Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Privé-eindpunten voor Durable Task Scheduler zijn momenteel in beperkte preview. Neem contact met ons op om dtspe@microsoft.comtoegang te krijgen tot deze functie. Algemene beschikbaarheid wordt eind mei 2026 verwacht.
Een private-eindpunt is een netwerkinterface die u privé en veilig verbindt met een service die wordt mogelijk gemaakt door Azure Private Link. U kunt privé-eindpunten met Durable Task Scheduler gebruiken om apps in uw virtuele netwerk verbinding te laten maken met de planner via een privéverbinding, zonder dat verkeer naar het openbare internet wordt weergegeven.
Privé-eindpuntverbindingen
Apps maken standaard verbinding met de Durable Task Scheduler via een openbaar eindpuntadres in de indeling {scheduler-name}-{suffix}.{region}.durabletask.io. Wanneer u een privé-eindpunt voor uw scheduler-resource maakt, wordt het eindpunt toegewezen aan een privé-IP-adres in uw virtuele netwerk. Met deze configuratie kunnen uw apps communiceren met de planner via de privénetwerkkoppeling in plaats van met het openbare internet.
Een privé-eindpunt voor Durable Task Scheduler is gericht op de scheduler-subresource op het resourcetype Microsoft.DurableTask/schedulers.
Clients die verbinding maken via het privé-eindpunt, gebruiken hetzelfde eindpuntadres en verificatiemechanisme als clients die verbinding maken met het openbare eindpunt. DNS-resolutie vertaalt het scheduler-eindpunt automatisch naar het privé-IP-adres wanneer het verzoek vanuit het virtuele netwerk komt.
Voordelen
Met privé-eindpunten voor Durable Task Scheduler kunt u het volgende doen:
- Beveilig uw scheduler door de firewall zo te configureren dat alle verbindingen op het openbare eindpunt worden geblokkeerd.
- Verhoog de beveiliging voor het virtuele netwerk door exfiltratie van gegevens uit het virtuele netwerk te blokkeren.
- Maak veilig verbinding vanuit on-premises netwerken die verbinding maken met het virtuele netwerk via VPN of ExpressRoute met persoonlijke peering.
Netwerkarchitectuur
Met een privé-eindpunt loopt de connectiviteit tussen de apps in het virtuele netwerk en de scheduler via het Microsoft backbone-netwerk. Verkeer gaat nooit via het openbare internet.
In het volgende diagram ziet u het verschil tussen de connectiviteit tussen openbare en privé-eindpunten:
- Zonder een privé-eindpunt verzendt uw app gRPC-verkeer via het openbare internet naar het openbare eindpunt van de planner.
- Met een privé-eindpunt verzendt uw app gRPC-verkeer via het privé-IP-adres van het virtuele netwerk, dat via de Azure Private Link naar de planner routeert.
Beide verbindingsmethoden maken gebruik van TLS-versleuteling en verificatie op basis van identiteiten via een beheerde identiteit.
DNS-configuratie
Wanneer u een privé-eindpunt voor een Durable Task Scheduler-resource maakt, moet de DNS-resolutie van het eindpunt van de planner worden omgezet in het privé-IP-adres dat is toegewezen aan het privé-eindpunt. U kunt een van de volgende methoden gebruiken:
- Azure Private DNS zones (aanbevolen): Azure configureert automatisch een private DNS-zone gekoppeld aan uw virtuele netwerk. DNS-query's voor het scheduler-eindpunt worden omgezet in het privé-IP-adres vanuit het virtuele netwerk.
- Aangepaste DNS-server: als u een aangepaste DNS-server gebruikt, voegt u een DNS-record toe voor het scheduler-eindpunt dat verwijst naar het privé-IP-adres van het privé-eindpunt.
- Hostbestand (voor testen): u kunt het hostbestand op een virtuele machine wijzigen om het scheduler-eindpunt te laten verwijzen naar het privé-IP-adres van het privé-eindpunt.
Belangrijk
Zonder de juiste DNS-configuratie kunnen uw apps het scheduler-eindpunt niet oplossen naar het privé-IP-adres en mislukt de verbinding met het privé-eindpunt.
Openbare netwerktoegang
Nadat u een privé-eindpunt hebt ingesteld, kunt u optioneel openbare netwerktoegang uitschakelen op de Durable Task Scheduler-resource. Wanneer openbare toegang is uitgeschakeld, zijn alleen verbindingen via privé-eindpunten toegestaan. Deze configuratie zorgt ervoor dat al het verkeer tussen uw apps en de scheduler binnen het virtuele netwerk blijft.
Opmerking
Het uitschakelen van openbare netwerktoegang heeft ook invloed op de toegang tot het Durable Task Scheduler-dashboard. Als u het dashboard wilt blijven gebruiken met privé-eindpunten, moet u ervoor zorgen dat het dashboard toegankelijk is vanuit het virtuele netwerk of via een netwerkpad dat naar het privé-eindpunt wordt gerouteerd.
Overwegingen
Houd rekening met de volgende overwegingen bij het gebruik van privé-eindpunten met Durable Task Scheduler:
- Regio: Het privé-eindpunt moet worden geïmplementeerd in dezelfde regio als het virtuele netwerk. De scheduler-resource kan zich in een andere regio bevinden, hoewel het plaatsen ervan in dezelfde regio wordt aanbevolen voor optimale latentie.
- Beschikbaarheid van SKU: privé-eindpunten worden ondersteund op planners met zowel de toegewezen SKU als de verbruiks-SKU.
- Meerdere privé-eindpunten: u kunt meerdere privé-eindpunten maken voor dezelfde scheduler-resource in verschillende virtuele netwerken om toegang vanuit meerdere netwerken mogelijk te maken.
- Identiteit en RBAC: privé-eindpunten beveiligen het netwerkpad naar de planner. U moet nog steeds op identiteit gebaseerd toegangsbeheer configureren om uw apps te verifiëren en te autoriseren.
- Taakhubs: Een privé-eindpuntverbinding op de planner is van toepassing op alle taakhubs binnen die planner. U kunt geen privé-eindpuntverbindingen maken voor afzonderlijke taakhubs.
- Emulator: de Durable Task Scheduler-emulator wordt lokaal uitgevoerd en biedt geen ondersteuning voor privé-eindpunten. Privé-eindpunten zijn alleen van toepassing op scheduler-resources die zijn geïmplementeerd in Azure.