解释虚拟网络服务终结点
你已将 ERP 系统的现有应用和数据库服务器作为 VM 迁移到 Azure。 现在,为了降低费用和管理要求,需要考虑使用一些 Azure 平台即服务 (PaaS) 服务。 存储服务将保存某些大型文件资产,例如工程图。 这些工程图包含专有信息,必须保持对它们的保护,使其免遭未经授权的访问。 这些文件必须仅能从特定系统进行访问。
此单元将介绍如何使用虚拟网络服务终结点保护受支持的 Azure 服务。
什么是虚拟网络服务终结点?
通过在 Azure 主干网络上实现经过优化的路由,虚拟网络 (VNet) 服务终结点可为 Azure 服务提供安全的直接连接。 使用终结点可以保护关键的 Azure 服务资源,只允许在客户自己的虚拟网络中对其进行访问。 服务终结点使 VNet 中的专用 IP 地址能够到达 Azure 服务的终结点,且无需在 VNet 中使用公共 IP 地址。
默认情况下,Azure 服务都是针对直接 Internet 访问而设计的。 所有 Azure 资源都有公共 IP 地址,其中包括 PaaS 服务,例如 Azure SQL 数据库和 Azure 存储。 由于这些服务对 Internet 都是公开的,因此任何人都可能访问你的 Azure 服务。
服务终结点可以将特定的 PaaS 服务直接连接到 Azure 中的专用地址空间,让它们看起来就像在同一个虚拟网络上一样。 使用专用地址空间直接访问 PaaS 服务。 添加服务终结点不会删除公共终结点。 它只是提供了流量的重定向。
准备实现服务终结点
要启用服务终结点,必须完成以下两项操作:
- 关闭对该服务的公共访问。
- 将服务终结点添加到虚拟网络。
启用服务终结点时,会限制流量并允许 Azure VM 从专用地址空间直接访问该服务。 无法使用设备通过公用网络访问该服务。 在部署的 VM vNIC 上,如果查看“有效路由”,将看到“下一跃点类型”为服务终结点。
启用服务终结点之前,请查看以下示例路由表:
| 源 | 状态 | 地址前缀 | 下一跃点类型 |
|---|---|---|---|
| 默认 | 可用 | 10.1.1.0/24 | VNet |
| 默认 | 可用 | 0.0.0.0./0 | Internet |
| 默认 | 活动 | 10.0.0.0/8 | 无 |
| 默认 | 活动 | 100.64.0.0./ | 无 |
| 默认 | 活动 | 192.168.0.0/16 | 无 |
下面是在将两个服务终结点添加到虚拟网络后的示例路由表:
| 源 | 状态 | 地址前缀 | 下一跃点类型 |
|---|---|---|---|
| 默认 | 可用 | 10.1.1.0/24 | VNet |
| 默认 | 可用 | 0.0.0.0./0 | Internet |
| 默认 | 活动 | 10.0.0.0/8 | 无 |
| 默认 | 活动 | 100.64.0.0./ | 无 |
| 默认 | 活动 | 192.168.0.0/16 | 无 |
| 默认 | 可用 | 20.38.106.0/23,10 个以上 | VirtualNetworkServiceEndpoint |
| 默认 | 可用 | 20.150.2.0/23,9 个以上 | VirtualNetworkServiceEndpoint |
现在,服务的所有流量都路由到虚拟网络服务终结点,并保持为 Azure 的内部内容。
创建服务终结点
作为一名网络工程师,你计划将敏感的工程图文件移动到 Azure 存储中。 这些文件必须仅能通过公司网络内部的计算机进行访问。 你需要创建 Azure 存储的虚拟网络服务终结点,以保护对存储帐户的连接。
在服务终结点教程中,你将了解如何:
- 为子网启用服务终结点
- 使用网络规则限制对 Azure 存储的访问
- 为 Azure 存储创建虚拟网络服务终结点
- 验证是否已正确拒绝访问
配置服务标记
服务标记代表给定 Azure 服务中的一组 IP 地址前缀。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记,从而尽量减少频繁更新网络安全规则所需的复杂操作。
可以在网络安全组或 Azure 防火墙中使用服务标记来定义网络访问控制。 创建安全规则时,请使用服务标记代替特定 IP 地址。 通过在规则的相应源或目标字段中指定服务标记名称(例如 API 管理),可以允许或拒绝相应服务的流量。
从 2021 年 3 月起,你还可以使用服务标记来代替用户定义的路由中的显式 IP 范围。 此功能目前提供公共预览版。
可使用服务标记来实现网络隔离,保护 Azure 资源免受常规 Internet 侵害,同时访问具有公共终结点的 Azure 服务。 可创建入站/出站网络安全组规则,以拒绝进出 Internet 的流量并允许进出 AzureCloud 或特定 Azure 服务的其他可用服务标记的流量 。
可用服务标记
下表列出了可在网络安全组规则中使用的所有服务标记。
列指示标记是否:
- 适用于涵盖入站或出站流量的规则。
- 支持区域范围。
- 可在 Azure 防火墙规则中使用。
默认情况下,服务标记反映了整个云的范围。 某些服务标记还可以通过将相应 IP 范围限制为指定的区域,来实现更精细的控制。 例如,服务标记“Storage”表示整个云的 Azure 存储,而“Storage.WestUS” 则将范围缩小到仅适用于来自美国西部区域的存储 IP 地址范围。 下表说明每个服务标签是否支持此区域范围。
Azure 服务的服务标记表示来自所使用的特定云的地址前缀。 例如,与 Azure 公有云上的 SQL 标记值对应的基础 IP 范围将不同于 Azure 中国云上的基础范围。
如果为某个服务(例如 Azure 存储或 Azure SQL 数据库)实现了虚拟网络服务终结点,Azure 会将路由添加到该服务的虚拟网络子网。 路由中的地址前缀与相应服务标记的地址前缀或 CIDR 范围相同。