《Windows Azure Platform 系列文章目录》
Azure Virtual Network (14) Service Endpoint服务终结点
Azure Virtual Network (15) Service Endpoint演示
Private Link(专用终结点连接) 是微软云Azure提供的比较新的功能。
Private Link和之前介绍的Service Endpoint的主要区别是:Private Link支持PaaS服务加入到虚拟网络中。
在Service Endpoint里,虚拟机的流量会离开Virtual Network,并访问到PaaS服务的公网端点。
通过Private Link,PaaS资源其实是加入到Virtual Network里,并在Virtual Network上获得一个专用的Private IP地址。虚拟机的流量不会离开Virtual Network,直接访问到PaaS资源的Private IP。
使用Private Link的另外一个场景是,可以实现更细粒度的资源访问。
假设一个场景:我们有1台Windows VM,只允许这台VM访问UAT环境的SQL PaaS服务,但是不能访问Production环境的SQL PaaS服务。
在之前介绍的Service Endpoint里,这个场景无法实现。因为Service Endpoint针对一类PaaS服务生效,比如Microsoft.SQL生效。但是无法针对PaaS服务单独的DNS地址或者IP生效。
但是在Private Link里,这个场景是可以实现的。比如我们设置UAT环境的SQL PaaS服务,加入到Virtual Network里,获得一个内网IP地址10.1.0.4。
设置Production环境的SQL PaaS服务,也加入到Virtual Network里,获得一个内网IP地址为10.1.0.5
然后我们可以设置Windows VM的NSG Outbound Rule,设置为只允许访问10.1.0.4(UAT环境),但是无法访问10.1.0.5 (Production环境)
与Service Endpoint不同,Azure Private Link支持以下场景:
- 允许通过VPN或ExpressRoute从本地IDC网络上的资源,访问云端的PaaS服务的Private IP
- 通过同一个Virtual Network访问。如从Azure VM访问Azure SQL PaaS。
- 通过VNet Peering的VNet进行访问。比如VNet A里的VM,访问Peering VNet B里的PaaS服务。
Azure Private Link GA (General Availability)支持下面的服务:
- Azure Storage
- Azure Data Lake Storage Gen 2
- Azure SQL
- Azure Synap
- Azure Cosmos数据库
- PostgreSQL的Azure数据库
- 适用于MySQL和MariaDB的Azure数据库
- Azure Key Vault
- Azure Kubernetes服务
Azure Private Link在预览版(Preview)中支持下面的服务:
- Azure Search
- Azure Container Registry
- Azure App Configuration
- Azure Backup
- Azure Event Hub
- Azure Service Bus
- Azure Relay
- Azure Event Grid
- Azure Web Apps
- Azure Machine Learning