解释虚拟网络服务终结点

情景

你的组织将包含数据库服务器的现有应用迁移到 Azure 虚拟机。 现在，为了降低费用和管理要求，需要考虑使用一些 Azure 平台即服务 (PaaS) 服务。 具体来说，就是存储服务来保存大型文件资产，例如工程图。 这些工程图包含专有信息，必须保持对它们的保护，使其免遭未经授权的访问。 这些文件必须仅能从特定系统进行访问。

下面是一些具有类似要求的其他方案。

• 将服务连接到对等互连的或多个虚拟网络。
• 保护 Azure 资源以便服务直接部署在虚拟网络中。
• 过滤从虚拟网络到 Azure 服务的出站流量。
• 管理来自 Azure 虚拟机的磁盘流量。

什么是虚拟网络服务终结点？

默认情况下，Azure 服务都是针对直接 Internet 访问而设计的。 所有 Azure 资源都有公共 IP 地址，其中包括 PaaS 服务，例如 Azure SQL 数据库和 Azure 存储。 由于这些服务对 Internet 都是公开的，因此任何人都可能访问你的 Azure 服务。

虚拟网络（VNet）服务终结点 通过 Azure 主干网络提供与 Azure 服务的安全和直接连接。 终结点使您可以将关键的 Azure 服务资源仅限制在您的虚拟网络中，从而确保其安全。 服务终结点允许虚拟网络中的专用 IP 地址访问 Azure 服务的终结点。

服务终结点可以将某些服务直接连接到 Azure 中的专用地址空间。 Azure 服务终结点可用于许多服务，例如：

• Azure 存储
• Azure SQL 数据库
• Azure Cosmos DB
• Azure Key Vault
• Azure 服务总线
• Azure Data Lake

服务终结点优化和安全功能

此视频重点介绍终结点的优化和安全功能。

服务终结点策略

虚拟网络服务终结点策略 通过服务终结点策略，可以通过服务终结点筛选到特定 Azure 资源的虚拟网络流量。 例如，通过服务终结点与 Azure 存储连接时，终结点策略可以为虚拟网络流量提供精细的访问控制。