Azure提供了两个类似但不同的服务，允许虚拟网络(VNet)资源私下连接到其他Azure服务。Azure VNet服务端点和Azure私有端点(由Azure私有链接提供支持)都通过允许VNet流量不通过internet与服务资源通信来促进网络安全，但它们之间存在一些区别。这个由三部分组成的博客系列详细介绍了这两种服务。

• 在本系列的第1部分中，我们讨论了服务端点。
• 在第2部分中，我们讨论了私有链接和私有端点。
• 在第3部分(本部分!)中，我们将比较和对比这两种方法，并解释何时使用哪一种。

准备好了解更多关于服务端点和私有端点的信息了吗?让我们跳!

什么是服务端点和私有端点?

首先，如果你还没有读过前两篇博客文章的话，简单回顾一下:

服务端点允许虚拟网络资源使用私有IP地址连接到Azure服务的公共端点，从而将虚拟网络的标识扩展到目标资源。这意味着流量通过Azure主干网(而不是internet)流向服务资源。

下面，虚拟机的私有IP地址是10.1.1.4，但是可以通过服务端点访问存储帐户。请注意，内部通信量不能使用服务端点（on-premises traffic cannot use service endpoints,），必须通过internet访问存储帐户。

私有链接的私有端点允许虚拟网络资源私有地连接到其他资源，就好像它们是同一个网络的一部分，有效地将目标资源引入到VNet中，并通过Microsoft Azure主干而不是internet传输流量。下面，VNet中的虚拟机可以使用Azure私有链接私有端点连接到特定的SQL数据库，就像它是VNet的一部分一样，即使NSG拒绝出站流量。私有端点使得流量可以从一个私有IP地址流到同一个VNet中的另一个私有IP——不需要internet遍历。

它们有什么相似之处?

正如我们所提到的，这两种类型的端点使VNet资源无需通过internet就可以访问其他Azure资源。这带来了许多好处，包括提高安全性。在这两种情况下，您都可以避免将VNet资源暴露给internet所涉及的一些风险，例如数据泄露和拒绝服务攻击。您可以让网络安全组(NSG)锁定VNet，这样除了目标资源外，出站流量将被拒绝。

您还可以从优化的路由中获益。由于服务流量不与互联网流量竞争，你的服务流量可以通过更少的跳点，并有可能更快到达目的地。

通过使用服务端点和私有端点，您可以简化网络架构和维护——不需要配置NAT或网关设备，因为源流量从不穿过internet。

它们有什么不同?

服务端点和私有端点有许多共同之处，但也有一些重要的区别。

• 公共目的地IP地址与私有目的地IP地址:对于服务端点，您仍然在连接到目标资源的公共端点。这有效地将VNet的标识扩展到目标资源。使用私有端点，您将从VNet为目标资源分配私有IP地址，实际上是将其引入网络。目标资源的公共IP地址不会消失，但您可以锁定它，从而拒绝来自internet的所有流量。
• 成本:服务端点不需要额外成本。私人端点根据使用的资源时间和处理的入站/出站数据收费。(如果您正在使用私有链接服务，使用私有端点将消费者资源连接到运行在标准负载均衡器后面的您自己的服务，私有链接服务不收费——只收取私有端点本身。)
• 维护:在目的地有一个私有端点需要配置DNS。由于Azure服务具有自动解析为公共IP地址的完全限定域名(FQDN)， DNS必须配置为公共地址解析为其私有端点的私有IP。如果您有一个自定义DNS设置，您将需要做一些手工工作，使所有工作一起工作。
• 内部(On-Premise)支持:服务端点不支持内部通信，因为它们只能被保护到虚拟网络上。但是，私有端点支持通过高速公路(Express Route)、私有对等接入和VPN隧道的现场流量。
• 粒度:服务资源的作用域为整个服务。例如，如果您有一个支持访问存储帐户的服务端点的子网，那么子网中的所有资源也可以访问其他存储帐户。为了解决这个问题，您可以使用一个服务端点策略来限制对单个存储帐户(或者一个区域或订阅中的所有帐户)的访问，但是这只支持Azure存储服务。相反，私有端点可以限定在特定的资源或子资源上，而且不局限于Azure存储——你可以在这里找到支持的服务的完整列表。
• 可用性:私有端点比服务端点支持更多的Azure服务，因此决定要取决于您试图保护的服务。虽然Cosmos DB、Key Vault等Azure服务可以同时使用两种类型的端点，但有些服务只能实现私有端点。例如，如果您正在使用Azure Kubernetes服务或Azure Monitor，唯一可用的选项是私有端点。有关所支持内容的完整列表，请参阅服务端点和私有端点文档。

什么时候应该使用哪个?

您使用的是服务端点还是私有端点在很大程度上取决于您的用例的细节。

• 如果您希望能够阻止对目标资源的所有internet通信，请使用私有端点。
• 如果您正在处理来自本地的流量，请使用私有端点。
• 如果希望保护VNet资源的特定子资源，请使用私有端点。
• 如果您想保护VNet资源的特定存储帐户，您可以使用私有端点，或者使用带有服务端点策略的服务端点。
• 如果目的地不需要私有IP地址，那么服务端点的创建和维护要容易得多，而且它们不需要特殊的DNS配置。
• 如果考虑到成本，请注意服务端点是免费的。

最终，与网络安全的所有事情一样，端点类型的选择取决于您和您特定的用例。

结论

服务端点和私有端点都可以降低与将虚拟网络资源和目标资源暴露到internet相关的风险，例如恶意参与者会破坏您的服务或窃取敏感数据。这两种端点有一些不同，但是每种端点都应该被视为云安全工程师工具包的重要组成部分，并且是实现深度防御的有效方法。

原文：https://www.fugue.co/blog/cloud-network-security-101-azure-service-endpoints-vs.-private-endpoints

本文：http://jiagoushi.pro/node/1380

讨论：请加入知识星球【首席架构师智库】或者微信小号【jiagoushi_pro】或者QQ群【11107777】