Integrace služeb Azure s virtuálními sítěmi pro izolaci sítě
Virtual Network integrace služby Azure umožňuje uzamknout přístup ke službě pouze pro infrastrukturu virtuální sítě. Infrastruktura virtuální sítě zahrnuje také partnerské virtuální sítě a místní sítě.
Integrace virtuální sítě poskytuje službám Azure výhody izolace sítě pomocí jedné nebo několika následujících metod:
Nasazení vyhrazených instancí služby do virtuální sítě K službám je pak možné soukromě přistupovat v rámci virtuální sítě a z místních sítí.
Použití privátního koncového bodu, který vás privátně a bezpečně připojí ke službě využívající Azure Private Link. Privátní koncový bod používá privátní IP adresu vaší virtuální sítě a tím vlastně přináší službu do vaší virtuální sítě.
Přístup ke službě pomocí veřejných koncových bodů rozšířením virtuální sítě na službu prostřednictvím koncových bodů služby Koncové body služby umožňují zabezpečení prostředků služby k virtuální síti.
Použití značek služeb k povolení nebo odepření provozu směřujícího do vašich prostředků Azure do a z veřejných IP koncových bodů
Nasazení vyhrazených služeb Azure do virtuálních sítí
Když ve virtuální síti nasadíte vyhrazené služby Azure, můžete komunikovat s prostředky služby soukromě prostřednictvím privátních IP adres.
Nasazení vyhrazené služby Azure do virtuální sítě poskytuje následující možnosti:
Prostředky v rámci virtuální sítě spolu můžou komunikovat soukromě prostřednictvím privátních IP adres. Příklad: Přímý přenos dat mezi HDInsight a SQL Server spuštěný na virtuálním počítači ve virtuální síti.
Místní prostředky můžou přistupovat k prostředkům ve virtuální síti pomocí privátních IP adres přes síť VPN typu site-to-site (VPN Gateway) nebo ExpressRoute.
Virtuální sítě je možné vytvořit partnerský vztah, aby prostředky ve virtuálních sítích mohly vzájemně komunikovat pomocí privátních IP adres.
Služba Azure plně spravuje instance služeb ve virtuální síti. Tato správa zahrnuje monitorování stavu prostředků a škálování s využitím zatížení.
Instance služby se nasazují do podsítě ve virtuální síti. Příchozí a odchozí síťový přístup pro podsíť musí být otevřen prostřednictvím skupin zabezpečení sítě podle pokynů poskytovaných službou.
Některé služby omezují podsíť, ve které jsou nasazené. Tato omezení omezují použití zásad, tras nebo kombinování virtuálních počítačů a prostředků služeb v rámci stejné podsítě. Ověřte si u každé služby konkrétní omezení, která se můžou v průběhu času měnit. Příklady takových služeb jsou Azure NetApp Files, Dedicated HSM, Azure Container Instances App Service.
Volitelně můžou služby vyžadovat delegovanou podsíť jako explicitní identifikátor toho, že podsíť může hostovat konkrétní službu. Služby Azure mají explicitní oprávnění k vytváření prostředků specifických pro službu v delegované podsíti s delegováním.
Podívejte se na příklad odpovědi rozhraní REST API ve virtuální síti s delegovanou podsítí. Úplný seznam služeb, které používají model delegované podsítě, je možné získat prostřednictvím dostupného rozhraní API pro delegování.
Seznam služeb, které je možné nasadit do virtuální sítě, najdete v tématu Nasazení vyhrazených služeb Azure do virtuálních sítí.
Private Link a privátní koncové body
Privátní koncové body umožňují zabezpečený příchozí přenos dat z vaší virtuální sítě do prostředku Azure. Toto privátní propojení se vytvoří bez nutnosti veřejných IP adres. Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti. Když pro svůj prostředek vytvoříte privátní koncový bod, poskytuje zabezpečené připojení mezi klienty ve virtuální síti a prostředkem Azure. Privátnímu koncovému bodu se přiřadí IP adresa z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a službou Azure je privátní propojení.
Na pravé straně diagramu se jako cílová služba PaaS zobrazuje Azure SQL Database. Cílem může být jakákoli služba, která podporuje privátní koncové body. Existuje několik instancí logického SQL Server pro více zákazníků, které jsou dostupné přes veřejné IP adresy.
V tomto případě je jedna instance logického SQL Server vystavená pomocí privátního koncového bodu. Koncový bod umožňuje přístup k SQL Server prostřednictvím privátní IP adresy ve virtuální síti klienta. Kvůli změně konfigurace DNS teď klientská aplikace odesílá provoz přímo do tohoto privátního koncového bodu. Cílová služba vidí provoz pocházející z privátní IP adresy virtuální sítě.
Zelená šipka představuje privátní propojení. Vedle privátního koncového bodu může stále existovat veřejná IP adresa pro cílový prostředek. Klientská aplikace už veřejnou IP adresu nepoužívá. Brána firewall teď může zakázat jakýkoli přístup k této veřejné IP adrese, aby byla přístupná jenom přes privátní koncové body. Připojení k SQL Serveru bez privátního koncového bodu z virtuální sítě pocházejí z veřejné IP adresy. Modrý šipka představuje tento tok.
Klientská aplikace obvykle používá název hostitele DNS pro přístup k cílové službě. V aplikaci nejsou potřeba žádné změny. Překlad DNS ve virtuální síti musí být nakonfigurovaný tak, aby přeložil stejný název hostitele na privátní IP adresu cílového prostředku místo na původní veřejnou IP adresu. U privátní cesty mezi klientem a cílovou službou klient nespoléhá na veřejnou IP adresu. Cílová služba může veřejný přístup vypnout.
Toto vystavení jednotlivých instancí umožňuje zabránit krádeži dat. Objekt actor se zlými úmysly nemůže shromáždit informace z databáze a nahrát je do jiné veřejné databáze nebo účtu úložiště. Můžete zabránit přístupu k veřejným IP adresám všech služeb PaaS. Stále můžete povolit přístup k instancím PaaS prostřednictvím jejich privátních koncových bodů.
Další informace o službě Private Link a seznamu podporovaných služeb Azure najdete v tématu Co je Private Link?.
Koncové body služby
Koncové body služeb poskytují zabezpečené a přímé připojení ke službám Azure přes páteřní síť Azure. Koncové body umožňují zabezpečit prostředky Azure jenom s vašimi virtuálními sítěmi. Koncové body služby umožňují připojení privátních IP adres ve virtuální síti ke službě Azure bez nutnosti odchozí veřejné IP adresy.
Bez koncových bodů služby může být omezení přístupu pouze k virtuální síti náročné. Zdrojová IP adresa se může změnit nebo se může sdílet s jinými zákazníky. Například služby PaaS se sdílenými odchozími IP adresami. V případě koncových bodů služby se zdrojová IP adresa, kterou vidí cílová služba, stane privátní IP adresou z vaší virtuální sítě. Tato změna příchozího provozu umožňuje snadno identifikovat původ a použít ho ke konfiguraci příslušných pravidel brány firewall. Například povolení pouze provozu z konkrétní podsítě v rámci této virtuální sítě.
U koncových bodů služby zůstávají položky DNS pro služby Azure beze stavu a nadále se přeloží na veřejné IP adresy přiřazené ke službě Azure.
V následujícím diagramu je pravá strana stejná cílová služba PaaS. Na levé straně je virtuální síť zákazníka se dvěma podsítěmi: podsíť A, která má koncový bod služby směrem k Microsoft.Sql
a podsíť B, která nemá definované žádné koncové body služby.
Když se prostředek v podsíti B pokusí připojit k libovolnému SQL Server, použije pro odchozí komunikaci veřejnou IP adresu. Tento provoz znázorňuje modrá šipka. Brána firewall SQL Server musí tuto veřejnou IP adresu používat k povolení nebo blokování síťového provozu.
Když se prostředek v podsíti A pokusí připojit k databázovému serveru, považuje se za privátní IP adresu z virtuální sítě. Tento provoz znázorňují zelené šipky. Brána firewall SQL Server teď může konkrétně povolit nebo blokovat podsíť A. Znalost veřejné IP adresy zdrojové služby není třeba.
Koncové body služby se vztahují na všechny instance cílové služby. Například všechny SQL Server instance zákazníků Azure, nejen instance zákazníka.
Další informace najdete v tématu Koncové body služeb pro virtuální síť.
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Pomocí značek služeb můžete definovat řízení přístupu k síti pro skupiny zabezpečení sítě nebo Azure Firewall. Provoz pro službu můžete povolit nebo zakázat. Pokud chcete provoz povolit nebo zakázat, zadejte značku služby do pole zdroje nebo cíle pravidla.
Dosáhněte izolace sítě a chraňte své prostředky Azure před internetem při přístupu ke službám Azure, které mají veřejné koncové body. Vytvořte příchozí a odchozí pravidla skupiny zabezpečení sítě, která zamítnou provoz do a z internetu a povolí provoz do a z AzureCloudu. Další značky služeb najdete v tématu dostupné značky služeb pro konkrétní služby Azure.
Další informace o značkách služeb a službách Azure, které je podporují, najdete v tématu Přehled značek služeb.
Porovnání privátních koncových bodů a koncových bodů služby
Poznámka
Microsoft doporučuje používat Azure Private Link. Private Link nabízí lepší možnosti z hlediska privátního přístupu k PaaS z místního prostředí pomocí integrované ochrany exfiltrace dat a služby mapování na privátní IP adresu ve vaší vlastní síti. Další informace najdete v tématu Azure Private Link
Místo toho, abyste se dívali jenom na jejich rozdíly, je vhodné zdůraznit, že koncové body služby i privátní koncové body mají společné vlastnosti.
Obě funkce se používají pro podrobnější kontrolu nad bránou firewall v cílové službě. Například omezení přístupu k SQL Server databázím nebo účtům úložiště. Operace se ale u obou liší, jak bylo podrobněji popsáno v předchozích částech.
Oba přístupy překonají problém s vyčerpáním portů SNAT (Source Network Address Translation). Při tunelování provozu prostřednictvím síťového virtuálního zařízení (NVA) nebo služby s omezením portů SNAT může dojít k vyčerpání. Když používáte koncové body služby nebo privátní koncové body, provoz prochází optimalizovanou cestou přímo do cílové služby. Oba přístupy můžou prospět aplikacím náročným na šířku pásma, protože se snižuje latence i náklady.
V obou případech můžete přesto zajistit, aby provoz do cílové služby procházel přes síťovou bránu firewall nebo síťové virtuální zařízení. Tento postup se u obou přístupů liší. Při použití koncových bodů služby byste měli nakonfigurovat koncový bod služby v podsíti brány firewall , nikoli v podsíti, ve které je zdrojová služba nasazená. Při použití privátních koncových bodů umístíte trasu definovanou uživatelem pro IP adresu privátního koncového bodu do zdrojové podsítě. Není v podsíti privátního koncového bodu.
Porovnání a vysvětlení rozdílů najdete v následující tabulce.
Aspekty | Koncové body služby | Privátní koncové body |
---|---|---|
Obor služby, na které úrovni se konfigurace vztahuje | Celá služba (například všechny sql servery nebo účty úložiště všech zákazníků) | Jednotlivá instance (například konkrétní SQL Server instance nebo účet úložiště, který vlastníte) |
In-Built Data Exfiltration Protection – schopnost přesunout nebo kopírovat data z chráněného prostředku PaaS do jiného nechráněného prostředku PaaS od insideru se zlými úmysly | No | Yes |
Privátní přístup k prostředku PaaS z místního prostředí | No | Yes |
Konfigurace NSG požadovaná pro přístup ke službě | Ano (pomocí značek služeb) | No |
Služba je dostupná bez použití veřejné IP adresy. | No | Yes |
Provoz z Azure do Azure zůstává v páteřní síti Azure | Yes | Yes |
Služba může zakázat svou veřejnou IP adresu. | No | Yes |
Můžete snadno omezit provoz přicházející z Azure Virtual Network | Ano (povolit přístup z konkrétních podsítí nebo použít skupiny zabezpečení sítě) | Yes |
Můžete snadno omezit provoz přicházející z místního prostředí (VPN nebo ExpressRoute). | N/A** | Yes |
Vyžaduje změny DNS. | No | Ano (viz konfigurace DNS) |
Ovlivňuje náklady na vaše řešení. | No | Ano (viz ceny služby Private Link) |
Ovlivňuje složenou smlouvu SLA vašeho řešení. | No | Ano (samotná služba Private Link má 99,99% smlouvu SLA) |
Nastavení a údržba | Snadné nastavení a méně režie na správu | Je vyžadováno dodatečné úsilí. |
Omezení | Celkový počet koncových bodů služby ve virtuální síti není nijak omezený. Služby Azure můžou vynucovat omezení počtu podsítí používaných k zabezpečení prostředku. (viz nejčastější dotazy k virtuálním sítím) | Ano (viz omezení Private Link) |
**Prostředky služby Azure zabezpečené k virtuálním sítím nejsou dostupné z místních sítí. Pokud chcete povolit provoz z místního prostředí, povolte veřejné IP adresy (obvykle NAT) z místního prostředí nebo ExpressRoute. Tyto IP adresy je možné přidat prostřednictvím konfigurace brány firewall protokolu IP pro prostředky služby Azure. Další informace najdete v nejčastějších dotazech k virtuálním sítím.
Další kroky
Zjistěte, jak integrovat aplikaci se sítí Azure.
Zjistěte, jak omezit přístup k prostředkům pomocí značek služeb.
Zjistěte, jak se soukromě připojit k účtu služby Azure Cosmos DB prostřednictvím Azure Private Link.