AzureEndpoint解析

今天來討論下Azure虛擬網(wǎng)絡中的endpoint功能，虛擬網(wǎng)絡是什么相信已經(jīng)有很多博客有過一些介紹了，對于云比較了解的同學應該不需要再介紹了，各家云廠商對于虛擬網(wǎng)絡的叫法雖然不一樣，但是本質(zhì)上都是一個東西，AWS和Ali叫VPC，Azure則叫Virtual Network

我們提供的服務有：成都做網(wǎng)站、成都網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認證、瑪多ssl等。為上1000家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務，是有科學管理、有技術的瑪多網(wǎng)站制作公司

Azure 虛擬網(wǎng)絡允許許多類型的 Azure 資源（例如 Azure 虛擬機 (VM)）以安全方式彼此通信、與 Internet 通信，以及與本地網(wǎng)絡通信。一個虛擬網(wǎng)絡局限于一個區(qū)域；但是，可以使用虛擬網(wǎng)絡對等互連將不同區(qū)域的多個虛擬網(wǎng)絡連接起來。

Azure 資源可以采用下述某種方式安全地相互通信：

• 通過虛擬網(wǎng)絡：可以將 VM 和多個其他類型的 Azure 資源部署到虛擬網(wǎng)絡，如 Azure 應用服務環(huán)境、Azure Kubernetes 服務 (AKS) 和 Azure 虛擬機規(guī)模集。

• 通過虛擬網(wǎng)絡服務終結點：通過直接連接將虛擬網(wǎng)絡專用地址空間和虛擬網(wǎng)絡的標識擴展到 Azure 服務資源，例如 Azure 存儲帳戶和 Azure SQL 數(shù)據(jù)庫。 使用服務終結點可以保護關鍵的 Azure 服務資源，只允許在客戶自己的虛擬網(wǎng)絡中對其進行訪問

可組合使用以下任何選項將本地計算機和網(wǎng)絡連接到虛擬網(wǎng)絡：

• 點到站點虛擬專用網(wǎng)絡： 在網(wǎng)絡中的虛擬網(wǎng)絡和單臺計算機之間建立連接。要與虛擬網(wǎng)絡建立連接的每臺計算機必須配置其連接。 這種連接類型適用于剛開始使用 Azure 的人員或開發(fā)人員，因為該連接類型僅需對現(xiàn)有網(wǎng)絡作出極少更改或不做任何更改。計算機與虛擬網(wǎng)絡之間的通信經(jīng) Internet 通過加密的通道來發(fā)送。

• 站點到站點： 在本地設備和虛擬網(wǎng)絡中部署的 Azure網(wǎng)關之間建立連接。 此連接類型可使授權的任何本地資源訪問虛擬網(wǎng)絡。本地設備和 Azure 網(wǎng)關之間的通信經(jīng) Internet 通過加密的通道來發(fā)送。

• Azure Express Route： 通過 Express Route 合作伙伴在網(wǎng)絡和 Azure 之間建立連接。 此連接是專用連接。流量不經(jīng)過 Internet。

以上是關于Azure虛擬網(wǎng)絡的一些基本介紹，注意到在Azure資源之間通信的方法中，有一種是通過一個叫做endpoint的東西，那么什么是這個endpoint，今天來介紹一下

首先來看下endpoint的一些介紹

虛擬網(wǎng)絡 (VNet) 服務終結點可通過直接連接將 VNet 的虛擬網(wǎng)絡專用地址空間和標識擴展到 Azure 服務。 使用終結點可以保護關鍵的 Azure 服務資源，只允許在客戶自己的虛擬網(wǎng)絡中對其進行訪問。 從 VNet 發(fā)往 Azure 服務的流量始終保留在 Microsoft Azure 主干網(wǎng)絡中

目前支持endpoint的服務主要有以下這些

Azure 存儲：在所有 Azure 區(qū)域正式發(fā)布。

Azure SQL 數(shù)據(jù)庫：在所有 Azure 區(qū)域正式發(fā)布。

Azure SQL 數(shù)據(jù)倉庫：在所有 Azure 區(qū)域正式發(fā)布。

Azure Database for PostgreSQL 服務器：在可以使用數(shù)據(jù)庫服務的 Azure 區(qū)域中通常可用。

Azure Database for MySQL 服務器：在可以使用數(shù)據(jù)庫服務的 Azure 區(qū)域中通?？捎谩?/p>

Azure Cosmos DB：在所有 Azure 公有云區(qū)域正式發(fā)布。

Azure Key Vault：在所有 Azure 公有云區(qū)域正式發(fā)布。

Azure 服務總線：在所有 Azure 公有云區(qū)域正式發(fā)布。

Azure 事件中心：在所有 Azure 公有云區(qū)域正式發(fā)布。

那么Endpoint有什么優(yōu)勢呢？

主要有以下幾點：

• 提高了 Azure 服務資源的安全性：VNet 專用地址空間可能重疊，因此不能用于唯一標識源自 VNet 的流量。通過將 VNet 標識擴展到服務，服務終結點可以將對 Azure 服務資源的訪問限定到你的虛擬網(wǎng)絡。在虛擬網(wǎng)絡中啟用服務終結點后，可以通過將虛擬網(wǎng)絡規(guī)則添加到資源，在虛擬網(wǎng)絡中保護 Azure 服務資源。 這完全消除了通過公共 Internet 對資源進行訪問的可能性，并僅允許來自自己虛擬網(wǎng)絡的流量，從而提高了安全性。

  因為虛擬網(wǎng)絡的IP地址很多時候并不一定是唯一的，所以通過IP地址的形式控制網(wǎng)絡的進出站流量，很多時候會造成一些誤解，并且因為PaaS服務的IP地址經(jīng)常會發(fā)生變化，也沒有辦法通過IP地址形式控制出入站，所以endpoint是一種很方便的方法，可以通過endpoint直接開啟/關閉對于某些PaaS服務的出入站流量。這是一種很有效的補充

• 來自虛擬網(wǎng)絡的 Azure 服務流量的最佳路由：當前，虛擬網(wǎng)絡中強制 Internet 流量通過本地和/或虛擬設備（稱為強制隧道）的任何路由也會強制 Azure 服務流量采用與 Internet 流量相同的路由。 服務終結點為 Azure 流量提供最佳路由。
  終結點始終將直接來自虛擬網(wǎng)絡的服務流量轉發(fā)到 Microsoft Azure 主干網(wǎng)絡上的服務。將流量保留在 Azure 主干網(wǎng)絡上可以通過強制隧道持續(xù)審核和監(jiān)視來自虛擬網(wǎng)絡的出站 Internet 流量，而不會影響服務流量。

   

  默認情況下，對于從Azure VM訪問某些PaaS服務，比如Azure SQL，路由其實是先出站到Internet，然后再訪問到PaaS服務的公網(wǎng)IP，這個流量看上去像是在公網(wǎng)走了一圈，其實這些訪問還是發(fā)生在Azure數(shù)據(jù)中心內(nèi)部的，但是確實是先出站到Internet，才會訪問PaaS服務的，那么開啟endpoint之后會如何呢？開啟endpiint之后，會單獨添加一條到PaaS服務的路由，訪問PaaS服務時會直接跳到PaaS服務，而不會先出站到Internet

實際舉例來說，比如從Azure VM訪問Azure SQL

不開Endpoint:在Azure SQL中看到的client IP會是一個公網(wǎng)IP

開啟Endpoint: 在Azure SQL中看到的client IP會是一個私網(wǎng) IP

• 設置簡單，管理開銷更少：不再需要使用虛擬網(wǎng)絡中的保留公共 IP 地址通過 IP 防火墻保護 Azure 資源。 無需使用 NAT 或網(wǎng)關設備即可設置服務終結點。 只需單擊一下子網(wǎng)，即可配置服務終結點。 不會產(chǎn)生與終結點維護相關的額外開銷。

    

  和第一點比較類似，開啟endpoint對于控制安全來講，會方便很多

當然了，endpoint本身也存在一些限制，比如：

• 該功能僅適用于使用 Azure 資源管理器部署模型部署的虛擬網(wǎng)絡。

• 終結點在 Azure 虛擬網(wǎng)絡中配置的子網(wǎng)上啟用。 終結點不可用于從本地發(fā)往 Azure 服務的流量。

• 對于 Azure SQL，服務終結點僅適用于虛擬網(wǎng)絡區(qū)域中的 Azure 服務流量。對于 Azure 存儲，為了支持 RA-GRS 和 GRS 流量，終結點還進行擴展以包括虛擬網(wǎng)絡所部署到的配對區(qū)域。

• 就 ADLS Gen 1 來說，VNet 集成功能僅適用于同一區(qū)域中的虛擬網(wǎng)絡。

光這么說可能對于endpoint的理解，還是比較模糊

下邊來舉個實際的例子，比如現(xiàn)在有這么一個需求，希望禁止所有VM出站到internet的流量，僅保留到Azure SQL或者Azure database for MySQL的這種流量

這種規(guī)則當然是要靠NSG實現(xiàn)的，那么規(guī)則如何設置呢？

首先來看下基本環(huán)境的搭建，實驗基本包含以下Azure組件

l Azure VM * 1: EndpointVM

l Azure SQL * 1: EndpointSQL

首先，第一步創(chuàng)建VM

第二步：創(chuàng)建Azure SQL

這里需要注意，Azure SQL中有項設置叫allow access to Azure services

這個是什么意思呢？我們可以通過一個實驗了解

以下是一個在我本地的服務器，通過連接工具訪問Azure SQL時可以看到會被提示IP不在白名單中

但在Azure VM通過SSMS進行連接測試，發(fā)現(xiàn)可以訪問

關閉允許訪問Azure服務選項后再次測試

再次在Azure VM中訪問

此時會發(fā)現(xiàn)已經(jīng)沒辦法訪問了

因此實際上允許訪問Azure服務這個選項開啟后，Azure VM不需要添加白名單即可訪問Azure SQL服務

再次測試開啟允許訪問Azure服務，同時在安全組直接限制所有出站

開啟允許訪問Azure服務選項，但是限制所有的出站，再次測試訪問情況，訪問失敗提示超時

也就是說：開啟允許訪問Azure服務選項時，只是不需要單獨開IP的白名單，當時不是直接走內(nèi)網(wǎng)，實際走的也是公網(wǎng)，只不過在檢測時因為是Azure的IP，所以直接放行了，這和開啟endpoint是不一樣的

關閉允許訪問Azure服務選項

之后添加Endpoint

可以看到endPoint已經(jīng)添加成功

之后添加虛擬網(wǎng)絡規(guī)則

再次測試，仍然無法訪問

添加到Azure SQL的允許出站的規(guī)則

再次測試

可以連接

所以，總結來說，通過endpoint，可以非常方便控制IaaS VM對于PaaS服務的訪問情況

當前名稱：AzureEndpoint解析
分享URL：http://bm7419.com/article0/gipdoo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設計公司、ChatGPT、企業(yè)建站、網(wǎng)站內(nèi)鏈、標簽優(yōu)化、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)