解释虚拟网络服务终结点
你的组织将具有数据库服务器的现有 ERP 应用迁移到 Azure 虚拟机。 现在,为了降低费用和管理要求,需要考虑使用一些 Azure 平台即服务 (PaaS) 服务。 具体来说,就是存储服务来保存大型文件资产,例如工程图。 这些工程图包含专有信息,必须保持对它们的保护,使其免遭未经授权的访问。 这些文件必须仅能从特定系统进行访问。
本单元将介绍如何使用虚拟网络服务终结点来保护 Azure 服务。
什么是虚拟网络服务终结点?
虚拟网络 (VNet) 服务终结点提供与 Azure 服务的安全直接连接。 使用服务终结点可保护关键 Azure 服务资源,仅限在你的虚拟网络中访问。 通过服务终结点,VNet 中的专用 IP 地址无需公共 IP 地址即可到达 Azure 服务的终结点。
默认情况下,Azure 服务都是针对直接 Internet 访问而设计的。 所有 Azure 资源都有公共 IP 地址,其中包括 PaaS 服务,例如 Azure SQL 数据库和 Azure 存储。 由于这些服务对 Internet 都是公开的,因此任何人都可能访问你的 Azure 服务。
服务终结点可以将某些 PaaS 服务直接连接到 Azure 中的专用地址空间。 服务终结点使用专用地址空间直接访问 PaaS 服务。 添加服务终结点不会删除公共终结点。 它只是提供了流量的重定向。
准备实现服务终结点
要启用服务终结点,必须完成两项操作。
- 关闭对该服务的公共访问。
- 将服务终结点添加到虚拟网络。
启用服务终结点时,会限制流量并允许 Azure VM 从专用地址空间直接访问该服务。 无法使用设备通过公用网络访问该服务。 在部署的 VM vNIC 上,如果查看有效路由,会看到服务终结点是下一个跃点类型。
下面是启用服务终结点之前的示例路由表。
| 源 | 状态 | 地址前缀 | 下一跃点类型 |
|---|---|---|---|
| 默认 | 可用 | 10.1.1.0/24 | VNet |
| 默认 | 可用 | 0.0.0.0./0 | Internet |
| 默认 | 活动 | 10.0.0.0/8 | 无 |
| 默认 | 活动 | 100.64.0.0./ | 无 |
| 默认 | 活动 | 192.168.0.0/16 | 无 |
下面是在将两个服务终结点添加到虚拟网络后的示例路由表。
| 源 | 状态 | 地址前缀 | 下一跃点类型 |
|---|---|---|---|
| 默认 | 可用 | 10.1.1.0/24 | VNet |
| 默认 | 可用 | 0.0.0.0./0 | Internet |
| 默认 | 活动 | 10.0.0.0/8 | 无 |
| 默认 | 活动 | 100.64.0.0./ | 无 |
| 默认 | 活动 | 192.168.0.0/16 | 无 |
| 默认 | 可用 | 20.38.106.0/23,10 个以上 | VirtualNetworkServiceEndpoint |
| 默认 | 可用 | 20.150.2.0/23,9 个以上 | VirtualNetworkServiceEndpoint |
现在,服务的所有流量都路由到虚拟网络服务终结点,并保持为 Azure 的内部内容。
创建服务终结点
作为一名网络工程师,你计划将敏感的工程图文件移动到 Azure 存储中。 这些文件必须仅能通过公司网络内部的计算机进行访问。 你需要创建 Azure 存储的虚拟网络服务终结点,以保护对存储帐户的连接。
在服务终结点教程中,你将了解如何:
- 为子网启用服务终结点
- 使用网络规则限制对 Azure 存储的访问
- 为 Azure 存储创建虚拟网络服务终结点
- 验证是否已正确拒绝访问
配置服务标记
服务标记代表给定 Azure 服务中的一组 IP 地址前缀。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记,从而尽量减少频繁更新网络安全规则所需的复杂操作。
可以在网络安全组或 Azure 防火墙中使用服务标记来定义网络访问控制。 创建安全规则时,请使用服务标记代替特定 IP 地址。 通过在规则的相应源或目标字段中指定服务标记名称(例如 API 管理),可以允许或拒绝相应服务的流量。
从 2021 年 3 月起,你还可以使用服务标记来代替用户定义的路由中的显式 IP 范围。 此功能目前提供公共预览版。
可使用服务标记来实现网络隔离,保护 Azure 资源免受常规 Internet 侵害,同时访问具有公共终结点的 Azure 服务。 可创建入站/出站网络安全组规则,以拒绝进出 Internet 的流量并允许进出 AzureCloud 或特定 Azure 服务的其他可用服务标记的流量 。
可用服务标记
此表列出了可在网络安全组规则中使用的所有服务标记。 列指示标记是否:
- 适用于涵盖入站或出站流量的规则。
- 支持区域范围。
- 可在 Azure 防火墙规则中使用。
默认情况下,服务标记用于整个云。 某些服务标记还可以通过将相应 IP 范围限制为指定的区域,来实现更精细的控制。 例如,“存储”这个服务标记表示整个云的 Azure 存储。 “美国西部”将范围缩小到仅限来自美国西部区域的存储 IP 地址范围。
Azure 服务的服务标记表示来自所使用的特定云的地址前缀。 例如,与 Azure 公有云上的 SQL 标记值对应的 IP 范围不同于 Azure 政府云上的范围。
如果为某项服务实现了虚拟网络服务终结点,Azure 会将路由添加到虚拟网络子网。 路由中的地址前缀与相应服务标记的地址前缀相同。