Wyjaśnienie punktów końcowych usługi dla sieci wirtualnej
- 10 min
Scenariusz
Twoja organizacja migruje istniejącą aplikację z serwerami baz danych na maszyny wirtualne platformy Azure. Teraz rozważasz korzystanie z pewnych usług typu platforma jako usługa (PaaS) na platformie Azure, aby zmniejszyć koszty i wymagania administracyjne. W szczególności usługi magazynu do przechowywania dużych zasobów plików, takich jak diagramy inżynieryjne. Te diagramy inżynieryjne mają zastrzeżone informacje i muszą pozostać bezpieczne przed nieautoryzowanym dostępem. Te pliki tylko muszą być dostępne tylko z określonych systemów.
Oto kilka innych scenariuszy, które mają podobne wymagania.
- Łączenie usług z połączonymi lub wieloma sieciami wirtualnymi.
- Zabezpieczanie zasobów platformy Azure w usługach wdrożonych bezpośrednio w sieciach wirtualnych.
- Filtrowanie ruchu wychodzącego z sieci wirtualnej do usług platformy Azure.
- Zarządzanie ruchem dyskowym z maszyny wirtualnej platformy Azure.
Co to jest punkt końcowy usługi dla sieci wirtualnej?
Domyślnie wszystkie usługi platformy Azure są zaprojektowane z myślą o bezpośrednim dostępie do Internetu. Wszystkie zasoby platformy Azure mają publiczne adresy IP. Dotyczy to również usług PaaS, takich jak usługa Azure SQL Database i usługa Azure Storage. Ponieważ te usługi są połączone z Internetem, każda osoba może potencjalnie uzyskać dostęp do Twoich usług platformy Azure.
Punkt końcowy usługi sieci wirtualnej (VNet) zapewnia bezpieczną i bezpośrednią łączność z usługami platformy Azure za pośrednictwem sieci szkieletowej platformy Azure. Punkty końcowe umożliwiają zabezpieczanie krytycznych zasobów usługi Azure wyłącznie w Twoich sieciach wirtualnych. Punkty końcowe usługi umożliwiają prywatnym adresom IP w sieci wirtualnej dotarcie do punktu końcowego usługi platformy Azure.
Punkty końcowe usługi mogą łączyć niektóre usługi bezpośrednio z prywatną przestrzenią adresową na platformie Azure. Punkty końcowe usługi platformy Azure są dostępne dla wielu usług, takich jak:
- Azure Storage
- Azure SQL Database
- Azure Cosmos DB
- Azure Key Vault
- Azure Service Bus
- Azure Data Lake
Funkcje optymalizacji i zabezpieczeń punktu końcowego usługi
W tym filmie wideo przedstawiono funkcje optymalizacji i zabezpieczeń punktów końcowych.
Zasady punktu końcowego usługi
Zasady punktu końcowego usługi dla sieci wirtualnej Zasady punktu końcowego usługi umożliwiają filtrowanie ruchu sieci wirtualnej do określonych zasobów platformy Azure za pośrednictwem punktów końcowych usługi. Na przykład zasady punktu końcowego mogą zapewnić szczegółową kontrolę dostępu dla ruchu sieci wirtualnej do usługi Azure Storage podczas nawiązywania połączenia za pośrednictwem punktu końcowego usługi.
Uwaga / Notatka
Firma Microsoft zaleca korzystanie z usługi Azure Private Link i prywatnych punktów końcowych w celu zapewnienia bezpiecznego i prywatnego dostępu do usług hostowanych na platformie Azure. Te informacje będą omówione w następnych jednostkach.
Wskazówka
Dowiedz się więcej o punktach końcowych usługi w module Zabezpieczanie i izolowanie dostępu do zasobów platformy Azure przy użyciu sieciowych grup zabezpieczeń i punktów końcowych usługi . Ten moduł zawiera ćwiczenie dotyczące tworzenia punktu końcowego usługi i używania reguł sieci w celu ograniczenia dostępu do usługi Azure Storage.