今天來討論下Azure虛擬網(wǎng)絡(luò)中的endpoint功能，虛擬網(wǎng)絡(luò)是什么相信已經(jīng)有很多博客有過一些介紹了，對(duì)于云比較了解的同學(xué)應(yīng)該不需要再介紹了，各家云廠商對(duì)于虛擬網(wǎng)絡(luò)的叫法雖然不一樣，但是本質(zhì)上都是一個(gè)東西，AWS和Ali叫VPC，Azure則叫Virtual Network

呼瑪ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景，ssl證書未來市場(chǎng)廣闊！成為成都創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：028-86922220（備注：SSL證書合作）期待與您的合作！

Azure 虛擬網(wǎng)絡(luò)允許許多類型的 Azure 資源（例如 Azure 虛擬機(jī) (VM)）以安全方式彼此通信、與 Internet 通信，以及與本地網(wǎng)絡(luò)通信。一個(gè)虛擬網(wǎng)絡(luò)局限于一個(gè)區(qū)域；但是，可以使用虛擬網(wǎng)絡(luò)對(duì)等互連將不同區(qū)域的多個(gè)虛擬網(wǎng)絡(luò)連接起來。

Azure 資源可以采用下述某種方式安全地相互通信：

• 通過虛擬網(wǎng)絡(luò)：可以將 VM 和多個(gè)其他類型的 Azure 資源部署到虛擬網(wǎng)絡(luò)，如 Azure 應(yīng)用服務(wù)環(huán)境、Azure Kubernetes 服務(wù) (AKS) 和 Azure 虛擬機(jī)規(guī)模集。

• 通過虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)：通過直接連接將虛擬網(wǎng)絡(luò)專用地址空間和虛擬網(wǎng)絡(luò)的標(biāo)識(shí)擴(kuò)展到 Azure 服務(wù)資源，例如 Azure 存儲(chǔ)帳戶和 Azure SQL 數(shù)據(jù)庫(kù)。 使用服務(wù)終結(jié)點(diǎn)可以保護(hù)關(guān)鍵的 Azure 服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對(duì)其進(jìn)行訪問

可組合使用以下任何選項(xiàng)將本地計(jì)算機(jī)和網(wǎng)絡(luò)連接到虛擬網(wǎng)絡(luò)：

• 點(diǎn)到站點(diǎn)虛擬專用網(wǎng)絡(luò)： 在網(wǎng)絡(luò)中的虛擬網(wǎng)絡(luò)和單臺(tái)計(jì)算機(jī)之間建立連接。要與虛擬網(wǎng)絡(luò)建立連接的每臺(tái)計(jì)算機(jī)必須配置其連接。 這種連接類型適用于剛開始使用 Azure 的人員或開發(fā)人員，因?yàn)樵撨B接類型僅需對(duì)現(xiàn)有網(wǎng)絡(luò)作出極少更改或不做任何更改。計(jì)算機(jī)與虛擬網(wǎng)絡(luò)之間的通信經(jīng) Internet 通過加密的通道來發(fā)送。

• 站點(diǎn)到站點(diǎn)： 在本地設(shè)備和虛擬網(wǎng)絡(luò)中部署的 Azure網(wǎng)關(guān)之間建立連接。 此連接類型可使授權(quán)的任何本地資源訪問虛擬網(wǎng)絡(luò)。本地設(shè)備和 Azure 網(wǎng)關(guān)之間的通信經(jīng) Internet 通過加密的通道來發(fā)送。

• Azure Express Route： 通過 Express Route 合作伙伴在網(wǎng)絡(luò)和 Azure 之間建立連接。 此連接是專用連接。流量不經(jīng)過 Internet。

以上是關(guān)于Azure虛擬網(wǎng)絡(luò)的一些基本介紹，注意到在Azure資源之間通信的方法中，有一種是通過一個(gè)叫做endpoint的東西，那么什么是這個(gè)endpoint，今天來介紹一下

首先來看下endpoint的一些介紹

虛擬網(wǎng)絡(luò) (VNet) 服務(wù)終結(jié)點(diǎn)可通過直接連接將 VNet 的虛擬網(wǎng)絡(luò)專用地址空間和標(biāo)識(shí)擴(kuò)展到 Azure 服務(wù)。 使用終結(jié)點(diǎn)可以保護(hù)關(guān)鍵的 Azure 服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對(duì)其進(jìn)行訪問。 從 VNet 發(fā)往 Azure 服務(wù)的流量始終保留在 Microsoft Azure 主干網(wǎng)絡(luò)中

目前支持endpoint的服務(wù)主要有以下這些

Azure 存儲(chǔ)：在所有 Azure 區(qū)域正式發(fā)布。

Azure SQL 數(shù)據(jù)庫(kù)：在所有 Azure 區(qū)域正式發(fā)布。

Azure SQL 數(shù)據(jù)倉(cāng)庫(kù)：在所有 Azure 區(qū)域正式發(fā)布。

Azure Database for PostgreSQL 服務(wù)器：在可以使用數(shù)據(jù)庫(kù)服務(wù)的 Azure 區(qū)域中通?？捎?。

Azure Database for MySQL 服務(wù)器：在可以使用數(shù)據(jù)庫(kù)服務(wù)的 Azure 區(qū)域中通?？捎?。

Azure Cosmos DB：在所有 Azure 公有云區(qū)域正式發(fā)布。

Azure Key Vault：在所有 Azure 公有云區(qū)域正式發(fā)布。

Azure 服務(wù)總線：在所有 Azure 公有云區(qū)域正式發(fā)布。

Azure 事件中心：在所有 Azure 公有云區(qū)域正式發(fā)布。

那么Endpoint有什么優(yōu)勢(shì)呢？

主要有以下幾點(diǎn)：

• 提高了 Azure 服務(wù)資源的安全性：VNet 專用地址空間可能重疊，因此不能用于唯一標(biāo)識(shí)源自 VNet 的流量。通過將 VNet 標(biāo)識(shí)擴(kuò)展到服務(wù)，服務(wù)終結(jié)點(diǎn)可以將對(duì) Azure 服務(wù)資源的訪問限定到你的虛擬網(wǎng)絡(luò)。在虛擬網(wǎng)絡(luò)中啟用服務(wù)終結(jié)點(diǎn)后，可以通過將虛擬網(wǎng)絡(luò)規(guī)則添加到資源，在虛擬網(wǎng)絡(luò)中保護(hù) Azure 服務(wù)資源。 這完全消除了通過公共 Internet 對(duì)資源進(jìn)行訪問的可能性，并僅允許來自自己虛擬網(wǎng)絡(luò)的流量，從而提高了安全性。

 因?yàn)樘摂M網(wǎng)絡(luò)的IP地址很多時(shí)候并不一定是唯一的，所以通過IP地址的形式控制網(wǎng)絡(luò)的進(jìn)出站流量，很多時(shí)候會(huì)造成一些誤解，并且因?yàn)镻aaS服務(wù)的IP地址經(jīng)常會(huì)發(fā)生變化，也沒有辦法通過IP地址形式控制出入站，所以endpoint是一種很方便的方法，可以通過endpoint直接開啟/關(guān)閉對(duì)于某些PaaS服務(wù)的出入站流量。這是一種很有效的補(bǔ)充

• 來自虛擬網(wǎng)絡(luò)的 Azure 服務(wù)流量的最佳路由：當(dāng)前，虛擬網(wǎng)絡(luò)中強(qiáng)制 Internet 流量通過本地和/或虛擬設(shè)備（稱為強(qiáng)制隧道）的任何路由也會(huì)強(qiáng)制 Azure 服務(wù)流量采用與 Internet 流量相同的路由。 服務(wù)終結(jié)點(diǎn)為 Azure 流量提供最佳路由。
  終結(jié)點(diǎn)始終將直接來自虛擬網(wǎng)絡(luò)的服務(wù)流量轉(zhuǎn)發(fā)到 Microsoft Azure 主干網(wǎng)絡(luò)上的服務(wù)。將流量保留在 Azure 主干網(wǎng)絡(luò)上可以通過強(qiáng)制隧道持續(xù)審核和監(jiān)視來自虛擬網(wǎng)絡(luò)的出站 Internet 流量，而不會(huì)影響服務(wù)流量。

 默認(rèn)情況下，對(duì)于從Azure VM訪問某些PaaS服務(wù)，比如Azure SQL，路由其實(shí)是先出站到Internet，然后再訪問到PaaS服務(wù)的公網(wǎng)IP，這個(gè)流量看上去像是在公網(wǎng)走了一圈，其實(shí)這些訪問還是發(fā)生在Azure數(shù)據(jù)中心內(nèi)部的，但是確實(shí)是先出站到Internet，才會(huì)訪問PaaS服務(wù)的，那么開啟endpoint之后會(huì)如何呢？開啟endpiint之后，會(huì)單獨(dú)添加一條到PaaS服務(wù)的路由，訪問PaaS服務(wù)時(shí)會(huì)直接跳到PaaS服務(wù)，而不會(huì)先出站到Internet

實(shí)際舉例來說，比如從Azure VM訪問Azure SQL

不開Endpoint:在Azure SQL中看到的client IP會(huì)是一個(gè)公網(wǎng)IP

開啟Endpoint: 在Azure SQL中看到的client IP會(huì)是一個(gè)私網(wǎng) IP

• 設(shè)置簡(jiǎn)單，管理開銷更少：不再需要使用虛擬網(wǎng)絡(luò)中的保留公共 IP 地址通過 IP 防火墻保護(hù) Azure 資源。 無(wú)需使用 NAT 或網(wǎng)關(guān)設(shè)備即可設(shè)置服務(wù)終結(jié)點(diǎn)。 只需單擊一下子網(wǎng)，即可配置服務(wù)終結(jié)點(diǎn)。 不會(huì)產(chǎn)生與終結(jié)點(diǎn)維護(hù)相關(guān)的額外開銷。

 和第一點(diǎn)比較類似，開啟endpoint對(duì)于控制安全來講，會(huì)方便很多

當(dāng)然了，endpoint本身也存在一些限制，比如：

• 該功能僅適用于使用 Azure 資源管理器部署模型部署的虛擬網(wǎng)絡(luò)。

• 終結(jié)點(diǎn)在 Azure 虛擬網(wǎng)絡(luò)中配置的子網(wǎng)上啟用。 終結(jié)點(diǎn)不可用于從本地發(fā)往 Azure 服務(wù)的流量。

• 對(duì)于 Azure SQL，服務(wù)終結(jié)點(diǎn)僅適用于虛擬網(wǎng)絡(luò)區(qū)域中的 Azure 服務(wù)流量。對(duì)于 Azure 存儲(chǔ)，為了支持 RA-GRS 和 GRS 流量，終結(jié)點(diǎn)還進(jìn)行擴(kuò)展以包括虛擬網(wǎng)絡(luò)所部署到的配對(duì)區(qū)域。

• 就 ADLS Gen 1 來說，VNet 集成功能僅適用于同一區(qū)域中的虛擬網(wǎng)絡(luò)。

光這么說可能對(duì)于endpoint的理解，還是比較模糊

下邊來舉個(gè)實(shí)際的例子，比如現(xiàn)在有這么一個(gè)需求，希望禁止所有VM出站到internet的流量，僅保留到Azure SQL或者Azure database for MySQL的這種流量

這種規(guī)則當(dāng)然是要靠NSG實(shí)現(xiàn)的，那么規(guī)則如何設(shè)置呢？

首先來看下基本環(huán)境的搭建，實(shí)驗(yàn)基本包含以下Azure組件

l Azure VM * 1: EndpointVM

l Azure SQL * 1: EndpointSQL

首先，第一步創(chuàng)建VM

第二步：創(chuàng)建Azure SQL

這里需要注意，Azure SQL中有項(xiàng)設(shè)置叫allow access to Azure services

這個(gè)是什么意思呢？我們可以通過一個(gè)實(shí)驗(yàn)了解

以下是一個(gè)在我本地的服務(wù)器，通過連接工具訪問Azure SQL時(shí)可以看到會(huì)被提示IP不在白名單中

但在Azure VM通過SSMS進(jìn)行連接測(cè)試，發(fā)現(xiàn)可以訪問

關(guān)閉允許訪問Azure服務(wù)選項(xiàng)后再次測(cè)試

再次在Azure VM中訪問

此時(shí)會(huì)發(fā)現(xiàn)已經(jīng)沒辦法訪問了

因此實(shí)際上允許訪問Azure服務(wù)這個(gè)選項(xiàng)開啟后，Azure VM不需要添加白名單即可訪問Azure SQL服務(wù)

再次測(cè)試開啟允許訪問Azure服務(wù)，同時(shí)在安全組直接限制所有出站

開啟允許訪問Azure服務(wù)選項(xiàng)，但是限制所有的出站，再次測(cè)試訪問情況，訪問失敗提示超時(shí)

也就是說：開啟允許訪問Azure服務(wù)選項(xiàng)時(shí)，只是不需要單獨(dú)開IP的白名單，當(dāng)時(shí)不是直接走內(nèi)網(wǎng)，實(shí)際走的也是公網(wǎng)，只不過在檢測(cè)時(shí)因?yàn)槭茿zure的IP，所以直接放行了，這和開啟endpoint是不一樣的

關(guān)閉允許訪問Azure服務(wù)選項(xiàng)

之后添加Endpoint

可以看到endPoint已經(jīng)添加成功

之后添加虛擬網(wǎng)絡(luò)規(guī)則

再次測(cè)試，仍然無(wú)法訪問

添加到Azure SQL的允許出站的規(guī)則

再次測(cè)試

可以連接

所以，總結(jié)來說，通過endpoint，可以非常方便控制IaaS VM對(duì)于PaaS服務(wù)的訪問情況

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文題目：AzureEndpoint解析-創(chuàng)新互聯(lián)
標(biāo)題來源：http://www.rwnh.cn/article18/dohsgp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、微信公眾號(hào)、自適應(yīng)網(wǎng)站、靜態(tài)網(wǎng)站、搜索引擎優(yōu)化、品牌網(wǎng)站設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)