zoukankan      html  css  js  c++  java

  • Azure Virtual Network (16) Private Link

      《Windows Azure Platform 系列文章目录

      Azure Virtual Network (14) Service Endpoint服务终结点

      Azure Virtual Network (15) Service Endpoint演示

      Azure Virtual Network (16) Private Link

      Azure Virtual Network (17) Private Link演示

      Private Link(专用终结点连接) 是微软云Azure提供的比较新的功能。

      Private Link和之前介绍的Service Endpoint的主要区别是:Private Link支持PaaS服务加入到虚拟网络中。

      

      在Service Endpoint里,虚拟机的流量会离开Virtual Network,并访问到PaaS服务的公网端点。

      假设一个场景:如果我们企业内部的IT要求,所有Azure服务之间的流量,包括虚拟机到虚拟机,虚拟机到PaaS的服务,都需要经过IPS防火墙,我们应该如何设置?

      请记住:Service Endpoint的流量,以最佳方式路由到 Azure 资源。即使您的 subnet上有 UDR 将 Internet 流量路由回本地或通过防火墙设备,使用Servcie Endpoint也意味着流量会直接发送到 Azure 资源而不经过UDR设置后的本地或者防火墙设备

      所以采用Service Endpoint显然不符合某些企业的内部IT安全标准。

      通过Private Link,PaaS资源其实是加入到Virtual Network里,并在Virtual Network上获得一个专用的Private IP地址。虚拟机的流量不会离开Virtual Network,直接访问到PaaS资源的Private IP。

      通过Private Link,我们可以在subnet上设置 UDR,将 Internet 流量路由回本地或通过防火墙设备。显然符合某些企业的内部IT安全标准。

      

      使用Private Link的另外一个场景是,可以实现更细粒度的资源访问

      假设一个场景:我们有1台Windows VM,只允许这台VM访问UAT环境的SQL PaaS服务,但是不能访问Production环境的SQL PaaS服务。

      在之前介绍的Service Endpoint里,这个场景无法实现。因为Service Endpoint针对一类PaaS服务生效,比如Microsoft.SQL生效。但是无法针对PaaS服务单独的DNS地址或者IP生效。

      但是在Private Link里,这个场景是可以实现的。比如我们设置UAT环境的SQL PaaS服务,加入到Virtual Network里,获得一个内网IP地址10.1.0.4

      设置Production环境的SQL PaaS服务,也加入到Virtual Network里,获得一个内网IP地址为10.1.0.5

      然后我们可以设置Windows VM的NSG Outbound Rule,设置为只允许访问10.1.0.4(UAT环境),但是无法访问10.1.0.5 (Production环境)

      Private Link不需要单独的Subnet

      与Service Endpoint不同,Azure Private Link支持以下场景:

    • 允许通过VPN或ExpressRoute从本地IDC网络上的资源,访问云端的PaaS服务的Private IP
    • 通过同一个Virtual Network访问。如从Azure VM访问Azure SQL PaaS。
    • 通过VNet Peering的VNet进行访问。比如VNet A里的VM,访问Peering VNet B里的PaaS服务。

      Azure Private Link GA (General Availability)支持下面的服务:

    • Azure Storage
    • Azure Data Lake Storage Gen 2
    • Azure SQL
    • Azure Synap
    • Azure Cosmos数据库
    • PostgreSQL的Azure数据库
    • 适用于MySQL和MariaDB的Azure数据库
    • Azure Key Vault
    • Azure Kubernetes服务

      

      Azure Private Link在预览版(Preview)中支持下面的服务:

    • Azure Search
    • Azure Container Registry
    • Azure App Configuration
    • Azure Backup
    • Azure Event Hub
    • Azure Service Bus
    • Azure Relay
    • Azure Event Grid
    • Azure Web Apps
    • Azure Machine Learning

      

      
  • 相关阅读:
    webpack学习遇到大坑(纯属自己记录)
    git忽略某些文件提交
    数据结构(一)创建并遍历线性列表
    数据结构二 顺序表的创建
    JqGrid动态改变列名
    构造DataTable
    计算机存储数据的单位
    .NET Core在WindowsServer服务器部署(使用Web Deploy发布)
    mysql ERROR 1045 (28000): 错误解决办法
    ASP.NET取得Request URL的各个部分
  • 原文地址:https://www.cnblogs.com/threestone/p/13884133.html
Copyright © 2011-2022 走看看