Sikker netværksadgang til PaaS-tjenester med slutpunkter for virtuelle netværkstjenester
Du har migreret dine eksisterende app- og databaseservere for dit ERP-system til Azure som VM'er. For at reducere dine omkostninger og administrative krav overvejer du nu at bruge nogle Tjenester til Azure Platform as a Service (PaaS). Lagertjenester indeholder visse store filaktiver, f.eks. tekniske diagrammer. Disse tekniske diagrammer har beskyttede oplysninger og skal forblive sikre mod uautoriseret adgang. Disse filer må kun være tilgængelige fra bestemte systemer.
I dette undermodul skal du se på, hvordan du bruger slutpunkter for virtuelle netværkstjenester til at beskytte understøttede Azure-tjenester.
Slutpunkter for virtuelle netværkstjeneste
Brug slutpunkter for virtuelle netværkstjenester til at udvide dit private adresseområde i Azure ved at oprette en direkte forbindelse til dine Azure-tjenester. Med tjenesteslutpunkter kan du sikre dine Azure-ressourcer til dit virtuelle netværk. Tjenestetrafik forbliver på Azure-backbone og går ikke ud på internettet.
Azure-tjenester er som standard alle udviklet til direkte internetadgang. Alle Azure-ressourcer har offentlige IP-adresser, herunder PaaS-tjenester som Azure SQL Database og Azure Storage. Da disse tjenester er tilgængelige på internettet, kan alle potentielt få adgang til dine Azure-tjenester.
Tjenesteslutpunkter kan forbinde visse PaaS-tjenester direkte til dit private adresseområde i Azure, så de fungerer, som om de er på det samme virtuelle netværk. Brug dit private adresseområde til at få direkte adgang til PaaS-tjenesterne. Tilføjelse af tjenesteslutpunkter fjerner ikke det offentlige slutpunkt. Det giver ganske enkelt en omdirigering af trafik.
Azure-tjenesteslutpunkter er tilgængelige for mange tjenester, f.eks.:
- Azure Storage.
- Azure SQL Database.
- Azure Cosmos DB.
- Azure Key Vault.
- Azure Service Bus.
- Azure Data Lake.
For en tjeneste som SQL Database, som du ikke kan få adgang til, før du føjer IP-adresser til dens firewall, bør du stadig overveje tjenesteslutpunkter. Brug af et tjenesteslutpunkt til SQL Database begrænser adgangen til bestemte virtuelle netværk, hvilket giver større isolation og reducerer angrebsoverfladen.
Sådan fungerer tjenesteslutpunkter
Hvis du vil aktivere et tjenesteslutpunkt, skal du:
- Slå offentlig adgang til tjenesten fra.
- Føj tjenesteslutpunktet til et virtuelt netværk.
Når du aktiverer et tjenesteslutpunkt, begrænser du trafikflowet og gør det muligt for dine Azure VM'er at få adgang til tjenesten direkte fra dit private adresseområde. Enheder kan ikke få adgang til tjenesten fra et offentligt netværk. Hvis du ser på Effektive ruterpå en udrullet VM vNIC, kan du se tjenesteslutpunktet som Næste hoptype.
Dette er et eksempel på en rutetabel, før du aktiverer et tjenesteslutpunkt:
| KILDE | STAT | ADRESSEPRÆFIKSER | NÆSTE HOPTYPE |
|---|---|---|---|
| Standard | Aktiv | 10.1.1.0/24 | VNet |
| Standard | Aktiv | 0.0.0.0./0 | Internet |
| Standard | Aktiv | 10.0.0.0/8 | Ingen |
| Standard | Aktiv | 100.64.0.0./10 | Ingen |
| Standard | Aktiv | 192.168.0.0/16 | Ingen |
Her er et eksempel på en rutetabel, når du har føjet to tjenesteslutpunkter til det virtuelle netværk:
| KILDE | STAT | ADRESSEPRÆFIKSER | NÆSTE HOPTYPE |
|---|---|---|---|
| Standard | Aktiv | 10.1.1.0/24 | VNet |
| Standard | Aktiv | 0.0.0.0./0 | Internet |
| Standard | Aktiv | 10.0.0.0/8 | Ingen |
| Standard | Aktiv | 100.64.0.0./10 | Ingen |
| Standard | Aktiv | 192.168.0.0/16 | Ingen |
| Standard | Aktiv | 20.38.106.0/23, 10 mere | VirtualNetworkServiceEndpoint |
| Standard | Aktiv | 20.150.2.0/23, 9 mere | VirtualNetworkServiceEndpoint |
Al trafik for tjenesten dirigeres nu til VirtualNetworkServiceEndpoint og forbliver intern i Azure.
Tjenesteslutpunkter og hybridnetværk
Tjenesteressourcer, du har sikret ved hjælp af virtuelle netværkstjenesteslutpunkter, er som standard ikke tilgængelige fra netværk i det lokale miljø. Hvis du vil have adgang til ressourcer fra et lokalt netværk, skal du bruge NAT-IP'er. Hvis du bruger ExpressRoute til at oprette forbindelse fra det lokale miljø til Azure, skal du identificere de NAT-IP-adresser, ExpressRoute bruger. Hvert kredsløb bruger som standard to NAT-IP-adresser til at oprette forbindelse til Azure-backbone-netværket. Du skal derefter føje disse IP-adresser til Azure-tjenesteressourcens KONFIGURATION af IP-firewall (f.eks. Azure Storage).
I følgende diagram kan du se, hvordan du kan bruge et tjenesteslutpunkt og en firewallkonfiguration til at aktivere enheder i det lokale miljø for at få adgang til Azure Storage-ressourcer:
