你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
持久任务计划程序的专用终结点目前以受限预览版提供。 若要访问此功能,请与我们联系。dtspe@microsoft.com 预计 2026 年 5 月下旬正式发布。
专用终结点 是一个网络接口,可将您私密、安全地连接到由 Azure Private Link 提供支持的服务。 您可以将专用终结点与 Durable Task Scheduler 搭配使用,以便虚拟网络内的应用程序能够通过专用连接访问计划程序,无须通过公共互联网传输流量。
专用终结点连接
默认情况下,应用通过公共终结点地址(格式为 {scheduler-name}-{suffix}.{region}.durabletask.io)连接至 Durable Task Scheduler。 为计划程序资源创建专用终结点时,该终结点将映射到虚拟网络中的专用 IP 地址。 此配置允许你的应用通过专用网络链接而不是公共互联网与调度器通信。
Durable Task Scheduler 的专用终结点面向 scheduler 资源类型的 Microsoft.DurableTask/schedulers 子资源。
通过专用终结点连接的客户端使用与连接到公共终结点的客户端相同的终结点地址和身份验证机制。 当请求源自虚拟网络中时,DNS 解析会自动将计划程序终结点解析为专用 IP 地址。
优点
持久任务调度器的专用终结点使您可以:
- 配置防火墙以阻止公共终结点上的所有连接,从而保护计划程序。
- 阻止数据从虚拟网络泄露,从而提高虚拟网络的安全性。
- 使用 VPN 或 ExpressRoute 通过专用对等互连从连接到虚拟网络的本地网络安全地连接。
网络体系结构
使用专用终结点时,虚拟网络中的应用与计划程序之间的连接流经Microsoft主干网络。 流量永远不会经过公共互联网。
下图说明了公共终结点和专用终结点连接之间的差异:
- 如果没有专用终结点,应用会通过公共互联网将 gRPC 流量发送到调度程序的公共终结点。
- 使用专用终结点时,您的应用程序通过虚拟网络的专用 IP 地址发送 gRPC 流量,并通过 Azure 专用链路将其路由到计划程序。
这两种连接方法都通过 托管标识使用 TLS 加密和基于标识的身份验证。
DNS 配置
为持久任务计划程序资源创建专用终结点时,计划程序的终结点的 DNS 解析必须解析为分配给专用终结点的专用 IP 地址。 可以使用以下方法之一:
- Azure Private DNS区域(建议):Azure自动配置链接到虚拟网络的 private DNS 区域。 在虚拟网络内,计划程序终结点的 DNS 查询解析为专用 IP 地址。
- 自定义 DNS 服务器:如果使用自定义 DNS 服务器,请为指向专用终结点的私有 IP 地址的调度程序终结点添加 DNS 记录。
- 主机文件(用于测试):可以修改虚拟机上的主机文件,将计划程序终结点指向专用终结点的专用 IP 地址。
重要
如果没有适当的 DNS 配置,应用将无法将计划程序终结点解析为专用 IP 地址,并且专用终结点连接失败。
公用网络访问
设置专用终结点后,可以选择在 Durable Task Scheduler 资源上禁用公共网络访问。 禁用公共访问后, 仅 允许通过专用终结点建立连接。 此配置可确保应用和计划程序之间的所有流量都保留在虚拟网络中。
注释
禁用公用网络访问还会影响对 Durable Task Scheduler 仪表板的访问。 若要继续使用具有专用终结点的仪表板,请确保从虚拟网络内部或通过路由到专用终结点的网络路径访问仪表板。
注意事项
将专用终结点与 Durable Task Scheduler 配合使用时,请记住以下注意事项:
- 区域:专用终结点必须部署在虚拟网络所在的同一区域中。 计划程序资源可以位于不同的区域中,但建议将它们置于同一区域,以获得最佳延迟。
- SKU 可用性:在使用专用 SKU 和消耗 SKU 的计划程序上,支持专用终结点。
- 多个专用终结点:可以为不同虚拟网络中的同一计划程序资源创建多个专用终结点,以便从多个网络进行访问。
- 标识和 RBAC:专用终结点会保护通向计划程序的网络路径。 仍需配置 基于标识的访问控制 ,以便对应用进行身份验证和授权。
- 任务中心:计划程序上的专用终结点连接适用于该计划程序内的所有任务中心。 无法为单个任务中心创建专用终结点连接。
- 模拟器: 持久任务计划程序模拟器 在本地运行,不支持专用终结点。 私有终结点仅适用于在 Azure 中部署的调度程序资源。