Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure 虚拟网络服务终结点通过 Azure 主干网络上的优化路由,为 Azure 服务提供安全而直接的连接。 通过这些终结点,可以专门保护虚拟网络的关键Azure服务资源,使专用 IP 地址无需公共 IP 地址即可访问Azure服务。 本指南介绍如何配置服务终结点、其优点和实现的最佳做法。
注意事项
建议使用 Azure Private Link 和专用终端,以实现对托管在 Azure 平台上的服务进行安全和专用的访问。 Azure Private Link将一个网络接口部署到你选择的虚拟网络中,以用于Azure服务,例如Azure Storage或Azure SQL。 有关详细信息,请参阅 Azure Private Link 和 什么是专用终结点?
服务终结点适用于以下Azure服务和区域。 Microsoft.* 资源在括号中。 在为服务配置服务终结点时,请从子网端启用此资源:
通常可用
Azure Storage (Microsoft.Storage):在所有Azure区域中正式发布。
Azure Storage跨区域服务终结点 (Microsoft.Storage.Global):在所有Azure区域中普遍可用。
Azure SQL Database(Microsoft.Sql):在所有Azure区域中正式发布。
Azure Synapse Analytics(Microsoft.Sql):在专用 SQL 池(前 SQL DW)的所有Azure区域中正式发布。
Azure Database for MariaDB(Microsoft.Sql):在数据库服务可用的Azure区域中正式发布。
Azure Cosmos DB(Microsoft.AzureCosmosDB):在所有Azure区域中正式发布。
Azure Key Vault(Microsoft.KeyVault):在所有Azure区域中正式发布。
Azure Service Bus(Microsoft.ServiceBus):在所有Azure区域中正式发布。
Azure 应用服务(Microsoft.Web):在应用服务可用的所有 Azure 区域中全面可用。
主要优点
服务终结点提供以下优势:
提升Azure服务资源的安全性:虚拟网络专用地址空间可以重叠。 不能使用重叠地址空间来唯一标识源自虚拟网络的流量。 通过扩展虚拟网络标识,服务终结点能够将Azure服务资源安全地连接到您的虚拟网络。 在虚拟网络中启用服务终结点后,可以添加一个虚拟网络规则,将 Azure 服务资源与您的虚拟网络安全连接。 规则的添加提高了安全性,通过完全移除对资源的公共互联网访问权限,并仅允许来自虚拟网络的流量。
虚拟网络中的Azure服务流量的优化路由:当前,虚拟网络中强制“Internet”流量发往本地和/或虚拟设备的任何路由也会强制Azure服务流量采用与“Internet”流量相同的路由。 服务终结点为Azure流量提供最佳路由。
终结点始终将服务流量从您的虚拟网络直接传送到Azure主干网络上的服务。 将流量保留在Azure主干网络上,允许你通过强制隧道继续审核和监视来自虚拟网络的出站 Internet 流量,而不会影响服务流量。 有关自定义路由和强制隧道传输的详细信息,请参阅 Azure 虚拟网络流量路由。
设置简单并减少管理开销:您不再需要在虚拟网络中使用保留的公共 IP 地址来通过 IP 防火墙保护 Azure 资源。 没有设置服务终结点所需的网络地址转换(NAT)或网关设备。 您可以通过在子网上进行一次选择来配置服务终结点。 不会产生维护终结点的额外开销。
限制
此功能仅适用于通过Azure Resource Manager部署模型部署的虚拟网络。
终结点在Azure虚拟网络中配置的子网上启用。 终端不能用于从本地服务发送到 Azure 服务的流量。 有关详细信息,请参阅从本地安全访问Azure服务
对于Azure SQL,服务终结点仅适用于虚拟网络所在区域内的Azure服务流量。
将 Azure 服务保护到虚拟网络
虚拟网络服务终结点为 Azure 服务提供您的虚拟网络的标识。 在启用虚拟网络中的服务终结点后,可以添加虚拟网络规则,将 Azure 服务资源与虚拟网络绑定以确保安全性。
目前,Azure来自virtual network的服务流量使用公共 IP 地址作为源 IP 地址。 使用服务终结点时,从虚拟网络访问 Azure 服务的流量会转换为使用虚拟网络专用地址作为源 IP 地址。 此开关功能允许你访问服务,而无需使用 IP 防火墙中保留的公共 IP 地址。
注意事项
启用服务终结点后,子网中用于服务流量的虚拟机的源 IP 地址从使用公共 IPv4 地址切换为使用专用 IPv4 地址。 使用Azure公共 IP 地址的现有Azure服务防火墙规则停止使用此交换机。 在设置服务终结点之前,请确保Azure服务防火墙规则允许进行此切换。 在配置服务终结点时,可能会遇到来自此子网的服务流量出现暂时性中断的情况。
保护从本地到Azure服务的访问
默认情况下,安全连接到虚拟网络的Azure服务资源无法从本地网络访问。 要允许来自本地的流量,还必须允许来自本地或 ExpressRoute 的公共(通常为 NAT)IP 地址。 可以通过Azure服务资源的 IP 防火墙配置添加这些 IP 地址。
ExpressRoute:如果在本地使用 ExpressRoute 进行 Microsoft 对等互联,则需标识所用的 NAT IP 地址。 NAT IP 地址由客户或服务提供商提供。 若要允许访问您的服务资源,必须在资源 IP 防火墙设置中允许这些公共 IP 地址。 有关 ExpressRoute Microsoft对等互连的 NAT 的详细信息,请参阅 ExpressRoute NAT 要求。
配置
在虚拟网络的子网上配置服务终结点。 终结点可以处理该子网中运行的任何类型的计算实例。
可以为子网上支持的所有Azure服务(例如Azure Storage或Azure SQL Database)配置多个服务终结点。
对于Azure SQL Database,虚拟网络必须与Azure服务资源位于同一区域。 对于所有其他服务,可以将Azure服务资源安全到任何区域中的虚拟网络。
配置终结点的虚拟网络可以与 Azure 服务资源位于相同或不同的订阅中。 有关设置终结点和保护Azure服务所需的权限的详细信息,请参阅 Provisioning。
对于受支持的服务,可以使用服务终结点在虚拟网络中保护新的或现有的资源。
注意事项
服务终结点部署后,源 IP 地址从使用公共 IPv4 地址切换到从该子网与服务通信时使用其专用 IPv4 地址。 在进行这种切换的过程中,与服务建立的所有现有打开的 TCP 连接将会关闭。 在对子网的某项服务启用或禁用服务终结点时,请确保没有正在运行的关键任务。 此外,请确保应用程序可以在 IP 地址切换后自动连接到Azure服务。
IP 地址交换机仅影响来自虚拟网络的服务流量。 对发送到或从分配给虚拟机的公共 IPv4 地址传输的任何其他流量没有任何影响。 对于 Azure 服务,如果您现有的防火墙规则使用 Azure 公共 IP 地址,在切换到虚拟网络专用地址后,这些规则将停止工作。
使用服务终结点时,Azure 服务的 DNS 条目仍保持不变,并继续解析为分配给 Azure 服务的公共 IP 地址。
具有服务终结点的网络安全组 (NSG):
默认情况下,NSG 允许出站互联网流量,并允许来自虚拟网络到 Azure 服务的流量。 此流量继续按原有方式使用服务终结点。
如果要拒绝所有出站 Internet 流量,并且只允许流向特定Azure服务的流量,则可以在 NSG 中使用 service tags。 可以在 NSG 规则中将受支持的Azure服务指定为目标,Azure还提供每个标记的基础 IP 地址的维护。 有关详细信息,请参阅 NSG 的 Azure 服务标记。
场景
对等、已连接或多个虚拟网络:若要将 Azure 服务保护到虚拟网络内或跨多个虚拟网络的多个子网,请单独在每个子网上启用服务终结点。 此过程将Azure服务资源保护到所有子网。
筛选从virtual network发往Azure服务的出站流量:如果要检查或筛选从virtual network发送到Azure服务的流量,可以在virtual network中部署网络虚拟设备。 然后,可以将服务终结点应用到部署了网络虚拟设备的子网,并且只将 Azure 服务资源的访问权限限制在此子网。 如果希望使用网络虚拟设备筛选将Azure服务访问仅限制为从您的虚拟网络到特定的Azure资源,则此方案可能很有用。
将Azure资源分配给直接部署到虚拟网络的服务:可以直接将各种Azure服务部署到virtual network中的特定子网。 可以通过在托管服务子网上设置服务终结点来保护Azure服务资源托管服务子网。
Azure虚拟机的磁盘流量:Azure Storage的服务终结点路由更改不会影响托管和非托管磁盘的虚拟机磁盘流量。 此流量包括磁盘 IO 和装载和卸载操作。 可以使用服务终结点和 Azure Storage 网络规则将 REST 访问限制到特定网络的页 Blob。
日志记录和故障排除
为特定的服务配置服务终结点后,请通过以下方式验证服务终结点路由是否生效:
验证服务诊断中任何服务请求的源 IP 地址。 所有具有服务终结点的新请求都会将请求的源 IP 地址显示为virtual network专用 IP 地址,该地址分配给从virtual network发出请求的客户端。 如果没有终结点,该地址是Azure公共 IP 地址。
查看子网中任何网络接口上的有效路由。 通往服务的路径:
显示更具体的默认路由用于寻址每个服务的前缀范围
nextHopType 的类型是 VirtualNetworkServiceEndpoint
指示与任何强制隧道路由相比,一条与服务之间的更直接的连接已生效
注意事项
服务终结点路由将替代Azure服务的地址前缀匹配的任何 BGP 或用户定义的路由(UDR)。 有关详细信息,请参阅排查有效路由问题。
配置
具有虚拟网络写入权限的用户可以在虚拟网络上独立配置服务终结点。 要将 Azure 服务资源连接到虚拟网络,在已添加的子网上,用户必须拥有 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action 权限。 默认情况下,内置服务管理员角色包括此权限,但可以通过创建自定义角色对其进行修改。
有关内置角色的详细信息,请参阅 Azure 内置角色。 有关向自定义角色分配特定权限的详细信息,请参阅Azure自定义角色。
虚拟网络和Azure服务资源可以位于相同或不同的订阅中。 某些Azure服务(并非所有)(如Azure Storage和Azure Key Vault)也支持不同Microsoft Entra ID租户的服务终结点。 虚拟网络和 Azure 服务资源可以位于不同的 Microsoft Entra ID 租户中。 请查看各个服务文档,了解更多详细信息。
定价和限制
使用服务终结点不会产生额外费用。 Azure服务当前的定价模型(如Azure存储、Azure SQL数据库等)目前仍然适用。
virtual network中的服务终结点总数没有限制。
某些Azure服务(例如Azure Storage帐户)可能会对用于保护资源的子网数量实施限制。 有关详细信息,请参阅后续步骤部分中列出的各种服务的文档。
虚拟网络服务终结点策略
虚拟网络服务终结点策略允许您筛选虚拟网络传向 Azure 服务的流量。 此筛选器仅允许通过服务终结点使用特定的Azure服务资源。 服务终结点策略为 Azure 服务的虚拟网络流量提供精细的访问控制。 有关详细信息,请参阅 Virtual Network 服务终结点策略。
常见问题
有关常见问题解答,请参阅 Virtual Network 服务终结点常见问题解答。