Partager via


Connectivité aux services PaaS Azure

Cet article fournit des approches de connectivité recommandées pour l’utilisation des services PaaS Azure.

Considérations relatives à la conception

  • Les services PaaS Azure sont, dans leur configuration par défaut, généralement accessibles sur des points de terminaison accessibles publiquement via le réseau global Microsoft. Certains clients peuvent avoir des exigences pour réduire l’utilisation des points de terminaison publics. Par conséquent, la plateforme Azure fournit des fonctionnalités facultatives pour sécuriser ces points de terminaison ou même les rendre entièrement privées.

    • Certains services PaaS autorisent des restrictions d’accès public basées sur l’identité managée affectée par le système Resource Instance , par exemple Stockage Azure

    • De nombreux services PaaS autorisent des restrictions d’accès public basées sur des services Azure approuvés, par exemple Azure Container Registry

    • L’injection de réseau virtuel fournit des déploiements privés dédiés pour les services pris en charge. Le trafic du plan de gestion transite toujours par des adresses IP publiques.

    Un diagramme montrant la connectivité du service injecté V Net.

Quelle est la différence entre les points de terminaison de service et les points de terminaison privés ? offre une explication des différences entre les points de terminaison Private Link et les points de terminaison de service de réseau virtuel.

Recommandations en matière de conception

  • Pour les services PaaS Azure qui prennent en charge l’injection de réseau virtuel, si vous avez besoin d’accéder aux ressources au sein de votre réseau privé (réseaux virtuels ou locaux via une passerelle de réseau virtuel), envisagez d’activer la fonctionnalité d’injection de réseau virtuel. Considérez également que ces services injectés dans un réseau virtuel effectuent toujours des opérations de plan de gestion à l’aide d’adresses IP publiques spécifiques au service. La connectivité doit être garantie pour que le service fonctionne correctement. Utilisez des UDR et des NSG pour verrouiller cette communication au sein du réseau virtuel. Vous pouvez utiliser des étiquettes de service dans UDR pour réduire le nombre d’itinéraires nécessaires et remplacer les itinéraires par défaut s’ils sont utilisés.

  • Lorsque la protection contre l’exfiltration des données et l’utilisation de l’adressage IP privé uniquement sont des exigences fermes, envisagez l’utilisation d’Azure Private Link si disponible.

  • Envisagez l’utilisation de points de terminaison de service de réseau virtuel pour sécuriser l’accès aux services PaaS Azure à partir de votre réseau virtuel dans les scénarios où l’exfiltration des données est moins préoccupante, Private Link n’est pas disponible ou vous avez besoin d’une ingération de données volumineuse qui nécessite une optimisation des coûts. (Les points de terminaison de service Azure n’entraînent aucun coût, contrairement à Azure Private Link, qui inclut un composant de coût basé sur les données réseau par Go).

Diagramme montrant la connectivité des points de terminaison de service.

  • Si l’accès aux services PaaS Azure est requis à partir d’un emplacement local, utilisez les options suivantes :

    • Utilisez le point de terminaison public par défaut du service PaaS via Internet et le réseau global Microsoft si aucun accès privé n’est requis et que la bande passante Internet locale est suffisante.
    • Utilisez une connexion hybride privée (ExpressRoute avec peering privé ou VPN de site à site) avec injection de réseau virtuel ou Azure Private Link.
  • N’activez pas les points de terminaison de service de réseau virtuel par défaut sur tous les sous-réseaux. Suivez l’approche ci-dessus en fonction du cas par cas en fonction de la disponibilité des fonctionnalités de service PaaS et de vos propres exigences de sécurité et de performances.

  • Dans la mesure du possible, évitez d’utiliser le tunneling forcé (diriger le trafic lié à Internet à partir d’un réseau virtuel Azure via un site local en publiant un itinéraire par défaut sur une connexion hybride privée), car cela peut augmenter la complexité de la gestion des opérations de plan de contrôle avec certains services PaaS Azure, par exemple Application Gateway V2.