Azure Private Endpoint是Azure PaaS服務的一個新功能,允許我們在虛擬網絡中創建專用的終結點。這個專用終結點爲PaaS服務提供了一個專用內部IP,這樣一來,我們的虛擬網絡到PaaS資源的所有流量都通過Azure的主幹網絡進行傳遞而非internet。爲PaaS資源啓用專用鏈接可帶來以下好處:
- 可以使用私有IP訪問PaaS資源
- 到PaaS資源的流量通過Azure的主幹網絡而非internet
- 支持對等虛擬網絡和通過Express Route或***連接的本地資源的訪問
- 用戶訪問僅限於特定資源(數據庫/存儲賬戶等),而不是整個服務。
- 可以將私有端點創建到虛擬網絡的不同區域的資源,甚至不同的租戶
使用Azure Private Endpoint我們可以訪問Azure PaaS服務,例如:
Azure Storage
Azure SQL Database
Azure Cosmos DB
Azure Key Vault
Azure Private Endpoint的工作方式如下:
Azure私有鏈接將創建一個帶有私有IP地址的端點,因此可以確保流量在我們的虛擬網絡中流動,並且不需要NSG規則來允許您的虛擬網絡之外的出站流量。
Private Endpoint和Service Endpoint之間的區別:
相信很多朋友看到這裏,都會想到一個問題,Private Endpoint和Service Endpoint有什麼不同?
服務終結點提供了一種方法來鎖定從虛擬網絡到PaaS資源的訪問,但是我們仍然需要一個公共端點。使用服務端點,我們只能鎖定對服務的訪問而非特定資源的訪問。使用專用終結點,僅允許訪問特定資源。
由於專用鏈接使用專用IP創建端點,因此我們的流量僅在虛擬網絡內部流動,並且不需要NSG規則,從而允許出站流量超出虛擬網絡,這與服務端點不同。
說了這麼多,接下來我們一起看下如何創建Private Endopint
要創建Private Endpoint ,首先我們需要創建一個存儲賬戶:
設置資源組,存儲賬戶名稱和位置,點擊下一步:
在網絡位置,選擇Private Endpoint接下來系統會出現新建Private Endpoint的選項卡,在這裏我們設置名稱,名稱、網絡以及是否要集成DNS區域等:
創建完成後,如下圖所示:
確認無誤後我們可以點擊創建:
在剛剛的演示中我們是通過創建存儲賬戶資源的過程中創建的Private Endpoint。除此之外我們也可以通過在Portal中的私有鏈接中心爲其他PaaS服務創建私有鏈接:
接下來我們可以驗證一下剛剛的配置。
我們在位於同一網絡的VM內部運行nslookup,可以看到解析到的是一個私網地址:
我們複製存儲賬戶的鏈接字符串,通過存儲賬戶資源管理器進行鏈接,可以看到連接成功:
然後我們就可以看到存儲賬戶中的相關內容:
關於Private Endpoint相關的介紹呢,我們今天就先聊到這裏。其實藉助於Private Endpoint,我們可以輕鬆減少PaaS服務在Internet上的暴露,並確保網絡與Azure之間的通信安全。