今天來討論下Azure虛擬網(wǎng)絡中的endpoint功能,虛擬網(wǎng)絡是什么相信已經(jīng)有很多博客有過一些介紹了,對于云比較了解的同學應該不需要再介紹了,各家云廠商對于虛擬網(wǎng)絡的叫法雖然不一樣,但是本質(zhì)上都是一個東西,AWS和Ali叫VPC,Azure則叫Virtual Network
我們提供的服務有:成都做網(wǎng)站、成都網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認證、瑪多ssl等。為上1000家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務,是有科學管理、有技術的瑪多網(wǎng)站制作公司
Azure 虛擬網(wǎng)絡允許許多類型的 Azure 資源(例如 Azure 虛擬機 (VM))以安全方式彼此通信、與 Internet 通信,以及與本地網(wǎng)絡通信。一個虛擬網(wǎng)絡局限于一個區(qū)域;但是,可以使用虛擬網(wǎng)絡對等互連將不同區(qū)域的多個虛擬網(wǎng)絡連接起來。
Azure 資源可以采用下述某種方式安全地相互通信:
通過虛擬網(wǎng)絡:可以將 VM 和多個其他類型的 Azure 資源部署到虛擬網(wǎng)絡,如 Azure 應用服務環(huán)境、Azure Kubernetes 服務 (AKS) 和 Azure 虛擬機規(guī)模集。
通過虛擬網(wǎng)絡服務終結點:通過直接連接將虛擬網(wǎng)絡專用地址空間和虛擬網(wǎng)絡的標識擴展到 Azure 服務資源,例如 Azure 存儲帳戶和 Azure SQL 數(shù)據(jù)庫。 使用服務終結點可以保護關鍵的 Azure 服務資源,只允許在客戶自己的虛擬網(wǎng)絡中對其進行訪問
可組合使用以下任何選項將本地計算機和網(wǎng)絡連接到虛擬網(wǎng)絡:
點到站點虛擬專用網(wǎng)絡: 在網(wǎng)絡中的虛擬網(wǎng)絡和單臺計算機之間建立連接。要與虛擬網(wǎng)絡建立連接的每臺計算機必須配置其連接。 這種連接類型適用于剛開始使用 Azure 的人員或開發(fā)人員,因為該連接類型僅需對現(xiàn)有網(wǎng)絡作出極少更改或不做任何更改。計算機與虛擬網(wǎng)絡之間的通信經(jīng) Internet 通過加密的通道來發(fā)送。
站點到站點: 在本地設備和虛擬網(wǎng)絡中部署的 Azure網(wǎng)關之間建立連接。 此連接類型可使授權的任何本地資源訪問虛擬網(wǎng)絡。本地設備和 Azure 網(wǎng)關之間的通信經(jīng) Internet 通過加密的通道來發(fā)送。
Azure Express Route: 通過 Express Route 合作伙伴在網(wǎng)絡和 Azure 之間建立連接。 此連接是專用連接。流量不經(jīng)過 Internet。
以上是關于Azure虛擬網(wǎng)絡的一些基本介紹,注意到在Azure資源之間通信的方法中,有一種是通過一個叫做endpoint的東西,那么什么是這個endpoint,今天來介紹一下
首先來看下endpoint的一些介紹
虛擬網(wǎng)絡 (VNet) 服務終結點可通過直接連接將 VNet 的虛擬網(wǎng)絡專用地址空間和標識擴展到 Azure 服務。 使用終結點可以保護關鍵的 Azure 服務資源,只允許在客戶自己的虛擬網(wǎng)絡中對其進行訪問。 從 VNet 發(fā)往 Azure 服務的流量始終保留在 Microsoft Azure 主干網(wǎng)絡中
目前支持endpoint的服務主要有以下這些
Azure 存儲:在所有 Azure 區(qū)域正式發(fā)布。
Azure SQL 數(shù)據(jù)庫:在所有 Azure 區(qū)域正式發(fā)布。
Azure SQL 數(shù)據(jù)倉庫:在所有 Azure 區(qū)域正式發(fā)布。
Azure Database for PostgreSQL 服務器:在可以使用數(shù)據(jù)庫服務的 Azure 區(qū)域中通常可用。
Azure Database for MySQL 服務器:在可以使用數(shù)據(jù)庫服務的 Azure 區(qū)域中通??捎谩?/p>
Azure Cosmos DB:在所有 Azure 公有云區(qū)域正式發(fā)布。
Azure Key Vault:在所有 Azure 公有云區(qū)域正式發(fā)布。
Azure 服務總線:在所有 Azure 公有云區(qū)域正式發(fā)布。
Azure 事件中心:在所有 Azure 公有云區(qū)域正式發(fā)布。
那么Endpoint有什么優(yōu)勢呢?
主要有以下幾點:
提高了 Azure 服務資源的安全性:VNet 專用地址空間可能重疊,因此不能用于唯一標識源自 VNet 的流量。通過將 VNet 標識擴展到服務,服務終結點可以將對 Azure 服務資源的訪問限定到你的虛擬網(wǎng)絡。在虛擬網(wǎng)絡中啟用服務終結點后,可以通過將虛擬網(wǎng)絡規(guī)則添加到資源,在虛擬網(wǎng)絡中保護 Azure 服務資源。 這完全消除了通過公共 Internet 對資源進行訪問的可能性,并僅允許來自自己虛擬網(wǎng)絡的流量,從而提高了安全性。
因為虛擬網(wǎng)絡的IP地址很多時候并不一定是唯一的,所以通過IP地址的形式控制網(wǎng)絡的進出站流量,很多時候會造成一些誤解,并且因為PaaS服務的IP地址經(jīng)常會發(fā)生變化,也沒有辦法通過IP地址形式控制出入站,所以endpoint是一種很方便的方法,可以通過endpoint直接開啟/關閉對于某些PaaS服務的出入站流量。這是一種很有效的補充
來自虛擬網(wǎng)絡的 Azure 服務流量的最佳路由:當前,虛擬網(wǎng)絡中強制 Internet 流量通過本地和/或虛擬設備(稱為強制隧道)的任何路由也會強制 Azure 服務流量采用與 Internet 流量相同的路由。 服務終結點為 Azure 流量提供最佳路由。
終結點始終將直接來自虛擬網(wǎng)絡的服務流量轉發(fā)到 Microsoft Azure 主干網(wǎng)絡上的服務。將流量保留在 Azure 主干網(wǎng)絡上可以通過強制隧道持續(xù)審核和監(jiān)視來自虛擬網(wǎng)絡的出站 Internet 流量,而不會影響服務流量。
默認情況下,對于從Azure VM訪問某些PaaS服務,比如Azure SQL,路由其實是先出站到Internet,然后再訪問到PaaS服務的公網(wǎng)IP,這個流量看上去像是在公網(wǎng)走了一圈,其實這些訪問還是發(fā)生在Azure數(shù)據(jù)中心內(nèi)部的,但是確實是先出站到Internet,才會訪問PaaS服務的,那么開啟endpoint之后會如何呢?開啟endpiint之后,會單獨添加一條到PaaS服務的路由,訪問PaaS服務時會直接跳到PaaS服務,而不會先出站到Internet
實際舉例來說,比如從Azure VM訪問Azure SQL
不開Endpoint:在Azure SQL中看到的client IP會是一個公網(wǎng)IP
開啟Endpoint: 在Azure SQL中看到的client IP會是一個私網(wǎng) IP
設置簡單,管理開銷更少:不再需要使用虛擬網(wǎng)絡中的保留公共 IP 地址通過 IP 防火墻保護 Azure 資源。 無需使用 NAT 或網(wǎng)關設備即可設置服務終結點。 只需單擊一下子網(wǎng),即可配置服務終結點。 不會產(chǎn)生與終結點維護相關的額外開銷。
和第一點比較類似,開啟endpoint對于控制安全來講,會方便很多
當然了,endpoint本身也存在一些限制,比如:
該功能僅適用于使用 Azure 資源管理器部署模型部署的虛擬網(wǎng)絡。
終結點在 Azure 虛擬網(wǎng)絡中配置的子網(wǎng)上啟用。 終結點不可用于從本地發(fā)往 Azure 服務的流量。
對于 Azure SQL,服務終結點僅適用于虛擬網(wǎng)絡區(qū)域中的 Azure 服務流量。對于 Azure 存儲,為了支持 RA-GRS 和 GRS 流量,終結點還進行擴展以包括虛擬網(wǎng)絡所部署到的配對區(qū)域。
就 ADLS Gen 1 來說,VNet 集成功能僅適用于同一區(qū)域中的虛擬網(wǎng)絡。
光這么說可能對于endpoint的理解,還是比較模糊
下邊來舉個實際的例子,比如現(xiàn)在有這么一個需求,希望禁止所有VM出站到internet的流量,僅保留到Azure SQL或者Azure database for MySQL的這種流量
這種規(guī)則當然是要靠NSG實現(xiàn)的,那么規(guī)則如何設置呢?
首先來看下基本環(huán)境的搭建,實驗基本包含以下Azure組件
l Azure VM * 1: EndpointVM
l Azure SQL * 1: EndpointSQL
首先,第一步創(chuàng)建VM
第二步:創(chuàng)建Azure SQL
這里需要注意,Azure SQL中有項設置叫allow access to Azure services
這個是什么意思呢?我們可以通過一個實驗了解
以下是一個在我本地的服務器,通過連接工具訪問Azure SQL時可以看到會被提示IP不在白名單中
但在Azure VM通過SSMS進行連接測試,發(fā)現(xiàn)可以訪問
關閉允許訪問Azure服務選項后再次測試
再次在Azure VM中訪問
此時會發(fā)現(xiàn)已經(jīng)沒辦法訪問了
因此實際上允許訪問Azure服務這個選項開啟后,Azure VM不需要添加白名單即可訪問Azure SQL服務
再次測試開啟允許訪問Azure服務,同時在安全組直接限制所有出站
開啟允許訪問Azure服務選項,但是限制所有的出站,再次測試訪問情況,訪問失敗提示超時
也就是說:開啟允許訪問Azure服務選項時,只是不需要單獨開IP的白名單,當時不是直接走內(nèi)網(wǎng),實際走的也是公網(wǎng),只不過在檢測時因為是Azure的IP,所以直接放行了,這和開啟endpoint是不一樣的
關閉允許訪問Azure服務選項
之后添加Endpoint
可以看到endPoint已經(jīng)添加成功
之后添加虛擬網(wǎng)絡規(guī)則
再次測試,仍然無法訪問
添加到Azure SQL的允許出站的規(guī)則
再次測試
可以連接
所以,總結來說,通過endpoint,可以非常方便控制IaaS VM對于PaaS服務的訪問情況
當前名稱:AzureEndpoint解析
分享URL:http://bm7419.com/article0/gipdoo.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設計公司、ChatGPT、企業(yè)建站、網(wǎng)站內(nèi)鏈、標簽優(yōu)化、網(wǎng)站收錄
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)