Virtuális hálózati szolgáltatásvégpont-szabályzatok létrehozása az Azure Storage-hez
A virtuális hálózati szolgáltatásvégpont-szabályzatokkal szűrheti az Azure Storage-fiókokba irányuló kimenő virtuális hálózati forgalmat a szolgáltatásvégponton keresztül, és csak adott Azure Storage-fiókokra engedélyezheti az adatkiszivárgást. A végpontszabályzatok részletes hozzáférés-vezérlést biztosítanak az Azure Storage felé irányuló virtuális hálózati forgalomhoz a szolgáltatásvégponton keresztüli csatlakozáskor.
Ez a funkció általánosan elérhető az Azure Storage-hoz minden globális Azure-régióban.
Fő előnyök
A virtuális hálózati szolgáltatásvégpont-szabályzatok a következő előnyöket biztosítják:
Továbbfejlesztett biztonság az Azure Storage-ba irányuló virtuális hálózati forgalom számára
A hálózati biztonsági csoportokHoz tartozó Azure-szolgáltatáscímkék lehetővé teszik a virtuális hálózat kimenő forgalmának korlátozását adott Azure Storage-régiókra. Ez a folyamat azonban lehetővé teszi a kiválasztott Azure Storage-régión belüli bármely fiók felé történő forgalmat.
A végpontszabályzatokkal megadhatja azokat az Azure Storage-fiókokat, amelyek engedélyezik a virtuális hálózati kimenő hozzáférést, és korlátozza az összes többi tárfiókhoz való hozzáférést. Ez a folyamat sokkal részletesebb biztonsági vezérlést biztosít a virtuális hálózatból származó adatok kiszivárgásának védelméhez.
Méretezhető, magas rendelkezésre állású szabályzatok az Azure-szolgáltatások adatforgalmának szűréséhez
A végpontszabályzatok horizontálisan skálázható, magas rendelkezésre állású megoldásokat biztosítanak a virtuális hálózatokból a szolgáltatásvégpontokon keresztül az Azure-szolgáltatásokba érkező forgalom szűrésére. A virtuális hálózatokon belüli forgalom központi hálózati berendezéseinek karbantartásához nincs szükség többletterhelésre.
JSON-objektum szolgáltatásvégpont-szabályzatokhoz
Vessünk egy gyors pillantást a Szolgáltatásvégpont-házirend objektumra.
"serviceEndpointPolicyDefinitions": [
{
"description": null,
"name": "MySEP-Definition",
"resourceGroup": "MySEPDeployment",
"service": "Microsoft.Storage",
"serviceResources": [
"/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
],
"type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
}
]
Konfiguráció
A végpontszabályzatokat úgy konfigurálhatja, hogy a virtuális hálózati forgalmat meghatározott Azure Storage-fiókokra korlátozza.
A végpontszabályzatot a virtuális hálózat egy alhálózatán kell konfigurálni. Az Azure Storage szolgáltatásvégpontjait engedélyezni kell az alhálózaton a szabályzat alkalmazásához.
A végpontszabályzat lehetővé teszi adott Azure Storage-fiókok engedélyezési listához való hozzáadását a resourceID formátum használatával. A következőhöz való hozzáférést korlátozhatja:
Előfizetés összes tárfiókja
E.g. /subscriptions/subscriptionId
Egy erőforráscsoport összes tárfiókja
E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName
Egy egyéni tárfiók a megfelelő Azure Resource Manager resourceId listázásával. Ez lefedi a blobokba, táblákba, üzenetsorokba, fájlokba és az Azure Data Lake Storage Gen2-be irányuló forgalmat.
E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName
Alapértelmezés szerint, ha a végpontokkal rendelkező alhálózathoz nincsenek házirendek csatolva, a szolgáltatás összes tárfiókját elérheti. Amint konfigurált egy szabályzatot az alhálózaton, kizárólag a szabályzatban meghatározott erőforrásokhoz lehet hozzáférni az adott alhálózat számítási példányairól. Az összes többi tárfiókhoz való hozzáférés megtagadva.
Amikor szolgáltatásvégpont-szabályzatokat alkalmaz egy alhálózaton, az Azure Storage szolgáltatásvégpont hatóköre regionálisról globálisra frissül. Ez a folyamat azt jelenti, hogy az Azure Storage-ba történő összes adatforgalom a szolgáltatásvégponton keresztül lesz biztosítva. A szolgáltatásvégpont-szabályzatok globálisan is alkalmazhatók. A kifejezetten nem engedélyezett tárfiókok hozzáférése megtagadva.
Egy alhálózaton több szabályzatot is életbe léptethet. Ha több házirend van társítva az alhálózathoz, a virtuális hálózati forgalom az ezen szabályzatok bármelyikében megadott erőforrások felé engedélyezett. Az összes többi szolgáltatáserőforráshoz való hozzáférés, amely nem szerepel egyik szabályzatban sem, le lesz tiltva.
Megjegyzés:
A szolgáltatásvégpont-szabályzatok engedélyezett szabályzatok, így a megadott erőforrásokon kívül minden más erőforrás korlátozott. Győződjön meg arról, hogy az alkalmazások összes szolgáltatáserőforrás-függősége azonosítható és szerepel a szabályzatban.
Csak az Azure Resource-modellt használó tárfiókokat lehet megadni a végpontszabályzatban. A klasszikus Azure Storage-fiókok nem támogatják az Azure Szolgáltatásvégpont-szabályzatokat.
Az RA-GRS másodlagos hozzáférés automatikusan engedélyezett, ha az elsődleges fiók szerepel a listán.
A tárfiókok lehetnek ugyanabban az előfizetésben vagy egy másik előfizetésben, vagy a Microsoft Entra-bérlőben, mint a virtuális hálózat.
Forgatókönyvek
Társviszonyban álló, csatlakoztatott vagy többszörös virtuális hálózatok: A társviszonyban álló virtuális hálózatok forgalmának szűréséhez a végpontszabályzatokat egyenként kell érvényesíteni az egyes virtuális hálózatokon.
Internetes forgalom szűrése hálózati berendezésekkel vagy Azure Firewall használatával: Az Azure szolgáltatás forgalmának szűrése szabályzatokkal, szolgáltatásvégpontokon keresztül, valamint az internet vagy az Azure-forgalom további részeinek szűrése berendezéseken vagy Azure Firewallon keresztül.
A virtuális hálózatokba telepített Azure-szolgáltatások forgalmának szűrése: Jelenleg az Azure-szolgáltatásvégpont-szabályzatok nem támogatottak a virtuális hálózaton üzembe helyezett felügyelt Azure-szolgáltatások esetében.
A helyszínről az Azure-szolgáltatásokba irányuló forgalom szűrése: A szolgáltatásvégpont-szabályzatok csak a szabályzatokhoz társított alhálózatokról érkező forgalomra vonatkoznak. Az egyes Azure-beli szolgáltatási erőforrásokhoz való helyszíni hozzáférés engedélyezéséhez a forgalmat virtuális hálózati berendezésekkel vagy tűzfalakkal szűrheti.
Naplózás és hibaelhárítás
Szolgáltatásvégpont-szabályzatokhoz a központi naplózás nem érhető el. A szolgáltatáserőforrás-naplókért tekintse meg a szolgáltatásvégpontok naplózását.
Hibaelhárítási forgatókönyvek
Hozzáférés megtagadva az előzetes verzióban működő tárfiókokhoz (nem földrajzilag párosított régióban)
Az Azure Storage globális szolgáltatáscímkék használatára való frissítésével a szolgáltatásvégpont és így a szolgáltatásvégpont-szabályzatok hatóköre globális. Az Azure Storage felé irányuló forgalom tehát szolgáltatásvégpontokon keresztül van titkosítva, és csak a szabályzatban kifejezetten felsorolt Tárfiókok férhetnek hozzá.
Explicit módon engedélyezze az összes szükséges Storage-fiók engedélyezését a hozzáférés visszaállításához.
Forduljon az Azure ügyfélszolgálatához.
A végpontszabályzatokban szereplő fiókokhoz való hozzáférés meg van tagadva
A hálózati biztonsági csoportok vagy a tűzfalak használatával történő szűrés blokkolhatja a hozzáférést
Ha a szabályzat eltávolítása/újbóli életbe léptetése miatt megszűnik a kapcsolat:
Ellenőrizze, hogy az Azure-szolgáltatás úgy van-e konfigurálva, hogy engedélyezze a hozzáférést a virtuális hálózatról végpontokon keresztül, vagy hogy az erőforrás alapértelmezett szabályzata Az összes engedélyezése beállításra van-e beállítva.
Ellenőrizze, hogy a szolgáltatásdiagnosztika megjeleníti-e a végpontokon átmenő forgalmat.
Ellenőrizze, hogy a hálózati biztonsági csoport forgalmának naplói és a tárolási naplók a várakozásoknak megfelelően a végpontokon keresztül történő hozzáférést mutatják-e.
Forduljon az Azure ügyfélszolgálatához.
A szolgáltatásvégpont-szabályzatokban nem szereplő fiókok hozzáférése meg van tagadva
Ellenőrizze, hogy az Azure Storage úgy van-e konfigurálva, hogy engedélyezze a hozzáférést a virtuális hálózatról végpontokon keresztül, vagy az erőforrás alapértelmezett szabályzata Az összes engedélyezése beállításra van-e beállítva.
Győződjön meg arról, hogy a fiókok nem klasszikus tárfiókok , amelyek szolgáltatásvégpont-szabályzatokkal rendelkeznek az alhálózaton.
Egy felügyelt Azure-szolgáltatás leállt, miután egy szolgáltatásvégpont-szabályzatot alkalmazott az alhálózaton
- A felügyelt Azure SQL-példánytól eltérő felügyelt szolgáltatások jelenleg nem támogatottak a szolgáltatásvégpontok esetében.
A felügyelt tárfiókokhoz való hozzáférés leállt, miután egy szolgáltatásvégpont-szabályzatot alkalmazott az alhálózaton
- A felügyelt tárfiókok szolgáltatásvégpont-szabályzatokkal nem támogatottak. Ha konfigurálva van, a szabályzatok alapértelmezés szerint megtagadják az összes felügyelt tárfiókhoz való hozzáférést. Ha az alkalmazásnak hozzá kell férnie a felügyelt tárfiókokhoz, a végpontszabályzatokat nem szabad használni ehhez a forgalomhoz.
Provisioning
A virtuális hálózathoz írási hozzáféréssel rendelkező felhasználók szolgáltatásvégpont-szabályzatokat konfigurálnak az alhálózatokon. További információkat is megtudhat az Azure beépített szerepköreiről és az egyes engedélyek egyéni szerepkörökhöz való hozzárendeléséről.
A virtuális hálózatok és az Azure Storage-fiókok lehetnek azonos vagy különböző előfizetésekben, illetve Microsoft Entra-bérlőkben.
Korlátozások
Szolgáltatásvégpont-szabályzatokat csak az Azure Resource Manager-alapú üzemi modellel üzembe helyezett virtuális hálózatokon helyezhet üzembe.
A virtuális hálózatoknak és a szolgáltatásvégpont-szabályzatnak ugyanabban a régióban kell lenniük.
Csak akkor alkalmazhat szolgáltatásvégpont-szabályzatokat egy alhálózaton, ha a szolgáltatásvégpontok a szabályzatban szereplő Azure-szolgáltatásokhoz vannak konfigurálva.
A saját helyszíni hálózatáról az Azure-szolgáltatásokba irányuló forgalomhoz nem használhat szolgáltatásvégpont-szabályzatokat.
A felügyelt Azure SQL-példánytól eltérő Azure-beli felügyelt szolgáltatások jelenleg nem támogatják a végpontszabályzatokat. Ez a korlátozás magában foglalja a megosztott alhálózatokban (például az Azure Batchben, a Microsoft Entra Domain Servicesben, Azure-alkalmazás Gatewayben, az Azure VPN Gatewayben, az Azure Firewallban) vagy dedikált alhálózatokban (például Azure-alkalmazás Service Environment, Azure Redis Cache, Azure API Management, klasszikus felügyelt szolgáltatások) üzembe helyezett felügyelt szolgáltatásokat.
Figyelmeztetés:
A virtuális hálózatokban üzembe helyezett Azure-szolgáltatások, mint például az Azure HDInsight, más Azure-szolgáltatásokhoz, például az Azure Storage-hoz férnek hozzá, hogy lekérjék az infrastruktúrával kapcsolatos követelményeket. A végpontszabályzatok bizonyos erőforrásokra történő korlátozása meggátolhatja, hogy a virtuális hálózatában üzembe helyezett Azure-szolgáltatások hozzáférjenek ezekhez az infrastruktúra-erőforrásokhoz.
- A végpontszabályzatok nem támogatják a klasszikus tárfiókokat. A szabályzatok alapértelmezés szerint megtagadják az összes klasszikus tárfiókhoz való hozzáférést. Ha az alkalmazásnak hozzá kell férnie az Azure Resource Managerhez és a klasszikus tárfiókokhoz, a végpontszabályzatokat nem szabad használni ehhez a forgalomhoz.
Díjszabás és korlátok
A szolgáltatásvégpont-szabályzatok használata díjmentes. A szolgáltatásvégpontok esetében az Azure-szolgáltatások (például az Azure Storage) aktuális díjszabási modellje az irányadó.
A következő korlátozásokat érvényesíti a rendszer a szolgáltatásvégpont-szabályokon:
Resource | Alapértelmezett korlát |
---|---|
ServiceEndpointPoliciesPerSubscription | 500 |
ServiceEndpointPoliciesPerSubnet | 100 |
ServiceEndpointPoliciesPerVirtualNetwork | 100 |
ServiceResourcesPerServiceEndpointPolicyDefinition | 200 |
Következő lépések
Tudnivalók a virtuális hálózati szolgáltatásvégpont-szabályzatok konfigurálásáról
További információk a virtuális hálózati szolgáltatásvégpontokról