Azure Firewall 场景以检查流向专用终结点的流量

Azure 专用终结点是 Azure Private Link 的基础构件。 专用终结点允许部署在虚拟网络中的 Azure 资源通过专用链接资源进行私密通信。

资源可通过专用终结点访问虚拟网络中部署的专用链接服务。 通过虚拟网络对等互连和本地网络连接对专用终结点进行访问扩展了连接性。

你可能需要检查或阻止从客户端到通过专用终结点公开的服务的流量。 使用 Azure Firewall 或第三方网络虚拟设备完成此检查。

以下限制适用：

• 由于虚拟网络中的子网默认禁用网络策略，网络安全组 (NSG) 流量会绕过专用终结点。 要利用由用户定义的路由和网络安全组支持等网络策略，必须为子网启用网络策略支持。 此设置仅适用于子网中的专用终结点。 此设置会影响子网中的所有专用终结点。 对于子网中的其他资源，将根据网络安全组的安全规则控制访问。

• 用户定义的路由 (UDR) 流量会绕过专用终结点。 用户定义的路由可用于替代发往专用终结点的流量。

• 单个路由表可附加到一个子网

• 一个路由表最多支持 400 个路由

Azure Firewall使用以下任一方法筛选流量：

• 网络规则中的 FQDN，适用于 TCP 和 UDP 协议

• 应用程序规则中的 FQDN，适用于 HTTP、HTTPS 和 MSSQL。

方案 1：中心辐射型体系结构 - 面向专用终结点的专用虚拟网络

此方案是使用专用终结点以私密方式连接到多个Azure服务的最可扩展体系结构。 会创建一个路由，它指向部署了专用终结点的网络地址空间。 这种配置能够减少管理开销，并防止达到 400 条路线的上限。

如果虚拟网络已对等互连，那么从客户端虚拟网络连接到中心虚拟网络中的 Azure 防火墙将会产生费用。 从中心虚拟网络中的Azure Firewall到对等虚拟网络中的专用终结点的连接不收费。

有关与对等互连虚拟网络的连接相关的费用的详细信息，请参阅定价页的常见问题解答部分。

方案 2：中心辐射型架构 - 供专用终结点和虚拟机使用的共享虚拟网络

在下列情况中实现此方案：

• 无法为专用终结点提供专用的虚拟网络。

• 仅在虚拟网络中使用专用终结点暴露少数服务时

虚拟机拥有指向每个专用终结点的 /32 系统路由。 每个专用终结点都配置了一条路由，以通过 Azure Firewall 路由流量。

随着服务在虚拟网络中公开，因维护路由表而产生的管理开销会增加。 达到路由限制的可能性也会增加。

根据你的总体架构，可能会遇到 400 个路由的限制。 建议尽可能使用方案 1。

如果虚拟网络已对等互连，那么从客户端虚拟网络连接到中心虚拟网络中的 Azure 防火墙将会产生费用。 从中心虚拟网络中的Azure Firewall到对等虚拟网络中的专用终结点的连接不收费。

有关与对等互连虚拟网络的连接相关的费用的详细信息，请参阅定价页的常见问题解答部分。

方案 3：单个虚拟网络

若无法迁移到中心辐射型体系结构，请使用此模式。 方案 2 中的注意事项同样适用。 此情景中，不收取虚拟网络对等互连费用。

场景 4：本地流量至专用终结点

如果已通过以下任一方式配置与本地网络的连接，则可实现此体系结构：

• ExpressRoute

• 站点到站点 VPN

如果安全要求规定流向通过专用终结点公开的服务的客户端流量通过安全设备进行路由，请部署此方案。

需遵守上述方案 2 中的注意事项。 在此方案中，不存在虚拟网络对等互连费用。 有关如何将 DNS 服务器配置为允许本地工作负载访问专用终结点的详细信息，请参阅使用 DNS 转发器的本地工作负载。

后续步骤

在本文中，你了解了可用于使用 Azure Firewall 限制虚拟机与专用终结点之间的流量的不同方案。

有关如何配置Azure Firewall以检查发往专用终结点的流量的教程，请参阅 Tutorial：使用 Azure Firewall

若要了解有关专用终结点的详细信息，请参阅 什么是Azure专用终结点？