服务终结点(Service Endpoint)是微软云虚拟网络中的一个功能,这个功能可以让我们的服务在访问和传输过程中变得更加安全可靠。并且配置非常的简单。
- 提高 Azure 服务资源的安全性:在虚拟网络中启用服务终结点后,可以添加虚拟网络规则,以在虚拟网络中保护 Azure 服务资源。 添加规则可以完全消除通过公共 Internet 对资源进行访问的可能性,并仅允许来自自己虚拟网络的流量,从而提高了安全性。
- 来自虚拟网络的 Azure 服务流量的最佳路由:服务终结点为 Azure 流量提供最佳路由。并且会借助微软的骨干网传输数量流量;
- 设置简单,管理开销更少:只需单击一下子网,即可配置服务终结点。 不会产生与终结点维护相关的额外开销。
目前支持的服务包括
- Azure 存储 (Microsoft.Storage): 在所有 Azure 区域已推出正式版。
- Azure SQL 数据库 (Microsoft.Sql): 在所有 Azure 区域已推出正式版。
- Azure SQL 数据仓库 (Microsoft.Sql): 在所有 Azure 区域已推出正式版。
- Azure Database for PostgreSQL 服务器 (Microsoft.Sql): 在可以使用数据库服务的 Azure 区域中通常可用。
- Azure Database for MySQL 服务器 (Microsoft.Sql): 在可以使用数据库服务的 Azure 区域中通常可用。
- Azure Database for MariaDB (Microsoft.Sql): 在可以使用数据库服务的 Azure 区域中通常可用。
- Azure Cosmos DB (Microsoft.AzureCosmosDB): 在所有 Azure 区域已推出正式版。
- Azure Key Vault (Microsoft.KeyVault): 在所有 Azure 区域已推出正式版。
- Azure 服务总线 (Microsoft.ServiceBus): 在所有 Azure 区域已推出正式版。
- 在虚拟网络中,选择需要的服务和子网,既可以开启Service Endpoint
- 分别创建虚拟机,在两个不同的子网中,Public 和 private (开启服务终结点);
- 在STORAGE Account 设置中,选择开启服务终结点的子网。
- 在不同子网进行测试,可以得出在开启服务终结点的子网可以访问资源,并可以挂在FILE STORAGE
- 通过日志可以看出,开启服务终结点的子网访问是通过内网IP进行访问的,整个过程可以会借助Azure骨干网承载流量的(如日志第二行);开启以后可以看到,没有在服务终结点子网的虚拟机,是无法访问存储账户BLOB资源的。
