共用方式為

将 Azure 服务与虚拟网络集成,实现网络隔离

使用 Azure 虚拟网络集成,可以安全地隔离和控制对虚拟网络基础结构中的 Azure 服务的访问。 通过将服务与虚拟网络集成,可以消除对公共 Internet 的暴露,限制对已授权网络(包括对等虚拟网络和本地连接)的访问,并增强整体安全态势。 这种全面的网络隔离方法有助于保护关键资源,并确保符合组织安全要求。

虚拟网络集成通过以下一个或多个集成方法为 Azure 服务提供增强的安全性和网络隔离:

  • 专用服务部署:将 服务的专用实例部署到虚拟网络 中,以便在虚拟网络和本地网络中启用专用访问。 此部署方法提供对网络流量和路由的完全控制。

  • 专用连接:使用 专用终结点 将你专用且安全地连接到由 Azure 专用链接提供支持的服务。 专用终结点使用虚拟网络中的专用 IP 地址,有效地将服务引入虚拟网络并消除 Internet 公开。

  • 服务终结点集成:通过 服务终结点将虚拟网络扩展到服务,使用公共终结点访问服务。 服务终结点允许将服务资源保护到虚拟网络,同时通过 Azure 主干保持优化的路由。

  • 网络访问控制:使用 服务标记 允许或拒绝发到公共 IP 终结点的 Azure 资源的流量。 服务标记提供对网络访问的精细控制,而无需了解特定的 IP 地址。

将专用 Azure 服务部署到虚拟网络

在虚拟网络中部署专用 Azure 服务时,可以通过专用 IP 地址私下与服务资源通信。

将专用 Azure 服务部署到虚拟网络的屏幕截图。

将专用 Azure 服务部署到虚拟网络中可提供以下功能:

  • 虚拟网络中的资源可以通过专用 IP 地址私下相互通信。 例如,在虚拟网络中的虚拟机上运行的 HDInsight 和 SQL Server 之间直接传输数据。

  • 本地资源可以通过站点到站点 VPN(VPN 网关)或 ExpressRoute 使用专用 IP 地址访问虚拟网络中的资源。

  • 虚拟网络可以对等互连,使虚拟网络中的资源能够使用专用 IP 地址相互通信。

  • Azure 服务完全管理虚拟网络中的服务实例。 此管理包括监视资源的运行状况以及负载缩放。

  • 服务实例部署到虚拟网络中的子网中。 必须根据服务提供的指南,通过网络安全组打开子网的入站和出站网络访问。

  • 某些服务对其部署的子网施加限制。 这些限制限制限制策略、路由或合并同一子网中的 VM 和服务资源。 检查每个服务的特定限制,因为它们可能会随时间而变化。 此类服务的示例包括 Azure NetApp 文件、专用 HSM、Azure 容器实例、应用服务。

  • (可选)服务可能需要委托子网作为子网可以托管特定服务的显式标识符。 Azure 服务具有使用委派在委托子网中创建特定于服务的资源的显式权限。

  • 请参阅具有委托子网的虚拟网络上的 REST API 响应示例。 可以通过可用委派 API 获取使用委托子网模型的服务的综合列表。

有关可部署到虚拟网络的服务的列表,请参阅 将专用 Azure 服务部署到虚拟网络中。

专用终结点允许安全地将流量从虚拟网络传入 Azure 资源。 无需公共 IP 地址即可建立此专用链接。 专用终结点是虚拟网络中 Azure 服务的特殊网络接口。 为资源创建专用终结点时,它会在虚拟网络上的客户端和 Azure 资源之间提供安全连接。 虚拟网络的 IP 地址范围中的 IP 地址将分配给专用终结点。 专用终结点与 Azure 服务之间的连接是专用链接。

在关系图中,右侧显示 Azure SQL 数据库作为目标 PaaS 服务。 目标可以是 支持专用终结点的任何服务。 有多个客户的逻辑 SQL Server 实例,这些实例都可通过公共 IP 地址访问。

在这种情况下,逻辑 SQL Server 的一个实例通过专用终结点公开。 终结点使 SQL Server 可通过客户端虚拟网络中的专用 IP 地址访问。 由于 DNS 配置发生更改,客户端应用程序现在将其流量直接发送到该专用终结点。 目标服务看到源自虚拟网络的专用 IP 地址的流量。

绿色箭头表示专用链接。 目标资源与专用终结点一起仍 存在 公共 IP 地址。 客户端应用程序不再使用公共 IP。 防火墙现在可以禁止对该公共 IP 地址的任何访问,使其 只能通过 专用终结点访问。 从虚拟网络连接到没有专用终结点的 SQL Server 源自公共 IP 地址。 蓝色箭头表示此流。

专用终结点体系结构示意图的屏幕截图。

客户端应用程序通常使用 DNS 主机名来访问目标服务。 无需对应用程序进行更改。 必须将虚拟网络中的 DNS 解析 配置为将同一主机名解析为目标资源的专用 IP 地址,而不是原始公共 IP 地址。 客户端与目标服务之间的专用路径不依赖于公共 IP 地址。 目标服务可以关闭公共访问。

这种个别实例的泄露使你 能够防止数据被盗。 恶意参与者无法从数据库收集信息并将其上传到另一个公共数据库或存储帐户。 可以阻止访问 所有 PaaS 服务的公共 IP 地址。 仍可以通过其专用终结点访问 PaaS 实例。

有关专用链接和支持的 Azure 服务列表的详细信息,请参阅 什么是专用链接?

服务终结点

服务终结点通过 Azure 主干网络提供与 Azure 服务的安全直接连接。 终结点允许仅将 Azure 资源保护到虚拟网络。 服务终结点允许虚拟网络中的专用 IP 地址访问 Azure 服务,而无需出站公共 IP。

如果没有服务终结点,限制仅对虚拟网络的访问可能会很困难。 源 IP 地址可能会更改,也可以与其他客户共享。 例如,具有共享出站 IP 地址的 PaaS 服务。 使用服务终结点时,目标服务看到的源 IP 地址将成为虚拟网络中的专用 IP 地址。 此入口流量更改允许轻松标识源,并使用它来配置适当的防火墙规则。 例如,仅允许来自该虚拟网络中特定子网的流量。

使用服务终结点时,Azure 服务的 DNS 条目将保持 as-is,并继续解析为分配给 Azure 服务的公共 IP 地址。

在下图中,右侧是相同的目标 PaaS 服务。 左侧有一个客户虚拟网络,其中包含两个子网:具有服务终结点的 Microsoft.Sql子网 A,以及未定义服务终结点的子网 B。

当子网 B 中的资源尝试访问任何 SQL Server 时,它将使用公共 IP 地址进行出站通信。 蓝色箭头表示此流量。 SQL Server 防火墙必须使用该公共 IP 地址来允许或阻止网络流量。

当子网 A 中的资源尝试访问数据库服务器时,连接将被视为虚拟网络中的专用 IP 地址。 绿色箭头表示此流量。 SQL Server 防火墙现在可以专门允许或阻止子网 A。不需要了解源服务的公共 IP 地址。

服务终结点体系结构示意图的屏幕截图。

服务终结点适用于目标服务 的所有 实例。 例如, Azure 客户的所有 SQL Server 实例,而不仅仅是客户的实例。

有关详细信息,请参阅 虚拟网络服务终结点

服务标记

服务标记表示给定 Azure 服务中的一组 IP 地址前缀。 使用服务标记,可以在 网络安全组Azure 防火墙上定义网络访问控制。 可以允许或拒绝服务的流量。 若要允许或拒绝流量,请在规则的源或目标字段中指定服务标记。

使用服务标记允许或拒绝流量的关系图。

在访问具有公共终结点的 Azure 服务时,实现网络隔离并保护 Azure 资源免受 Internet 保护。 创建入站/出站网络安全组规则,以拒绝传入和传出 Internet 的流量,并允许传入/传出 AzureCloud 的流量。 有关更多服务标记,请参阅特定 Azure 服务的 可用服务标记

有关支持它们的服务标记和 Azure 服务的详细信息,请参阅 服务标记概述

比较专用终结点和服务终结点

注释

Azure 建议使用 Azure 专用链接。 专用链接提供更好的功能,用于从本地专用访问 PaaS、提供内置的数据外泄保护,并将服务映射到你自己的网络中专用 IP。 有关详细信息,请参阅 Azure 专用链接

值得指出的是,服务终结点和专用终结点都具有共同的特点,而不是只查看它们的差异。

这两项功能都用于更精细地控制目标服务上的防火墙。 例如,限制对 SQL Server 数据库或存储帐户的访问。 不过,这两个作都是不同的,如前面各节中更详细地讨论的那样。

这两种方法都克服了 源网络地址转换(SNAT)端口耗尽的问题。 在通过网络虚拟设备(NVA)或服务隧道传输流量时,可能会发现耗尽 SNAT 端口限制。 使用服务终结点或专用终结点时,流量将直接采用目标服务的优化路径。 这两种方法都可以使带宽密集型应用程序受益,因为延迟和成本都降低了。

在这两种情况下,仍可以确保传入目标服务的流量通过网络防火墙或 NVA 传递。 对于这两种方法,此过程有所不同。 使用服务终结点时,应在 防火墙 子网上配置服务终结点,而不是部署源服务的子网。 使用专用终结点时,请将专用终结点的 IP 地址的用户定义路由(UDR)放在 子网上。 不在专用终结点的子网中。

若要比较和了解差异,请参阅下表。

注意事项 服务终结点 专用终结点
应用配置的服务范围 整个服务(例如,所有客户的 SQL Server 或存储帐户) 单个实例(例如, 拥有 的特定 SQL Server 实例或存储帐户)
In-Built 数据外泄保护 - 能够通过恶意内部人员将数据从受保护的 PaaS 资源移动到其他未受保护的 PaaS 资源 是的
从本地对 PaaS 资源的专用访问 是的
服务访问所需的 NSG 配置 是(使用服务标记)
无需使用任何公共 IP 地址即可访问服务 是的
Azure 到 Azure 流量保留在 Azure 主干网络上 是的 是的
服务可以禁用其公共 IP 地址 是的
可以轻松限制来自 Azure 虚拟网络的流量 是(允许从特定子网访问和使用 NSG) 是的
可以轻松限制来自本地的流量(VPN/ExpressRoute) N/A** 是的
需要 DNS 更改 是(请参阅 DNS 配置
影响解决方案的成本 是(请参阅 专用链接定价
影响解决方案的复合 SLA 是(专用链接服务本身具有 99.99% SLA
设置和维护 易于设置且管理开销更少 需要额外工作
Limits 虚拟网络中服务终结点总数没有限制。 Azure 服务可能会对用于保护资源的子网数量实施限制。 (请参阅 虚拟网络常见问题解答 是(请参阅 专用链接限制

**无法从本地网络访问受虚拟网络保护的 Azure 服务资源。 如果想要允许来自本地的流量,请允许来自本地或 ExpressRoute 的公共(通常是 NAT)IP 地址。 可以通过 Azure 服务资源的 IP 防火墙配置添加这些 IP 地址。 有关详细信息,请参阅 虚拟网络常见问题解答

后续步骤