Azure Lei Zhang的博客

weibo: LeiZhang的微博/QQ: 185165016/QQ群:319036205/邮箱:leizhang1984@outlook.com/TeL:139-161-22926

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::

  《Windows Azure Platform 系列文章目录

 

  Azure Virtual Network (14) Service Endpoint服务终结点

  Azure Virtual Network (15) Service Endpoint演示

  Azure Virtual Network (16) Private Link

  Azure Virtual Network (17) Private Link演示

 

  Private Link(专用终结点连接) 是微软云Azure提供的比较新的功能。

  Private Link和之前介绍的Service Endpoint的主要区别是:Private Link支持PaaS服务加入到虚拟网络中。

  

  在Service Endpoint里,虚拟机的流量会离开Virtual Network,并访问到PaaS服务的公网端点。

  假设一个场景:如果我们企业内部的IT要求,所有Azure服务之间的流量,包括虚拟机到虚拟机,虚拟机到PaaS的服务,都需要经过IPS防火墙,我们应该如何设置?

  请记住:Service Endpoint的流量,以最佳方式路由到 Azure 资源。即使您的 subnet上有 UDR 将 Internet 流量路由回本地或通过防火墙设备,使用Servcie Endpoint也意味着流量会直接发送到 Azure 资源而不经过UDR设置后的本地或者防火墙设备

  所以采用Service Endpoint显然不符合某些企业的内部IT安全标准。

 

  通过Private Link,PaaS资源其实是加入到Virtual Network里,并在Virtual Network上获得一个专用的Private IP地址。虚拟机的流量不会离开Virtual Network,直接访问到PaaS资源的Private IP。

  通过Private Link,我们可以在subnet上设置 UDR,将 Internet 流量路由回本地或通过防火墙设备。显然符合某些企业的内部IT安全标准。

  

 

  使用Private Link的另外一个场景是,可以实现更细粒度的资源访问

  假设一个场景:我们有1台Windows VM,只允许这台VM访问UAT环境的SQL PaaS服务,但是不能访问Production环境的SQL PaaS服务。

  在之前介绍的Service Endpoint里,这个场景无法实现。因为Service Endpoint针对一类PaaS服务生效,比如Microsoft.SQL生效。但是无法针对PaaS服务单独的DNS地址或者IP生效。

  但是在Private Link里,这个场景是可以实现的。比如我们设置UAT环境的SQL PaaS服务,加入到Virtual Network里,获得一个内网IP地址10.1.0.4

  设置Production环境的SQL PaaS服务,也加入到Virtual Network里,获得一个内网IP地址为10.1.0.5

  然后我们可以设置Windows VM的NSG Outbound Rule,设置为只允许访问10.1.0.4(UAT环境),但是无法访问10.1.0.5 (Production环境)

 

  Private Link不需要单独的Subnet

 

  与Service Endpoint不同,Azure Private Link支持以下场景:

  • 允许通过VPN或ExpressRoute从本地IDC网络上的资源,访问云端的PaaS服务的Private IP
  • 通过同一个Virtual Network访问。如从Azure VM访问Azure SQL PaaS。
  • 通过VNet Peering的VNet进行访问。比如VNet A里的VM,访问Peering VNet B里的PaaS服务。

 

  Azure Private Link GA (General Availability)支持下面的服务:

  • Azure Storage
  • Azure Data Lake Storage Gen 2
  • Azure SQL
  • Azure Synap
  • Azure Cosmos数据库
  • PostgreSQL的Azure数据库
  • 适用于MySQL和MariaDB的Azure数据库
  • Azure Key Vault
  • Azure Kubernetes服务

  

  Azure Private Link在预览版(Preview)中支持下面的服务:

  • Azure Search
  • Azure Container Registry
  • Azure App Configuration
  • Azure Backup
  • Azure Event Hub
  • Azure Service Bus
  • Azure Relay
  • Azure Event Grid
  • Azure Web Apps
  • Azure Machine Learning

  

 

  以下是Service Endpoint和Private Endpoint (Private Link)的区别:

  Service Endpoint Private Endpoint (Private Link)
生效范围 整个服务,比如针对所有Storage Account都生效 单个实例,如某个Storage Account
从本地网络对云上PaaS服务进行私有IP访问 不支持,需要开启Service Endpoint的公网IP防火墙 支持
PaaS服务是否加入到VNet
UDR是否生效
VM访问PaaS 最优路径访问,即UDR不生效 通过UDR访问
对DNS进行额外配置
解析PaaS服务的DNS 公网IP 如果DNS Server配置正确,则显示PaaS服务的内网IP
额外的成本 是,Private Link有额外的费率

  

  

posted on 2020-10-27 13:28  Lei Zhang的博客  阅读(1004)  评论(0编辑  收藏  举报