将 Azure 服务与虚拟网络集成，实现网络隔离

使用 Azure 虚拟网络集成，可以安全地隔离和控制对虚拟网络基础结构中的 Azure 服务的访问。 通过将服务与虚拟网络集成，可以消除对公共 Internet 的暴露，限制对已授权网络（包括对等虚拟网络和本地连接）的访问，并增强整体安全态势。 这种全面的网络隔离方法有助于保护关键资源，并确保符合组织安全要求。

虚拟网络集成通过以下一个或多个集成方法为 Azure 服务提供增强的安全性和网络隔离：

• 专用服务部署：将 服务的专用实例部署到虚拟网络 中，以便在虚拟网络和本地网络中启用专用访问。 此部署方法提供对网络流量和路由的完全控制。

• 专用连接：使用 专用终结点 将你专用且安全地连接到由 Azure 专用链接提供支持的服务。 专用终结点使用虚拟网络中的专用 IP 地址，有效地将服务引入虚拟网络并消除 Internet 公开。

• 服务终结点集成：通过 服务终结点将虚拟网络扩展到服务，使用公共终结点访问服务。 服务终结点允许将服务资源保护到虚拟网络，同时通过 Azure 主干保持优化的路由。

• 网络访问控制：使用 服务标记 允许或拒绝发到公共 IP 终结点的 Azure 资源的流量。 服务标记提供对网络访问的精细控制，而无需了解特定的 IP 地址。

将专用 Azure 服务部署到虚拟网络

在虚拟网络中部署专用 Azure 服务时，可以通过专用 IP 地址私下与服务资源通信。

将专用 Azure 服务部署到虚拟网络中可提供以下功能：

• 虚拟网络中的资源可以通过专用 IP 地址私下相互通信。 例如，在虚拟网络中的虚拟机上运行的 HDInsight 和 SQL Server 之间直接传输数据。

• 本地资源可以通过站点到站点 VPN（VPN 网关）或 ExpressRoute 使用专用 IP 地址访问虚拟网络中的资源。

• 虚拟网络可以对等互连，使虚拟网络中的资源能够使用专用 IP 地址相互通信。

• Azure 服务完全管理虚拟网络中的服务实例。 此管理包括监视资源的运行状况以及负载缩放。

• 服务实例部署到虚拟网络中的子网中。 必须根据服务提供的指南，通过网络安全组打开子网的入站和出站网络访问。

• 某些服务对其部署的子网施加限制。 这些限制限制限制策略、路由或合并同一子网中的 VM 和服务资源。 检查每个服务的特定限制，因为它们可能会随时间而变化。 此类服务的示例包括 Azure NetApp 文件、专用 HSM、Azure 容器实例、应用服务。

• （可选）服务可能需要委托子网作为子网可以托管特定服务的显式标识符。 Azure 服务具有使用委派在委托子网中创建特定于服务的资源的显式权限。

• 请参阅具有委托子网的虚拟网络上的 REST API 响应示例。 可以通过可用委派 API 获取使用委托子网模型的服务的综合列表。

有关可部署到虚拟网络的服务的列表，请参阅 将专用 Azure 服务部署到虚拟网络中。

专用链接和专用终结点

专用终结点允许安全地将流量从虚拟网络传入 Azure 资源。 无需公共 IP 地址即可建立此专用链接。 专用终结点是虚拟网络中 Azure 服务的特殊网络接口。 为资源创建专用终结点时，它会在虚拟网络上的客户端和 Azure 资源之间提供安全连接。 虚拟网络的 IP 地址范围中的 IP 地址将分配给专用终结点。 专用终结点与 Azure 服务之间的连接是专用链接。

在关系图中，右侧显示 Azure SQL 数据库作为目标 PaaS 服务。 目标可以是 支持专用终结点的任何服务。 有多个客户的逻辑 SQL Server 实例，这些实例都可通过公共 IP 地址访问。

在这种情况下，逻辑 SQL Server 的一个实例通过专用终结点公开。 终结点使 SQL Server 可通过客户端虚拟网络中的专用 IP 地址访问。 由于 DNS 配置发生更改，客户端应用程序现在将其流量直接发送到该专用终结点。 目标服务看到源自虚拟网络的专用 IP 地址的流量。

绿色箭头表示专用链接。 目标资源与专用终结点一起仍 存在 公共 IP 地址。 客户端应用程序不再使用公共 IP。 防火墙现在可以禁止对该公共 IP 地址的任何访问，使其 只能通过 专用终结点访问。 从虚拟网络连接到没有专用终结点的 SQL Server 源自公共 IP 地址。 蓝色箭头表示此流。

客户端应用程序通常使用 DNS 主机名来访问目标服务。 无需对应用程序进行更改。 必须将虚拟网络中的 DNS 解析 配置为将同一主机名解析为目标资源的专用 IP 地址，而不是原始公共 IP 地址。 客户端与目标服务之间的专用路径不依赖于公共 IP 地址。 目标服务可以关闭公共访问。

这种个别实例的泄露使你 能够防止数据被盗。 恶意参与者无法从数据库收集信息并将其上传到另一个公共数据库或存储帐户。 可以阻止访问 所有 PaaS 服务的公共 IP 地址。 仍可以通过其专用终结点访问 PaaS 实例。

有关专用链接和支持的 Azure 服务列表的详细信息，请参阅 什么是专用链接？。

服务终结点

服务终结点通过 Azure 主干网络提供与 Azure 服务的安全直接连接。 终结点允许仅将 Azure 资源保护到虚拟网络。 服务终结点允许虚拟网络中的专用 IP 地址访问 Azure 服务，而无需出站公共 IP。

如果没有服务终结点，限制仅对虚拟网络的访问可能会很困难。 源 IP 地址可能会更改，也可以与其他客户共享。 例如，具有共享出站 IP 地址的 PaaS 服务。 使用服务终结点时，目标服务看到的源 IP 地址将成为虚拟网络中的专用 IP 地址。 此入口流量更改允许轻松标识源，并使用它来配置适当的防火墙规则。 例如，仅允许来自该虚拟网络中特定子网的流量。

使用服务终结点时，Azure 服务的 DNS 条目将保持 as-is，并继续解析为分配给 Azure 服务的公共 IP 地址。

在下图中，右侧是相同的目标 PaaS 服务。 左侧有一个客户虚拟网络，其中包含两个子网：具有服务终结点的 Microsoft.Sql子网 A，以及未定义服务终结点的子网 B。

当子网 B 中的资源尝试访问任何 SQL Server 时，它将使用公共 IP 地址进行出站通信。 蓝色箭头表示此流量。 SQL Server 防火墙必须使用该公共 IP 地址来允许或阻止网络流量。

当子网 A 中的资源尝试访问数据库服务器时，连接将被视为虚拟网络中的专用 IP 地址。 绿色箭头表示此流量。 SQL Server 防火墙现在可以专门允许或阻止子网 A。不需要了解源服务的公共 IP 地址。

服务终结点适用于目标服务 的所有 实例。 例如， Azure 客户的所有 SQL Server 实例，而不仅仅是客户的实例。

有关详细信息，请参阅 虚拟网络服务终结点

服务标记

服务标记表示给定 Azure 服务中的一组 IP 地址前缀。 使用服务标记，可以在 网络安全组 或 Azure 防火墙上定义网络访问控制。 可以允许或拒绝服务的流量。 若要允许或拒绝流量，请在规则的源或目标字段中指定服务标记。

在访问具有公共终结点的 Azure 服务时，实现网络隔离并保护 Azure 资源免受 Internet 保护。 创建入站/出站网络安全组规则，以拒绝传入和传出 Internet 的流量，并允许传入/传出 AzureCloud 的流量。 有关更多服务标记，请参阅特定 Azure 服务的 可用服务标记 。

有关支持它们的服务标记和 Azure 服务的详细信息，请参阅 服务标记概述

比较专用终结点和服务终结点

值得指出的是，服务终结点和专用终结点都具有共同的特点，而不是只查看它们的差异。

这两项功能都用于更精细地控制目标服务上的防火墙。 例如，限制对 SQL Server 数据库或存储帐户的访问。 不过，这两个作都是不同的，如前面各节中更详细地讨论的那样。

这两种方法都克服了 源网络地址转换（SNAT）端口耗尽的问题。 在通过网络虚拟设备（NVA）或服务隧道传输流量时，可能会发现耗尽 SNAT 端口限制。 使用服务终结点或专用终结点时，流量将直接采用目标服务的优化路径。 这两种方法都可以使带宽密集型应用程序受益，因为延迟和成本都降低了。

在这两种情况下，仍可以确保传入目标服务的流量通过网络防火墙或 NVA 传递。 对于这两种方法，此过程有所不同。 使用服务终结点时，应在 防火墙 子网上配置服务终结点，而不是部署源服务的子网。 使用专用终结点时，请将专用终结点的 IP 地址的用户定义路由（UDR）放在 源 子网上。 不在专用终结点的子网中。

若要比较和了解差异，请参阅下表。

**无法从本地网络访问受虚拟网络保护的 Azure 服务资源。 如果想要允许来自本地的流量，请允许来自本地或 ExpressRoute 的公共（通常是 NAT）IP 地址。 可以通过 Azure 服务资源的 IP 防火墙配置添加这些 IP 地址。 有关详细信息，请参阅 虚拟网络常见问题解答。

后续步骤

• 了解如何 将应用与 Azure 网络集成。

• 了解如何 使用服务标记限制对资源的访问。

• 了解如何 通过 Azure 专用链接私下连接到 Azure Cosmos DB 帐户。