定义专用链接服务和专用终结点

情景

组织有一个 Azure 虚拟网络，想要连接到 PaaS 资源，例如 Azure SQL 数据库。 当你创建此类资源时，通常要指定一个公共终结点作为连接方法。

具有公共终结点意味着资源被分配了一个公共 IP 地址。 因此，即使你的虚拟网络和 Azure SQL 数据库都位于 Azure 云中，它们之间的连接实际上是通过 Internet 进行的。

问题在于，你的 Azure SQL 数据库将通过其公共 IP 地址暴露在 Internet 上。 这种暴露造成了多重安全风险。 当通过公共 IP 地址从以下位置访问任何 Azure 资源时，也存在这些安全风险：

• 对等互连的 Azure 虚拟网络。
• 使用 ExpressRoute 和 Microsoft 对等互连连接到 Azure 的本地网络。
• 客户连接到你公司提供的 Azure 服务的 Azure 虚拟网络。

Azure 专用终结点和 Azure 专用链接概述

此视频总结了专用终结点和专用链接。

什么是 Azure 专用链接？

通过 Azure 专用链接 ，可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务和 Azure 托管的客户拥有/合作伙伴服务。 专用链接旨在通过删除连接的公共部分来消除安全风险。

专用链接提供对 Azure 服务的安全访问。 专用链接通过将资源的公共终结点替换为专用网络接口来实现这一安全性。 此新体系结构需要考虑三个关键点。

• 从某种意义上说，Azure 资源成为你的虚拟网络的一部分。
• 与资源的连接现在使用 Microsoft Azure 主干网络，而不是公共 Internet。
• 可以将 Azure 资源配置为不再公开其公共 IP 地址，这样就消除了潜在的安全风险。

什么是 Azure 专用终结点？

Azure 专用终结点 是专用链接背后的关键技术。 专用终结点是一个网络接口，用于在虚拟网络与 Azure 服务之间建立专用和安全连接。 换句话说，专用终结点是替换资源公共终结点的网络接口。

专用链接提供对 Azure 服务的安全访问。 专用链接通过将资源的公共终结点替换为专用网络接口来实现这一安全性。 专用终结点对进入虚拟网络中的服务使用专用 IP 地址。

Azure 专用终结点与服务终结点之间有何不同？

专用终结点授予对特定资源的网络访问权限，这些资源位于提供细粒度分段的给定服务之后。 流量可以从本地访问服务资源，而无需使用公共终结点。

服务终结点仍然是可公开路由的 IP 地址。 专用终结点是配置专用终结点的虚拟网络地址空间中的专用 IP。