【Azure Network】虚拟网络服务端点

语言 Chinese, Simplified

SEO Title

Azure Network - Virtual Network service endpoints

一般可用

Azure Storage (Microsoft.Storage): Generally available in all Azure regions.
Azure Storage cross-region service endpoints (Microsoft.Storage.Global): Generally available in all Azure regions.
Azure SQL Database (Microsoft.Sql): Generally available in all Azure regions.
Azure Synapse Analytics (Microsoft.Sql): Generally available in all Azure regions for dedicated SQL pools (formerly SQL DW).
Azure Database for PostgreSQL server (Microsoft.Sql): Generally available in Azure regions where database service is available.
Azure Database for MySQL server (Microsoft.Sql): Generally available in Azure regions where database service is available.
Azure Database for MariaDB (Microsoft.Sql): Generally available in Azure regions where database service is available.
Azure Cosmos DB (Microsoft.AzureCosmosDB): Generally available in all Azure regions.
Azure Key Vault (Microsoft.KeyVault): Generally available in all Azure regions.
Azure Service Bus (Microsoft.ServiceBus): Generally available in all Azure regions.
Azure Event Hubs (Microsoft.EventHub): Generally available in all Azure regions.
Azure App Service (Microsoft.Web): Generally available in all Azure regions where App service is available.
Azure Cognitive Services (Microsoft.CognitiveServices): Generally available in all Azure regions where Azure AI services are available.

公开预览

Azure Container Registry (Microsoft.ContainerRegistry): Preview available in limited Azure regions where Azure Container Registry is available.

主要优势

服务端点提供以下好处：

提高了Azure服务资源的安全性：ExpressRoute专用地址空间可以重叠。您不能使用重叠空格来唯一标识源自您的ExpressRoute的流量。服务终结点通过将ExpressRoute标识扩展到服务，使Azure服务资源能够安全地连接到您的虚拟网络。在虚拟网络中启用服务端点后，您可以添加虚拟网络规则来保护虚拟网络中的Azure服务资源。添加规则可以通过完全删除对资源的公共互联网访问并仅允许来自虚拟网络的流量来提高安全性。
为来自虚拟网络的Azure服务流量提供最佳路由：如今，虚拟网络中任何将互联网流量强制发送到本地和/或虚拟设备的路由也会强制Azure服务流量采用与互联网流量相同的路由。服务端点为Azure流量提供最佳路由。
端点始终将服务流量直接从您的虚拟网络传输到Microsoft Azure骨干网络上的服务。将流量保持在Azure骨干网络中，您可以通过强制隧道继续审计和监控来自虚拟网络的出站互联网流量，而不会影响服务流量。有关用户定义路由和强制隧道的更多信息，请参阅Azure虚拟网络流量路由。
设置简单，管理开销较小：您不再需要在虚拟网络中保留公共IP地址来通过IP防火墙保护Azure资源。设置服务端点不需要网络地址转换（NAT）或网关设备。您可以通过子网上的单个选择配置服务端点。维护端点没有额外的开销。

局限性

该功能仅适用于通过Azure资源管理器部署模型部署的虚拟网络。
在Azure虚拟网络中配置的子网上启用了端点。端点不能用于从本地服务到Azure服务的流量。有关更多信息，请参阅从本地访问安全Azure服务
对于Azure SQL，服务端点仅适用于虚拟网络区域内的Azure服务流量。
对于Azure数据湖存储（ADLS）第1代，只有同一区域内的虚拟网络才能使用ExpressRoute集成功能。另请注意，ADLS Gen1的虚拟网络集成使用虚拟网络和Microsoft Entra ID之间的虚拟网络服务端点安全性，在访问令牌中生成额外的安全声明。然后，这些声明用于向您的Data Lake Storage Gen1帐户验证您的虚拟网络，并允许访问。微软。在支持服务端点的服务下列出的AzureActiveDirectory标记仅用于支持ADLS Gen 1的服务端点。Microsoft Entra ID本身不支持服务端点。有关Azure数据湖存储Gen1的详细信息，请参阅Azure数据湖存储器Gen1中的网络安全。
一个虚拟网络最多可以与200个不同的订阅和区域相关联，每个支持的服务都配置了活动的Contoso规则。

将Azure服务安全地连接到虚拟网络

虚拟网络服务端点向Azure服务提供虚拟网络的标识。在虚拟网络中启用服务端点后，您可以添加虚拟网络规则，以保护虚拟网络中的Azure服务资源。
如今，来自虚拟网络的Azure服务流量使用公共IP地址作为源IP地址。使用服务端点，服务流量在从虚拟网络访问Azure服务时切换为使用虚拟网络专用地址作为源IP地址。此切换允许您访问服务，而不需要IP防火墙中使用的保留公共IP地址。

注：

使用服务端点时，服务流量子网中虚拟机的源IP地址会从使用公共IPv4地址切换到使用私有IPv4地址。使用Azure公共IP地址的现有Azure服务防火墙规则将停止使用此交换机。在设置服务端点之前，请确保Azure服务防火墙规则允许此切换。在配置服务端点时，您还可能会遇到来自此子网的服务流量暂时中断的情况。

从本地安全访问Azure服务

默认情况下，受虚拟网络保护的Azure服务资源无法从本地网络访问。如果你想允许来自本地的流量，你还必须允许来自本地或ExpressRoute的公共（通常是NAT）IP地址。您可以通过Azure服务资源的IP防火墙配置添加这些IP地址。

ExpressRoute：如果您正在使用ExpressRoute从您的场所进行Microsoft对等连接，则需要标识您正在使用的NAT IP地址。NAT IP地址要么是客户提供的，要么是由服务提供商提供的。要允许访问您的服务资源，您必须在资源IP防火墙设置中允许这些公共IP地址。有关ExpressRoute Microsoft对等的NAT的详细信息，请参阅ExpressRoute NAT要求。

保护Azure服务到虚拟网络

配置

在虚拟网络中的子网上配置服务终结点。终结点与该子网上运行的任何类型的计算实例一起工作。
您可以为子网上的所有受支持的Azure服务（例如Azure存储或Azure SQL数据库）配置多个服务端点。
对于Azure SQL数据库，虚拟网络必须与Azure服务资源位于同一区域。对于所有其他服务，您可以将Azure服务资源保护到任何地区的虚拟网络。
配置端点的虚拟网络可以与Azure服务资源处于相同或不同的订阅中。有关设置终结点和保护Azure服务所需权限的更多信息，请参阅配置。
对于支持的服务，您可以使用服务端点将新的或现有的资源保护到虚拟网络。

注意事项

启用服务端点后，源IP地址在与该子网的服务通信时从使用公共IPv4地址切换到使用其私有IPv4地址。在此切换过程中，与服务的任何现有打开的TCP连接都将关闭。在为子网的服务启用或禁用服务端点时，确保没有关键任务正在运行。此外，请确保您的应用程序可以在IP地址切换后自动连接到Azure服务。
IP地址切换仅影响来自虚拟网络的服务流量。不会影响发往或来自分配给虚拟机的公共IPv4地址的任何其他流量。对于Azure服务，如果您有使用Azure公共IP地址的现有防火墙规则，则这些规则在切换到虚拟网络专用地址时将停止工作。
对于服务端点，Azure服务的DNS条目保持不变，并继续解析为分配给Azure服务的公共IP地址。
具有服务端点的网络安全组（NSG）：
- 默认情况下，NSG允许出站互联网流量，也允许从您的ExpressRoute到Azure服务的流量。此流量继续按原样与服务端点一起工作。
- 如果你想拒绝所有出站互联网流量，只允许特定Azure服务的流量，你可以使用NSG中的服务标签来实现。您可以在NSG规则中将支持的Azure服务指定为目标，Azure还提供对每个标记下的IP地址的维护。有关更多信息，请参阅NSG的Azure服务标签。

场景

对等、连接或多个虚拟网络：要将Azure服务保护到虚拟网络内或跨多个虚拟网的多个子网，您可以在每个子网上独立启用服务端点，并将Azure服务资源保护到所有子网。
筛选从虚拟网络到Azure服务的出站流量：如果要检查或筛选从虚拟网发送到Azure服务中的流量，可以在虚拟网络中部署网络虚拟设备。然后，您可以将服务终结点应用于部署网络虚拟设备的子网，并仅将Azure服务资源安全地应用于此子网。如果您希望使用网络虚拟设备筛选将Azure服务从虚拟网络的访问限制为仅限于特定的Azure资源，则此场景可能会有所帮助。有关更多信息，请参阅带有网络虚拟设备的出口。
保护直接部署到虚拟网络中的服务的Azure资源：您可以直接将各种Azure服务部署到虚拟网中的特定子网中。您可以通过在托管服务子网上设置服务端点来保护托管服务子网的Azure服务资源。
来自Azure虚拟机的磁盘流量：托管和非托管磁盘的虚拟机磁盘流量不受Azure存储的服务端点路由更改的影响。此流量包括diskIO以及装载和卸载。您可以通过服务端点和Azure存储网络规则限制对页面blob的REST访问，以选择网络。

日志记录和故障排除

将服务端点配置到特定服务后，通过以下方式验证服务端点路由是否有效：

正在验证服务诊断中任何服务请求的源IP地址。所有具有服务端点的新请求都将请求的源IP地址显示为虚拟网络专用IP地址，该地址分配给从虚拟网络发出请求的客户端。如果没有端点，该地址将是Azure公共IP地址。
查看子网中任何网络接口上的有效路由。服务路线：
- 显示更具体的默认路由，以解决每个服务的前缀范围
- 具有nextHopType的VirtualNetworkServiceEndpoint
- 表示与任何强制隧道路由相比，与服务的连接更直接

注：

服务端点路由会覆盖Azure服务的地址前缀匹配的任何BGP路由。有关更多信息，请参阅使用有效路线进行故障排除。

资源调配

具有虚拟网络写访问权限的用户可以在虚拟网络上独立配置服务终结点。要将Azure服务资源安全地配置到Contoso，用户必须具有Microsoft的权限。网络/虚拟网络/子网/joinViaServiceEndpoint/添加子网的操作。默认情况下，内置的服务管理员角色包括此权限。您可以通过创建自定义角色来修改权限。

有关内置角色的更多信息，请参阅Azure内置角色。有关为自定义角色分配特定权限的详细信息，请参阅Azure自定义角色。

虚拟网络和Azure服务资源可以在相同或不同的订阅中。某些Azure服务（并非全部），如Azure存储和Azure密钥库，也支持跨不同Active Directory（AD）租户的服务端点。这意味着虚拟网络和Azure服务资源可以位于不同的Active Directory（AD）租户中。有关更多详细信息，请查看各个服务文档。

定价和限额

使用服务端点不收取额外费用。Azure服务（Azure存储、Azure SQL数据库等）的当前定价模式与今天一样适用。

虚拟网络中的服务端点总数没有限制。

某些Azure服务（如Azure存储帐户）可能会对用于保护资源的子网数量实施限制。有关详细信息，请参阅“下一步”部分中的各种服务文档。

ExpressRoute服务端点策略

ExpressRoute服务终结点策略允许您筛选到Azure服务的虚拟网络流量。此筛选器只允许服务端点上的特定Azure服务资源。服务端点策略为Azure服务的虚拟网络流量提供精细的访问控制。有关详细信息，请参阅虚拟网络服务端点策略。

常见问题解答

有关常见问题解答，请参阅虚拟网络服务端点常见问题解答。

下一步

本文地址

https://architect.pub/azure-network-virtual-network-service-endpoints

登录发表评论
4 次浏览

发布日期

星期日, 九月 15, 2024 - 23:31

最后修改

星期日, 九月 15, 2024 - 23:35

热门内容

今日:

总体:

最近浏览：