Wyjaśnienie punktów końcowych usługi dla sieci wirtualnej
Twoja organizacja migruje istniejącą aplikację ERP z serwerami baz danych do maszyn wirtualnych platformy Azure. Teraz rozważasz korzystanie z pewnych usług typu platforma jako usługa (PaaS) na platformie Azure, aby zmniejszyć koszty i wymagania administracyjne. W szczególności usługi magazynu do przechowywania dużych zasobów plików, takich jak diagramy inżynieryjne. Te diagramy inżynieryjne mają zastrzeżone informacje i muszą pozostać bezpieczne przed nieautoryzowanym dostępem. Te pliki tylko muszą być dostępne tylko z określonych systemów.
W tej lekcji dowiesz się, jak używać punktów końcowych usługi sieci wirtualnej do zabezpieczania usług platformy Azure.
Co to jest punkt końcowy usługi sieci wirtualnej?
Punkt końcowy usługi sieci wirtualnej (VNet) zapewnia bezpieczną i bezpośrednią łączność z usługami platformy Azure. Punkty końcowe usługi umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko w sieciach wirtualnych. Punkty końcowe usługi umożliwiają prywatnym adresom IP w sieci wirtualnej dotarcie do punktu końcowego usługi platformy Azure bez konieczności korzystania z publicznego adresu IP.
Domyślnie wszystkie usługi platformy Azure są zaprojektowane z myślą o bezpośrednim dostępie do Internetu. Wszystkie zasoby platformy Azure mają publiczne adresy IP. Dotyczy to również usług PaaS, takich jak usługa Azure SQL Database i usługa Azure Storage. Ponieważ te usługi są połączone z Internetem, każda osoba może potencjalnie uzyskać dostęp do Twoich usług platformy Azure.
Punkty końcowe usługi mogą łączyć niektóre usługi PaaS bezpośrednio z prywatną przestrzenią adresową na platformie Azure. Punkty końcowe usługi używają prywatnej przestrzeni adresowej do uzyskiwania bezpośredniego dostępu do usług PaaS. Dodanie punktów końcowych usługi nie powoduje usunięcia publicznego punktu końcowego. Skutkuje po prostu przekierowaniem ruchu.
Przygotowywanie do implementowania punktów końcowych usługi
Aby włączyć punkt końcowy usługi, należy wykonać dwie czynności.
- Wyłączyć dostęp publiczny do usługi.
- Dodaj punkt końcowy usługi do sieci wirtualnej.
Po włączeniu punktu końcowego usługi ograniczasz przepływ ruchu i umożliwiasz maszynom wirtualnym platformy Azure dostęp do usługi bezpośrednio z prywatnej przestrzeni adresowej. Urządzenia nie mogą uzyskać dostępu do usługi z sieci publicznej. W przypadku wdrożonej wirtualnej karty sieciowej maszyny wirtualnej, jeśli spojrzysz na obowiązujące trasy, zauważysz, że punkt końcowy usługi jest typem następnego przeskoku.
Oto przykładowa tabela tras przed włączeniem punktu końcowego usługi.
| ŹRÓDŁO | STAN | PREFIKSY ADRESÓW | TYP NASTĘPNEGO PRZESKOKU |
|---|---|---|---|
| Domyślne | Aktywne | 10.1.1.0/24 | Sieć wirtualna |
| Domyślne | Aktywne | 0.0.0.0./0 | Internet |
| Domyślne | Aktywne | 10.0.0.0/8 | Brak |
| Domyślne | Aktywne | 100.64.0.0/10 | Brak |
| Domyślne | Aktywne | 192.168.0.0/16 | Brak |
Oto przykładowa tabela tras po dodaniu dwóch punktów końcowych usługi do sieci wirtualnej.
| ŹRÓDŁO | STAN | PREFIKSY ADRESÓW | TYP NASTĘPNEGO PRZESKOKU |
|---|---|---|---|
| Domyślne | Aktywne | 10.1.1.0/24 | Sieć wirtualna |
| Domyślne | Aktywne | 0.0.0.0./0 | Internet |
| Domyślne | Aktywne | 10.0.0.0/8 | Brak |
| Domyślne | Aktywne | 100.64.0.0/10 | Brak |
| Domyślne | Aktywne | 192.168.0.0/16 | Brak |
| Domyślne | Aktywne | 20.38.106.0/23, 10 kolejnych | VirtualNetworkServiceEndpoint |
| Domyślne | Aktywne | 20.150.2.0/23, 9 kolejnych | VirtualNetworkServiceEndpoint |
Cały ruch dla usługi jest teraz kierowany do punktu końcowego usługi sieci wirtualnej i pozostaje wewnętrzny na platformie Azure.
Tworzenie punktów końcowych usługi
Jako inżynier sieci planujesz przeniesienie poufnych plików diagramów inżynieryjnych do usługi Azure Storage. Pliki te muszą być dostępne tylko z komputerów w sieci firmowej. Chcesz utworzyć punkt końcowy usługi dla sieci wirtualnej dla usługi Azure Storage, aby zabezpieczyć łączność z kontami magazynu.
Z samouczka punktu końcowego usługi dowiesz się, jak wykonywać następujące działania:
- Włączanie punktu końcowego usługi w podsieci
- Ograniczanie dostępu do usługi Azure Storage przy użyciu reguł sieci
- Tworzenie punktu końcowego usługi dla sieci wirtualnej dla usługi Azure Storage
- Sprawdź, czy dostęp został odpowiednio odrzucony
Konfigurowanie tagów usługi
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci.
Za pomocą tagów usługi można zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub usłudze Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi, taką jak USŁUGA API Management, w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować.
Za pomocą tagów usług można uzyskać izolację sieci i chronić zasoby platformy Azure przed ogólnym Internetem podczas uzyskiwania dostępu do usług platformy Azure, które mają publiczne punkty końcowe. Utwórz reguły sieciowej grupy zabezpieczeń dla ruchu przychodzącego/wychodzącego, aby blokować ruch do/z Internetu i zezwalać na ruch do/z usługi AzureCloud lub innych dostępnych tagów usług określonych usług platformy Azure.
Dostępne tagi usługi
Ta tabela zawiera wszystkie tagi usług dostępne do użycia w regułach sieciowej grupy zabezpieczeń. Kolumny wskazują, czy tag:
- Jest odpowiedni dla reguł, które obejmują ruch przychodzący lub wychodzący.
- Obsługuje zakres regionalny.
- Można używać w regułach usługi Azure Firewall.
Domyślnie tagi usługi są przeznaczone dla całej chmury. Niektóre tagi usługi umożliwiają również bardziej szczegółową kontrolę przez ograniczenie odpowiednich zakresów adresów IP do określonego regionu. Na przykład tag usługi Storage reprezentuje usługę Azure Storage dla całej chmury. Zachodnie stany USA zawęża zakres tylko do zakresów adresów IP magazynu z regionu Zachodnie stany USA.
Tagi usług platformy Azure oznaczają prefiksy adresów z używanej chmury. Na przykład zakresy adresów IP, które odpowiadają wartości tagu SQL w chmurze publicznej platformy Azure, różnią się od zakresów w chmurze Azure Government.
W przypadku zaimplementowania punktu końcowego usługi dla sieci wirtualnej dla usługi platforma Azure dodaje trasę do podsieci sieci wirtualnej. Prefiksy adresów w trasie są tymi samymi prefiksami adresów dla odpowiedniego tagu usługi.