說明虛擬網路服務端點
貴組織將現有的 ERP 應用程式與資料庫伺服器移轉至 Azure 虛擬機器。 現在,為了降低成本與系統管理需求,您正考慮使用某些 Azure 平台即服務 (PaaS) 服務。 具體地說,是用來保留大型檔案資產 (例如工程圖紙) 的儲存體服務。 這些工程圖表具有專屬資訊,因此必須避免遭受未經授權的存取。 這些檔案必須僅供從特定系統存取。
在本單元中,您將會探索如何使用虛擬網路服務端點來保護 Azure 服務。
什麼是虛擬網路服務端點?
虛擬網路 (VNet) 服務端點可針對 Azure 服務提供安全且直接的連線。 服務端點讓您能夠保護只屬於您虛擬網路中重要的 Azure 服務資源。 服務端點可讓 VNet 中的私人 IP 位址到達 Azure 服務的端點,而無需公用 IP 位址。
Azure 服務預設都是針對直接網際網路存取而設計。 所有 Azure 資源都有公用 IP 位址,包括 PaaS 服務,例如 Azure SQL Database 和「Azure 儲存體」。 由於這些服務會對網際網路公開,因此任何人都可能存取您的 Azure 服務。
服務端點可將特定 PaaS 服務直接連線至您在 Azure 中的私人位址空間。 服務端點會使用私人位址空間來直接存取 PaaS 服務。 新增服務端點並不會移除公用端點。 其只是將流量重新導向。
準備執行服務端點
若要啟用服務端點,您必須執行兩個動作。
- 關閉對服務的公用存取。
- 將服務端點新增至虛擬網路。
當啟用服務端點時,您會限制流量,並讓 Azure VM 可直接從私人位址空間存取服務。 裝置無法從公用網路存取服務。 在已部署的 VM vNIC 上,若您查看有效路由,就會注意到服務端點是下一個躍點類型。
以下是啟用服務端點前的範例路由表。
| 來源 | 狀態 | 位址首碼 | 下一個躍點類型 |
|---|---|---|---|
| 預設 | 使用中 | 10.1.1.0/24 | VNet |
| 預設 | 使用中 | 0.0.0.0./0 | 網際網路 |
| 預設 | 使用中 | 10.0.0.0/8 | 無 |
| 預設 | 使用中 | 100.64.0.0./ | 無 |
| 預設 | 使用中 | 192.168.0.0/16 | 無 |
以下是將兩個服務端點新增至虛擬網路後的範例路由表。
| 來源 | 狀態 | 位址首碼 | 下一個躍點類型 |
|---|---|---|---|
| 預設 | 使用中 | 10.1.1.0/24 | VNet |
| 預設 | 使用中 | 0.0.0.0./0 | 網際網路 |
| 預設 | 使用中 | 10.0.0.0/8 | 無 |
| 預設 | 使用中 | 100.64.0.0./ | 無 |
| 預設 | 使用中 | 192.168.0.0/16 | 無 |
| 預設 | 使用中 | 20.38.106.0/23,以及其他 10 個 | VirtualNetworkServiceEndpoint |
| 預設 | 使用中 | 20.150.2.0/23,以及其他 9 個 | VirtualNetworkServiceEndpoint |
服務的所有流量現在都會路由傳送到虛擬網路服務端點,並維持在 Azure 內部。
建立服務端點
您是網路工程師,正打算將敏感性的工程圖表檔案移至 Azure 儲存體。 這些檔案必須僅供從公司網路內部的電腦存取。 您想要建立 Azure 儲存體的虛擬網路服務端點,以保護儲存體帳戶的連線。
在服務端點教學課程 (部分機器翻譯) 中,您將了解如何:
- 啟用子網路上的服務端點
- 使用網路規則來限制對 Azure 儲存體的存取
- 為 Azure 儲存體建立虛擬網路服務端點
- 驗證已適當地拒絕存取
設定服務標籤
服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。
您可使用服務標籤來定義網路安全性群組或 Azure 防火牆的網路存取控制。 建立安全性規則時,請以服務標籤取代特定的 IP 位址。 在規則的適當來源或目的地欄位中指定服務標籤名稱 (例如 API 管理),即可允許或拒絕對應服務的流量。
自 2021 年 3 月起,您也可以使用服務標籤取代使用者定義路由中的明確 IP 範圍。 此功能目前為公開預覽狀態。
您可以使用服務標籤達成網路隔離,以及在存取具有公用端點的 Azure 服務時,防止從一般網際網路存取您的 Azure 資源。 建立輸入/輸出網路安全性群組規則,可拒絕進出於網際網路的流量,並允許 AzureCloud 或特定 Azure 服務的其他可用服務標籤的輸入/輸出流量。
可用的服務標籤
此資料表 (部分機器翻譯) 包含可在網路安全性群組規則中使用的所有服務標籤。 資料行表示標籤是否:
- 適用於涵蓋輸入或輸出流量的規則。
- 支援區域範圍。
- 可在 Azure 防火牆規則中使用。
根據預設,服務標籤適用於整個雲端。 某些服務標籤也會將對應的 IP 範圍限定為指定的區域,以提供更精細的控制。 例如,服務標籤 Storage 代表整個雲端的 Azure 儲存體。 West US 則將範圍縮減至僅限來自美國西部區域的儲存體 IP 位址範圍。
Azure 服務的服務標籤代表所使用之特定雲端中的位址首碼。 例如,對應至 Azure 公用雲端上 SQL 標籤值的 IP 範圍便與 Azure Government 雲端上的範圍不同。
如果您為服務實作虛擬網路服務端點,Azure 會新增一個通往虛擬網路子網路的路由。 路由中的位址首碼是與對應的服務標籤相同的位址首碼。