Udostępnij za pośrednictwem


Zabezpieczenia sieci dla usługi Azure Relay

W tym artykule opisano sposób używania następujących funkcji zabezpieczeń w usłudze Azure Relay:

  • Reguły zapory bazujące na adresach IP
  • Prywatne punkty końcowe

Uwaga

Usługa Azure Relay nie obsługuje punktów końcowych usługi sieciowej.

Zapora bazująca na adresach IP

Domyślnie przestrzenie nazw usługi Relay są dostępne z Internetu, o ile żądanie jest dostarczane z prawidłowym uwierzytelnianiem i autoryzacją. Zapora IP umożliwia dalsze ograniczenie go tylko do zestawu adresów IPv4 lub zakresów adresów IPv4 w notacji CIDR (routing międzydomenowy bezklasowy).

Ta funkcja jest przydatna w scenariuszach, w których usługa Azure Relay powinna być dostępna tylko z określonych dobrze znanych witryn. Reguły zapory umożliwiają konfigurowanie reguł akceptowania ruchu pochodzącego z określonych adresów IPv4. Jeśli na przykład używasz usługi Relay z usługą Azure Express Route, możesz utworzyć regułę zapory, aby zezwolić na ruch tylko z lokalnych adresów IP infrastruktury.

Reguły zapory adresów IP są stosowane na poziomie przestrzeni nazw usługi Relay. W związku z tym reguły mają zastosowanie do wszystkich połączeń od klientów przy użyciu dowolnego obsługiwanego protokołu. Wszelkie próby nawiązania połączenia z adresu IP, który nie jest zgodny z dozwoloną regułą IP w przestrzeni nazw usługi Relay, są odrzucane jako nieautoryzowane. Odpowiedź nie wspomina o regule adresu IP. Reguły filtrowania adresów IP są stosowane w kolejności, a pierwsza reguła zgodna z adresem IP określa akcję akceptowania lub odrzucania.

Aby uzyskać więcej informacji, zobacz How to configure IP firewall for a Relay namespace (Jak skonfigurować zaporę IP dla przestrzeni nazw usługi Relay)

Prywatne punkty końcowe

Usługa Azure Private Link umożliwia dostęp do usług platformy Azure (na przykład Azure Relay, Azure Service Bus, Azure Event Hubs, Azure Storage i Azure Cosmos DB) oraz hostowanych przez platformę Azure usług klientów/partnerów za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Private Link?

Prywatny punkt końcowy to interfejs sieciowy, który umożliwia obciążeniom działającym w sieci wirtualnej łączenie się prywatnie i bezpiecznie z usługą, która ma zasób łącza prywatnego (na przykład przestrzeń nazw usługi Relay). Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, efektywnie przenosząc usługę do sieci wirtualnej. Cały ruch do usługi można kierować za pośrednictwem prywatnego punktu końcowego, więc nie są potrzebne żadne bramy, urządzenia NAT, usługa ExpressRoute, połączenia sieci VPN lub publiczne adresy IP. Ruch między siecią wirtualną a usługą przechodzi przez sieć szkieletową firmy Microsoft eliminując narażenie z publicznego Internetu. Poziom szczegółowości kontroli dostępu można zapewnić, zezwalając na połączenia z określonymi przestrzeniami nazw usługi Azure Relay.

Aby uzyskać więcej informacji, zobacz Jak skonfigurować prywatne punkty końcowe

Odwiedź następujące artykuły: