Azure 专用链接常见问题解答 (FAQ)

• Azure 专用终结点 ：Azure 专用终结点是一个网络接口，可以通过私密且安全的方式将你连接到 Azure 专用链接支持的服务。 可以使用专用终结点连接到支持专用链接的 Azure PaaS 服务，或者连接到你自己的专用链接服务。
• Azure 专用链接服务 ：Azure 专用链接服务是服务提供商创建的服务。 目前，专用链接服务可以附加到标准负载均衡器的前端 IP 配置。

流量是使用 Azure 主干以私密方式发送的。 它不会遍历 Internet。 Azure 专用链接不存储客户数据。

• 专用终结点授予对特定资源的网络访问权，这些资源位于提供细粒度分段的给定服务之后。 流量可以从本地到达服务资源，而无需使用公共终结点。
• 服务终结点仍是公开可路由的 IP 地址。 专用终结点是配置了专用终结点的虚拟网络的地址空间中的专用 IP。

多个专用链接资源类型支持通过专用终结点进行访问。 资源包括 Azure PaaS 服务和你自己的专用链接服务。 这是一种一对多关系。

一个专用链接服务可以接收来自多个专用终结点的连接。 一个专用终结点连接到一个专用链接服务。

Yes. 专用链接服务需要禁用网络策略才能正常工作。

Yes. 若要使用用户定义的路由和网络安全组等策略，需要为专用终结点的虚拟网络中的子网启用网络策略。 此设置会影响子网中的所有专用终结点。

通过服务终结点保护 Azure 服务资源有两个步骤：

1. 启用 Azure 服务的服务终结点。
2. 在 Azure 服务上设置虚拟网络访问控制列表 (ACL)。

第一步是网络端操作，第二步是服务资源端操作。 这两个步骤可以由同一管理员或不同的管理员根据授予管理员角色的 Azure 基于角色的访问控制 (RBAC) 权限执行。

建议在 Azure 服务端设置虚拟网络 ACL 之前，先打开虚拟网络的服务终结点。 若要设置虚拟网络服务终结点，必须按照上述顺序执行步骤。

某些服务（例如 Azure SQL 和 Azure Cosmos DB）允许通过 IgnoreMissingVnetServiceEndpoint 标志对上述序列进行异常处理。 将标志设置为 True 后，可以先在 Azure 服务端设置虚拟网络 ACL，然后在网络端打开服务终结点。 Azure 服务提供此标志，用于当 Azure 服务上配置特定 IP 防火墙时为客户提供帮助。

打开网络端的服务端点可能会导致连接中断，因为源 IP 从公共 IPv4 地址更改为专用地址。 在网络端打开服务终结点之前，在 Azure 服务端设置虚拟网络 ACL 可帮助避免连接性下降。

并非所有 Azure 服务都位于客户提供的虚拟网络中。 大多数 Azure 数据服务（如 Azure 存储、Azure SQL 和 Azure Cosmos DB）都是可以通过公共 IP 地址访问的多租户服务。 有关详细信息，请参阅将专用 Azure 服务部署到虚拟网络中。

在网络端打开虚拟网络服务终结点并在 Azure 服务端设置适当的虚拟网络 ACL 时，对 Azure 服务的访问仅限于允许的虚拟网络和子网。

虚拟网络服务终结点限制 Azure 服务对允许的虚拟网络和子网的访问权限。 通过这种方式，它们为 Azure 服务流量提供网络级别的安全性和隔离。

使用虚拟网络服务终结点的所有流量都流经 Azure 主干，以提供与公共 Internet 的另一层隔离。 客户还可选择完全删除对 Azure 服务资源的公共 Internet 访问权限，并且只允许通过 IP 防火墙和虚拟网络 ACL 的组合从其虚拟网络中访问流量。 删除 Internet 访问权限有助于保护 Azure 服务资源免受未经授权的访问。

虚拟网络服务终结点有助于保护 Azure 服务资源。 虚拟网络资源通过网络安全组进行保护。

No. 使用虚拟网络服务终结点不会产生额外的费用。

是的，有可能。 虚拟网络和 Azure 服务资源可以位于相同的订阅或不同的订阅中。 唯一的要求是虚拟网络和 Azure 服务资源必须位于相同的 Microsoft Entra 租户下。

是的，在将服务终结点用于 Azure 存储和 Azure Key Vault 时可以这样。 对于其他服务，Microsoft Entra 租户不支持虚拟网络服务终结点和虚拟网络 ACL。

默认情况下，无法从本地网络访问在虚拟网络中保护的 Azure 服务资源。 要允许来自本地的流量，还必须允许来自本地或 ExpressRoute 的公共（通常为 NAT）IP 地址。 可通过 Azure 服务资源的 IP 防火墙配置添加这些 IP 地址。

或者，可以为受支持的服务实现专用终结点。

若要在一个虚拟网络中的多个子网内或者跨多个虚拟网络保护 Azure 服务，可以针对每个子网的网络端单独启用服务终结点。 然后，通过在 Azure 服务端设置适当的虚拟网络 ACL，保护所有子网的 Azure 服务资源。

若要检查或筛选从虚拟网络发往 Azure 服务的流量，可在该虚拟网络中部署网络虚拟设备。 然后，可将服务终结点应用到部署了网络虚拟设备的子网，并通过虚拟网络 ACL 在该子网中保护 Azure 服务资源。

如果希望使用网络虚拟设备筛选将从虚拟网络发起的 Azure 服务访问限制为特定的 Azure 资源，此方案可能也很有帮助。 有关详细信息，请参阅部署高可用性 NVA。

此服务会返回 HTTP 403 或 HTTP 404 错误。

Yes. 对于大多数 Azure 服务，在不同区域创建的虚拟网络可以通过虚拟网络服务终结点访问另一个区域的 Azure 服务。 例如，如果 Azure Cosmos DB 帐户位于“亚太”中国东部 2 或“亚太”中国东部 2 区域，并且虚拟网络位于多个区域，则虚拟网络可以访问 Azure Cosmos DB。

Azure SQL 是一个例外，本质上是区域性的。 虚拟网络和 Azure 服务需要位于同一区域。

Yes. 虚拟网络 ACL 和 IP 防火墙可以共存。 这两个功能相互补充以确保隔离和安全性。

删除虚拟网络和删除子网是独立的操作。 即使为 Azure 服务启用了服务终结点，它们仍然受支持。

如果为 Azure 服务设置了虚拟网络 ACL，则删除已打开虚拟网络服务终结点的虚拟网络或子网时，会禁用与这些 Azure 服务相关的 ACL 信息。

删除 Azure 服务帐户是一项独立的操作。 即使您在网络端开启了服务终结点，并在 Azure 服务端配置了虚拟网络 ACL，这种操作仍然受到支持。

打开虚拟网络服务终结点后，虚拟网络子网中资源的源 IP 地址将从使用公共 IPv4 地址更改为使用 Azure 虚拟网络的专用 IP 地址，以便将流量传送到 Azure 服务。 此更改会导致前面在 Azure 服务上设置为公共 IPv4 地址的特定 IP 防火墙失败。

服务终结点添加的系统路由要优先于边界网关协议 (BGP) 路由，并为服务终结点流量提供最佳路由。 服务终结点始终将直接来自虚拟网络的服务流量转发到 Microsoft Azure 主干网络上的服务。

有关 Azure 如何选择路由的详细信息，请参阅虚拟网络流量路由。

No. 来自启用了服务终结点的子网的 ICMP 流量不会从服务隧道路径到达所需的终结点。 服务终结点只处理 TCP 流量。 如果想要通过服务终结点测试到终结点的延迟或连接性，则 ping 和 tracert 等工具不会显示子网中的资源将采用的真实路径。

要访问 Azure 服务，NSG 需要允许出站连接。 如果 NSG 对所有 Internet 出站流量开放，则服务端点流量应有效。 还可使用服务标记将出站流量限制为仅服务 IP 地址。

如果对虚拟网络具有写入访问权限，则可以单独在该网络上配置服务终结点。

若要在虚拟网络中保护 Azure 服务资源，你必须对所添加的子网拥有“Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action”权限。 此权限默认包含在内置的服务管理员角色中，可通过创建自定义角色进行修改。

有关内置角色和将特定权限分配给自定义角色的详细信息，请参阅 Azure 自定义角色。

可以使用虚拟网络服务终结点策略通过服务终结点筛选发往 Azure 服务的虚拟网络流量，以便仅允许特定的 Azure 服务资源。 终结点策略从发往 Azure 服务的虚拟网络流量提供精细的访问控制。

若要了解详细信息，请参阅 Azure 存储的虚拟网络服务终结点策略。

Microsoft Entra ID 不以原生方式支持服务终结点。 有关支持虚拟网络服务终结点的 Azure 服务完整列表，请参阅虚拟网络服务终结点。

虚拟网络中的服务终结点总数没有限制。 对于 Azure 服务资源（例如 Azure 存储帐户），服务可能会对用于保护资源的子网数目施加限制。 下表显示了一些示例限制：

要访问 Azure 服务，NSG 需要允许出站连接。 如果 NSG 对所有 Internet 出站流量开放，则服务端点流量应有效。 还可使用服务标记将出站流量限制为仅服务 IP 地址。

如果对虚拟网络具有写入访问权限，则可以单独在该网络上配置服务终结点。

若要在虚拟网络中保护 Azure 服务资源，你必须对所添加的子网拥有“Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action”权限。 此权限默认包含在内置的服务管理员角色中，可通过创建自定义角色进行修改。

有关内置角色和将特定权限分配给自定义角色的详细信息，请参阅 Azure 自定义角色。

可以使用虚拟网络服务终结点策略通过服务终结点筛选发往 Azure 服务的虚拟网络流量，以便仅允许特定的 Azure 服务资源。 终结点策略从发往 Azure 服务的虚拟网络流量提供精细的访问控制。

若要了解详细信息，请参阅 Azure 存储的虚拟网络服务终结点策略。

Microsoft Entra ID 不以原生方式支持服务终结点。 有关支持虚拟网络服务终结点的 Azure 服务完整列表，请参阅虚拟网络服务终结点。

虚拟网络中的服务终结点总数没有限制。 对于 Azure 服务资源（例如 Azure 存储帐户），服务可能会对用于保护资源的子网数目施加限制。 下表显示了一些示例限制：

Yes. 可以在同一虚拟网络或子网中创建多个专用终结点。 它们可以连接到不同的服务。

否。不支持为单个虚拟网络创建具有相同名称的多个区域。

No. 专用终结点不需要专用子网。 可以从部署了你的服务的虚拟网络的任何子网中选择专用终结点 IP。

Yes. 专用终结点可以跨 Microsoft Entray 租户连接到专用链接服务或 Azure PaaS。 跨租户的专用终结点需要手动请求批准。

Yes. 专用终结点可以跨 Azure 区域连接到 Azure PaaS 资源。

创建专用终结点时，将分配一个只读 NIC。 NIC 无法修改，将在专用终结点的生命周期中保留。

专用终结点是具有 SLA 的高度可用资源，其 SLA 依据 Azure 专用链接的 SLA。 但是，由于它们是区域资源，任何 Azure 区域中断都可能会影响可用性。 若要在发生区域性故障时实现可用性，可以在不同的区域中部署多个连接到同一目标资源的 PE。 这样一来，如果一个区域出现故障，你仍可以通过不同区域中的 PE 来路由恢复方案的流量，以访问目标资源。 若要了解如何在目标服务端处理区域性故障，请查看有关故障转移和恢复的服务文档。 专用链接流量遵循目标终结点的 Azure DNS 解析。

专用终结点是具有 SLA 的高度可用资源，其 SLA 依据 Azure 专用链接的 SLA。 专用终结点与区域无关：专用终结点区域中的可用性区域故障不会影响专用终结点的可用性。

仅专用终结点支持 TCP 和 UDP 流量。 有关详细信息，请参阅专用链接的限制。

服务后端应当位于虚拟网络中，并位于标准负载均衡器后面。

可以通过几种不同的方式缩放专用链接服务：

• 向标准负载均衡器后面的池添加后端 VM
• 向专用链接服务添加 IP。 每个专用链接服务最多允许 8 个 IP。
• 向标准负载均衡器添加新的专用链接服务。 每个标准负载均衡器最多允许 8 个专用链接服务。

• NAT IP 配置确保源（使用者）和目标（服务提供商）地址空间没有 IP 冲突。 此配置为目标的专用链接流量提供源 NAT。 NAT IP 地址将显示为服务收到的所有数据包的源 IP，并显示为服务发送的所有数据包的目标 IP。 可以从服务提供商虚拟网络中的任何子网选择 NAT IP。
• 每个 NAT IP 为标准负载均衡器后的每个 VM 提供 64k TCP 连接（64k 端口）。 为了扩展和添加更多连接，可以添加新的 NAT IP，或在标准负载均衡器后面添加更多 VM。 这样做会扩展端口可用性，并允许更多连接。 连接将分布在 NAT IP 和标准负载均衡器后面的 VM 上。

Yes. 一个专用链接服务可以接收来自多个专用终结点的连接。 但是，一个专用终结点只能连接到一个专用链接服务。

你可以使用专用链接服务上的可见性配置来控制公开。 可见性支持三种设置：

• 无 - 只有具有基于角色的访问权限的订阅才能找到该服务。
• 限制 - 只有已批准的具有基于角色的访问权限的订阅才能找到该服务。
• 全部 - 所有人都可以找到服务。

No. 不支持通过基本负载均衡器的专用链接服务。

No. 专用链接服务不需要专用子网。 可以选择部署了你的服务的虚拟网络中的任何子网。

No. Azure 专用链接会为你提供此功能。 你无需具有与客户的地址空间不重叠的地址空间。

Next steps

• 了解 Azure 专用链接