst ist kostenlos, nur Endpoints werden berechnet.

Kann ich Private Endpoints mit Network Security Groups sichern?

Ja, NSGs können auf Subnetze mit Private Endpoints angewendet werden. Network Policies for Private Endpoints müssen explizit aktiviert werden, um NSG- oder UDR-Support zu erhalten.

Unterstützt Private Link Cross-Tenant-Szenarien?

Ja, Private Link Services können über Subscriptions und Azure AD Tenants hinweg geteilt werden. Der Consumer-Tenant erstellt einen Private Endpoint, der auf die Resource ID des Provider-Services zeigt, nach Genehmigung durch den Provider.

Alternativen

alternatives:

• provider: “aws” product: “privatelink”
• provider: “gcp” product: “private-service-connect”

Integration mit innFactory

Als Microsoft Solutions Partner unterstützt innFactory Sie bei der Implementierung sicherer Netzwerkarchitekturen mit Azure Private Link. Wir helfen bei Design, DNS-Konfiguration, Migration und Hybrid-Integration.

Kontaktieren Sie uns für eine unverbindliche Beratung zu Azure Private Link.