Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Integrace virtuální sítě Azure umožňuje bezpečně izolovat a řídit přístup ke službám Azure v rámci infrastruktury virtuální sítě. Integrací služeb s virtuálními sítěmi můžete eliminovat ohrožení veřejného internetu, omezit přístup k autorizovaným sítím, včetně partnerských virtuálních sítí a místních připojení, a zvýšit celkový stav zabezpečení. Tento komplexní přístup k izolaci sítě pomáhá chránit důležité prostředky a zajišťuje dodržování požadavků organizace na zabezpečení.
Integrace virtuální sítě poskytuje službám Azure lepší zabezpečení a izolaci sítě prostřednictvím jedné nebo několika následujících metod integrace:
Nasazení vyhrazené služby: Nasaďte vyhrazené instance služby do virtuální sítě , abyste umožnili privátní přístup v rámci virtuální sítě a z místních sítí. Tato metoda nasazení poskytuje úplnou kontrolu nad síťovým provozem a směrováním.
Privátní připojení: Použití privátního koncového bodu , které vás soukromě a bezpečně připojuje ke službě využívající Azure Private Link. Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě, čímž efektivně přenese službu do vaší virtuální sítě a eliminuje vystavení internetu.
Integrace koncového bodu služby: Přístup ke službě pomocí veřejných koncových bodů rozšířením virtuální sítě do služby prostřednictvím koncových bodů služby. Koncové body služby umožňují zabezpečení prostředků služeb virtuální síti při zachování optimalizovaného směrování přes páteřní síť Azure.
Řízení přístupu k síti: Pomocí značek služeb můžete povolit nebo odepřít provoz do prostředků Azure do a z koncových bodů veřejné IP adresy. Značky služeb poskytují podrobnou kontrolu nad síťovým přístupem bez nutnosti znalostí konkrétních IP adres.
Nasazení vyhrazených služeb Azure do virtuálních sítí
Když nasadíte vyhrazené služby Azure ve virtuální síti, můžete s prostředky služby komunikovat soukromě prostřednictvím privátních IP adres.
Nasazení vyhrazené služby Azure do virtuální sítě poskytuje následující možnosti:
Prostředky v rámci virtuální sítě můžou mezi sebou komunikovat soukromě prostřednictvím privátních IP adres. Například přímý přenos dat mezi HDInsight a SQL Serverem běžícím na virtuálním počítači ve virtuální síti.
Místní prostředky mají přístup k prostředkům ve virtuální síti pomocí privátních IP adres přes VPN typu Site-to-Site (VPN Gateway) nebo ExpressRoute.
Virtuální sítě mohou být propojeny, aby prostředky ve virtuálních sítích mohly vzájemně komunikovat pomocí soukromých IP adres.
Služba Azure plně spravuje instance služeb ve virtuální síti. Tato správa zahrnuje monitorování stavu prostředků a škálování s využitím zatížení.
Instance služby se nasazují do podsítě ve virtuální síti. Příchozí a odchozí síťový přístup pro podsíť musí být otevřen prostřednictvím skupin zabezpečení sítě podle pokynů poskytovaných službou.
Některé služby ukládají omezení podsítě, ve které jsou nasazené. Tato omezení omezují použití zásad, tras nebo kombinování virtuálních počítačů a prostředků služeb ve stejné podsíti. U každé služby zkontrolujte konkrétní omezení, protože se můžou v průběhu času měnit. Mezi příklady takových služeb patří Azure NetApp Files, Dedicated HSM, Azure Container Instances, App Service.
Volitelně mohou služby vyžadovat, aby byla delegovaná podsíť explicitně identifikována jako schopná hostovat konkrétní službu. Služby Azure mají explicitní oprávnění k vytváření prostředků specifických pro službu v delegované podsíti.
Podívejte se na příklad odpovědi rozhraní REST API ve virtuální síti s delegovanou podsítí. Úplný seznam služeb, které používají delegovaný model podsítě, je možné získat prostřednictvím dostupného rozhraní API delegování.
Služby, které je možné nasadit do virtuální sítě
1 Dedicated znamená, že v této podsíti je možné nasadit pouze konkrétní prostředky služby a nelze je kombinovat s obecnými nebo zákaznickými virtuálními počítači.
2 Osvědčeným postupem je mít tyto služby ve vyhrazené podsíti, ale nejedná se o povinný požadavek, který služba ukládá.
Private Link a privátní koncové body
Privátní koncové body umožňují bezpečný příjem přenosů z vaší virtuální sítě do prostředku služby Azure. Toto privátní propojení je vytvořeno bez nutnosti veřejných IP adres. Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti. Když pro prostředek vytvoříte privátní koncový bod, poskytuje zabezpečené připojení mezi klienty ve vaší virtuální síti a prostředkem Azure. IP adresa z rozsahu IP adres vaší virtuální sítě se přiřadí k privátnímu koncovému bodu. Připojení mezi privátním koncovým bodem a službou Azure je privátní propojení.
V diagramu vpravo se jako cílová služba PaaS zobrazuje Azure SQL Database. Cílem může být libovolná služba, která podporuje privátní koncové body. Existuje několik instancí logického SQL Serveru pro více zákazníků, které jsou dostupné přes veřejné IP adresy.
V tomto případě je jedna instance logického SQL Serveru připojena k privátnímu koncovému bodu. Koncový bod zpřístupní SQL Server prostřednictvím privátní IP adresy ve virtuální síti klienta. Kvůli změně konfigurace DNS teď klientská aplikace odesílá svůj provoz přímo do tohoto privátního koncového bodu. Cílová služba vidí provoz pocházející z privátní IP adresy virtuální sítě.
Zelená šipka představuje privátní propojení. Veřejná IP adresa může i nadále existovat pro cílový prostředek spolu s privátním koncovým bodem. Klientská aplikace už veřejnou IP adresu nepoužívá. Brána firewall teď může zakázat přístup k této veřejné IP adrese, aby byla přístupná jenom přes privátní koncové body. Připojení k SERVERU SQL bez privátního koncového bodu z virtuální sítě pocházejí z veřejné IP adresy. Modrá šipka představuje tento tok.
Klientská aplikace obvykle používá název hostitele DNS k dosažení cílové služby. V aplikaci nejsou potřeba žádné změny. Překlad DNS ve virtuální síti musí být nakonfigurovaný tak, aby přeložil stejný název hostitele na privátní IP adresu cílového prostředku místo původní veřejné IP adresy. U privátní cesty mezi klientem a cílovou službou se klient nespoléhá na veřejnou IP adresu. Cílová služba může vypnout veřejný přístup.
Toto odhalení jednotlivých instancí vám umožňuje zabránit krádeži dat. Zlomyseľný aktér nemůže získat informace z databáze a nahrát je do jiné veřejné databáze nebo úložiště. Můžete zabránit přístupu k veřejným IP adresám všech služeb PaaS. Stále můžete povolit přístup k instancím PaaS prostřednictvím jejich privátních koncových bodů.
Další informace o službě Private Link a seznamu podporovaných služeb Azure najdete v tématu Co je Private Link?
Koncové body služby
Koncové body služeb poskytují zabezpečené a přímé připojení ke službám Azure přes páteřní síť Azure. Koncové body umožňují zabezpečit prostředky Azure pouze pro virtuální sítě. Koncové body služby umožňují privátním IP adresám ve virtuální síti připojit se ke službě Azure bez nutnosti odchozí veřejné IP adresy.
Bez koncových bodů služby může být omezení přístupu jenom k vaší virtuální síti náročné. Zdrojová IP adresa se může změnit nebo může být sdílena s ostatními zákazníky. Například služby PaaS se sdílenými odchozími IP adresami. U koncových bodů služby se zdrojová IP adresa, kterou cílová služba zobrazuje, stane privátní IP adresou z vaší virtuální sítě. Tato změna příchozího přenosu dat umožňuje snadno identifikovat původ a používat ho ke konfiguraci odpovídajících pravidel brány firewall. Například povolení pouze provozu z konkrétní podsítě v rámci této virtuální sítě.
U koncových bodů služby zůstanou DNS záznamy pro Azure služby nezměněné a nadále se budou překládat na veřejné IP adresy přiřazené ke službě Azure.
V následujícím diagramu je na pravé straně stejná cílová služba PaaS. Na levé straně je virtuální síť zákazníka se dvěma podsítěmi: Podsíť A, která má koncový bod služby směrem k Microsoft.Sqlpodsíti B, která nemá definované žádné koncové body služby.
Když se prostředek v podsíti B pokusí spojit se s jakýmkoli SQL Serverem, použije veřejnou IP adresu pro odchozí komunikaci. Modrá šipka představuje tento provoz. Brána firewall SQL Serveru musí tuto veřejnou IP adresu použít k povolení nebo blokování síťového provozu.
Když se prostředek v podsíti A pokusí připojit k databázovému serveru, připojení se považuje za privátní IP adresu z virtuální sítě. Tento provoz představují zelené šipky. Brána firewall SQL Serveru teď může konkrétně povolit nebo blokovat podsíť A. Znalost veřejné IP adresy zdrojové služby není potřebná.
Koncové body služby se vztahují na všechny instance cílové služby. Například všechny instance SQL Serveru zákazníků Azure, nejen instance zákazníka.
Další informace najdete v tématu Koncové body služeb virtuální sítě.
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Pomocí značek služeb můžete definovat řízení přístupu k síti ve skupinách zabezpečení sítě nebo ve služběAzure Firewall. Provoz služby můžete povolit nebo zakázat. Pokud chcete povolit nebo zakázat provoz, zadejte značku služby ve zdrojovém nebo cílovém poli pravidla.
Při přístupu ke službám Azure s veřejnými koncovými body můžete zajistit izolaci sítě a chránit prostředky Azure před internetem. Vytvořte příchozí nebo odchozí pravidla skupiny zabezpečení sítě, která zamítnou provoz do a z internetu a povolí provoz do a z AzureCloudu. Další značky služeb najdete v dostupných značkách služeb konkrétních služeb Azure.
Další informace o značkách služeb a službách Azure, které je podporují, najdete v tématu Přehled značek služeb.
Porovnání privátních koncových bodů a koncových bodů služby
Note
Microsoft doporučuje používat Azure Private Link. Private Link nabízí lepší možnosti pro privátní přístup k PaaS z místního prostředí, poskytuje integrovanou ochranu před exfiltrací dat a mapuje služby na privátní IP adresy ve vaší vlastní síti. Další informace najdete v tématu Azure Private Link.
Místo toho, abyste se podívali jen na jejich rozdíly, je vhodné zdůraznit, že koncové body služby i privátní koncové body mají společné charakteristiky.
Obě funkce se používají k podrobnější kontrole firewallu v cílové službě. Například omezení přístupu k databázím SQL Serveru nebo účtům úložiště. Operace se ale u obou liší, jak je popsáno podrobněji v předchozích částech.
Oba přístupy řeší problém vyčerpání portů SNAT (Source Network Address Translation). Při tunelování provozu prostřednictvím síťového virtuálního zařízení (NVA) nebo služby s omezeními portů SNAT může dojít k vyčerpání. Když používáte služební koncové body nebo privátní koncové body, provoz následuje optimalizovanou cestu přímo do cílové služby. Oba přístupy můžou využívat aplikace náročné na šířku pásma, protože se snižuje latence i náklady.
V obou případech můžete zajistit, aby provoz do cílové služby procházel přes síťový firewall nebo NVA. Tento postup se u obou přístupů liší. Při použití koncových bodů služby byste měli nakonfigurovat koncový bod služby v podsíti brány firewall nikoli v podsíti, kde je nasazena zdrojová služba. Při použití privátních koncových bodů umístíte trasu definovanou uživatelem pro IP adresu privátního koncového bodu do zdrojové podsítě. Nenachází se v podsíti soukromého koncového bodu.
Pokud chcete rozdíly porovnat a pochopit, podívejte se na následující tabulku.
| Consideration | Koncové body služby | Privátní koncové body |
|---|---|---|
| Obor služby, na který se konfigurace vztahuje | Celá služba (například všechny servery SQL nebo účty úložiště všech zákazníků) | Individuální instance (například konkrétní instance SQL Serveru nebo účet úložiště , který vlastníte ) |
| Ochrana před exfiltrací dat - schopnost přesunout nebo zkopírovat data z chráněného prostředku PaaS do jiného nechráněného prostředku PaaS škodlivým interním útočníkem | No | Yes |
| Privátní přístup k prostředku PaaS z místního prostředí | No | Yes |
| Konfigurace NSG požadovaná pro přístup ke službě | Ano (pomocí značek služeb) | No |
| Služba je přístupná bez použití jakékoli veřejné IP adresy. | No | Yes |
| Provoz z Azure do Azure zůstává v páteřní síti Azure | Yes | Yes |
| Služba může zakázat svou veřejnou IP adresu. | No | Yes |
| Přenosy přicházející z virtuální sítě Azure můžete snadno omezit. | Ano (povolení přístupu z konkrétních podsítí nebo použití skupin zabezpečení sítě) | Yes |
| Přenosy přicházející z místního prostředí (VPN/ExpressRoute) můžete snadno omezit. | N/A** | Yes |
| Vyžaduje změny DNS. | No | Ano (viz konfigurace DNS) |
| Ovlivňuje náklady na vaše řešení. | No | Ano (viz ceny služby Private Link) |
| Ovlivňuje kombinovanou smlouvu SLA vašeho řešení. | No | Ano (samotná služba Private Link má smlouvu SLA 99,99%) |
| Nastavení a údržba | Jednoduché nastavení s menší režií na správu | Vyžaduje se další úsilí. |
| Limits | Žádný limit celkového počtu koncových bodů služby ve virtuální síti. Služby Azure můžou vynucovat omezení počtu podsítí používaných k zabezpečení prostředku. (viz nejčastější dotazy k virtuální síti) | Ano (viz omezení služby Private Link) |
**Prostředky služeb Azure zabezpečené k virtuálním sítím nejsou dostupné z místních sítí. Pokud chcete povolit provoz z lokální infrastruktury, povolte veřejné IP adresy (typicky NAT) z lokální infrastruktury nebo pomocí ExpressRoute. Tyto IP adresy je možné přidat pomocí konfigurace IP firewallu pro prostředky služby Azure. Další informace najdete v nejčastějších dotazech k virtuální síti.
Další kroky
Zjistěte, jak integrovat aplikaci se sítí Azure.
Zjistěte, jak omezit přístup k prostředkům pomocí značek služeb.
Zjistěte, jak se soukromě připojit k účtu služby Azure Cosmos DB přes Azure Private Link.