你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可靠性和网络连接
网络连接包括三种用于专用网络连接的 Azure 模型:
- VNet 注入
- VNet 服务终结点
- 专用链接
VNet 注入适用于专门为你部署的服务,例如:
- Azure Kubernetes 服务 (AKS) 节点
- SQL 托管实例
- 虚拟机
这些资源直接连接到虚拟网络。
虚拟网络 (VNet) 服务终结点提供与 Azure 服务的安全直接连接。 这些服务终结点通过 Azure 网络使用优化的路由。 服务终结点使 VNet 中的专用 IP 地址能够到达 Azure 服务的终结点,且无需在 VNet 中使用公共 IP 地址。
专用链接使用专用 IP 地址对 Azure PaaS 实例或 Azure 负载均衡器 Standard 后的自定义服务提供专用访问。
设计注意事项
网络连接包括以下与可靠工作负载相关的设计注意事项:
对共享 Azure PaaS 服务使用 专用链接(如果可用)。 专用链接通常适用于多种服务,并且许多服务以公共预览版提供。
通过 ExpressRoute 专用对等互连从本地访问 Azure PaaS 服务。
将虚拟网络注入用于专用 Azure 服务,也可以为可用的共享 Azure 服务使用 Azure 专用链接。 要在虚拟网络注入或专用链接不可用时从本地访问 Azure PaaS 服务,请使用 ExpressRoute Microsoft 对等互连。 此方法可避免通过公共 Internet 传输。
使用虚拟网络服务终结点从虚拟网络中保护对 Azure PaaS 服务的访问。 仅当专用链接不可用且无需担心未经授权的数据移动时,才使用虚拟网络服务终结点。
服务终结点不允许从本地网络访问 PaaS 服务。 专用终结点可以。
若要解决有关使用服务终结点未经授权移动数据的问题,请使用网络虚拟设备 (NVA) 筛选。 还可以将虚拟网络服务终结点策略用于 Azure 存储。
以下本机网络安全服务是完全托管的服务。 客户不会产生与基础结构部署相关的运营和管理成本,这可能会在大规模情况下变得复杂:
- Azure 防火墙
- 应用程序网关
- Azure Front Door
PaaS 服务通常通过公共终结点进行访问。 Azure 平台提供保护这些终结点或使其完全专用的功能。
如果客户首选第三方网络虚拟设备 (NVA) 在本机服务不满足特定要求的情况下使用它们。
清单
配置网络连接时是否考虑到了可靠性?
- 不要实施强制隧道来启用从 Azure 到 Azure 资源的通信。
- 除非使用网络虚拟设备 (NVA) 筛选,否则当担心未经授权移动数据时,请勿使用虚拟网络服务终结点。
- 默认情况下,不要在所有子网中启用虚拟网络服务终结点。