《Windows Azure Platform 系列文章目錄》
Azure Virtual Network (14) Service Endpoint服務終結點
Azure Virtual Network (15) Service Endpoint演示
Private Link(專用終結點連接) 是微軟雲Azure提供的比較新的功能。
Private Link和之前介紹的Service Endpoint的主要區別是:Private Link支持PaaS服務加入到虛擬網絡中。
在Service Endpoint裏,虛擬機的流量會離開Virtual Network,並訪問到PaaS服務的公網端點。
通過Private Link,PaaS資源其實是加入到Virtual Network裏,並在Virtual Network上獲得一個專用的Private IP地址。虛擬機的流量不會離開Virtual Network,直接訪問到PaaS資源的Private IP。
使用Private Link的另外一個場景是,可以實現更細粒度的資源訪問。
假設一個場景:我們有1臺Windows VM,只允許這臺VM訪問UAT環境的SQL PaaS服務,但是不能訪問Production環境的SQL PaaS服務。
在之前介紹的Service Endpoint裏,這個場景無法實現。因爲Service Endpoint針對一類PaaS服務生效,比如Microsoft.SQL生效。但是無法針對PaaS服務單獨的DNS地址或者IP生效。
但是在Private Link裏,這個場景是可以實現的。比如我們設置UAT環境的SQL PaaS服務,加入到Virtual Network裏,獲得一個內網IP地址10.1.0.4。
設置Production環境的SQL PaaS服務,也加入到Virtual Network裏,獲得一個內網IP地址爲10.1.0.5
然後我們可以設置Windows VM的NSG Outbound Rule,設置爲只允許訪問10.1.0.4(UAT環境),但是無法訪問10.1.0.5 (Production環境)
與Service Endpoint不同,Azure Private Link支持以下場景:
- 允許通過VPN或ExpressRoute從本地IDC網絡上的資源,訪問雲端的PaaS服務的Private IP
- 通過同一個Virtual Network訪問。如從Azure VM訪問Azure SQL PaaS。
- 通過VNet Peering的VNet進行訪問。比如VNet A裏的VM,訪問Peering VNet B裏的PaaS服務。
Azure Private Link GA (General Availability)支持下面的服務:
- Azure Storage
- Azure Data Lake Storage Gen 2
- Azure SQL
- Azure Synap
- Azure Cosmos數據庫
- PostgreSQL的Azure數據庫
- 適用於MySQL和MariaDB的Azure數據庫
- Azure Key Vault
- Azure Kubernetes服務
Azure Private Link在預覽版(Preview)中支持下面的服務:
- Azure Search
- Azure Container Registry
- Azure App Configuration
- Azure Backup
- Azure Event Hub
- Azure Service Bus
- Azure Relay
- Azure Event Grid
- Azure Web Apps
- Azure Machine Learning