Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure-beli virtuális hálózati integráció lehetővé teszi az Azure-szolgáltatásokhoz való hozzáférés biztonságos elkülönítését és szabályozását a virtuális hálózati infrastruktúrán belül. A szolgáltatások virtuális hálózatokkal való integrálásával kiküszöbölheti a nyilvános internetnek való kitettséget, korlátozhatja a hozzáférését az engedélyezett hálózatokhoz, beleértve a társhálózatokat és a helyszíni kapcsolatokat, és javíthatja az általános biztonsági helyzetet. A hálózatelkülönítés átfogó megközelítése segít megvédeni a kritikus erőforrásokat, és biztosítani a szervezeti biztonsági követelményeknek való megfelelést.
A virtuális hálózati integráció fokozott biztonságot és hálózatelkülönítést biztosít az Azure-szolgáltatások számára az alábbi integrációs módszerek valamelyikével:
Dedikált szolgáltatás üzembe helyezése: A szolgáltatás dedikált példányainak üzembe helyezése egy virtuális hálózatban , amely lehetővé teszi a privát hozzáférést a virtuális hálózaton belül és a helyszíni hálózatokról. Ez az üzembe helyezési módszer teljes körű ellenőrzést biztosít a hálózati forgalom és az útválasztás felett.
Privát kapcsolat: Privát végpont használata, amely privátan és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont egy privát IP-címet használ a virtuális hálózatról, amely hatékonyan hozza a szolgáltatást a virtuális hálózatba, és kiküszöböli az internetes kitettséget.
Szolgáltatásvégpont-integráció: A szolgáltatás elérése nyilvános végpontokkal egy virtuális hálózat szolgáltatásvégpontokon keresztüli kiterjesztésével. A szolgáltatásvégpontok lehetővé teszik, hogy a szolgáltatáserőforrások biztonságban legyenek a virtuális hálózaton, miközben az Azure gerinchálózatán optimalizált útválasztást tartanak fenn.
Hálózati hozzáférés-vezérlés: Szolgáltatáscímkék használatával engedélyezheti vagy tilthatja le az Azure-erőforrások felé a nyilvános IP-végpontok felé és onnan érkező forgalmat. A szolgáltatáscímkék részletes vezérlést biztosítanak a hálózati hozzáférés felett anélkül, hogy konkrét IP-címek ismerete szükséges.
Dedikált Azure-szolgáltatások üzembe helyezése virtuális hálózatokban
Ha dedikált Azure-szolgáltatásokat helyez üzembe egy virtuális hálózaton, privát IP-címeken keresztül privát módon kommunikálhat a szolgáltatás erőforrásaival.
Dedikált Azure-szolgáltatás üzembe helyezése a virtuális hálózatban a következő képességeket biztosítja:
A virtuális hálózaton belüli erőforrások privát IP-címeken keresztül kommunikálhatnak egymással. Például az adatok közvetlen átvitele a HDInsight és a virtuális hálózaton futó SQL Server között.
A helyszíni erőforrások privát IP-címekkel férhetnek hozzá a virtuális hálózatok erőforrásaihoz helyek közötti VPN-átjárón (VPN Gateway) vagy ExpressRoute-on keresztül.
A virtuális hálózatok társviszonyba hozhatók, így a virtuális hálózatok erőforrásai privát IP-címek használatával kommunikálhatnak egymással.
Az Azure szolgáltatás teljes mértékben felügyeli a virtuális hálózat szolgáltatáspéldányait. Ez a felügyelet magában foglalja az erőforrások állapotának monitorozását és a terheléses skálázást.
A szolgáltatáspéldányok egy virtuális hálózat alhálózatán vannak üzembe helyezve. Az alhálózat bejövő és kimenő hálózati hozzáférését hálózati biztonsági csoportokon keresztül kell megnyitni, a szolgáltatás útmutatása szerint.
Egyes szolgáltatások korlátozásokat vezetnek be az általuk üzembe helyezett alhálózatra. Ezek a korlátozások korlátozzák az ugyanazon alhálózaton belüli szabályzatok, útvonalak vagy virtuális gépek és szolgáltatási erőforrások kombinálását. Ellenőrizze az egyes szolgáltatásokkal az adott korlátozásokat, mivel ezek idővel változhatnak. Ilyen szolgáltatások például az Azure NetApp Files, a dedikált HSM, az Azure Container Instances és az App Service.
Szükség esetén a szolgáltatásokhoz szükség lehet egy delegált alhálózatra, mint egyértelmű azonosítóra, amely lehetővé teszi, hogy egy alhálózat egy adott szolgáltatást üzemeltessen. Az Azure-szolgáltatások kifejezett engedéllyel rendelkeznek a delegálással rendelkező delegált alhálózat szolgáltatásspecifikus erőforrásainak létrehozására.
Példa egy REST API-válaszra egy delegált alhálózattal rendelkező virtuális hálózaton. A delegált alhálózati modellt használó szolgáltatások átfogó listája az Elérhető delegálások API-val szerezhető be.
A virtuális hálózatokban üzembe helyezhető szolgáltatások
1 "Dedikált" azt jelenti, hogy ebben az alhálózatban csak szolgáltatásspecifikus erőforrások helyezhetők üzembe, és nem kombinálhatók ügyfélszintű virtuális gépekkel/virtuálisgép-kezelőkkel
2 Ajánlott eljárásként javasoljuk, hogy ezeket a szolgáltatásokat egy dedikált alhálózatban helyezze el, de ez nem kötelező követelmény a szolgáltatás számára.
Privát kapcsolat és privát végpontok
A privát végpontok biztonságosan engedélyezik a virtuális hálózatról az Azure-erőforrásokra érkező forgalom bejövő forgalmát. Ez a privát kapcsolat nyilvános IP-címek nélkül jön létre. A privát végpont egy speciális hálózati adapter egy Azure-szolgáltatáshoz a virtuális hálózaton. Amikor privát végpontot hoz létre az erőforráshoz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és az Azure-erőforrás között. A virtuális hálózat IP-címtartományából származó IP-cím a privát végponthoz van rendelve. A privát végpont és az Azure-szolgáltatás közötti kapcsolat egy privát kapcsolat.
Az ábrán a jobb oldalon egy Azure SQL Database látható cél PaaS-szolgáltatásként. A cél lehet bármely olyan szolgáltatás, amely támogatja a privát végpontokat. A logikai SQL Servernek több példánya is van több ügyfél számára, amelyek mind nyilvános IP-címeken érhetők el.
Ebben az esetben a logikai SQL Server egyik példánya privát végponttal van elérhetővé téve. A végpont elérhetővé teszi az SQL Servert egy privát IP-címen keresztül az ügyfél virtuális hálózatában. A DNS-konfiguráció változása miatt az ügyfélalkalmazás most közvetlenül az adott privát végpontra küldi a forgalmat. A célszolgáltatás a virtuális hálózat magánhálózati IP-címéről származó forgalmat látja.
A zöld nyíl a privát kapcsolatot jelöli. A privát végpont mellett továbbra is létezhet nyilvános IP-cím a célerőforráshoz. A nyilvános IP-címet az ügyfélalkalmazás már nem használja. A tűzfal mostantól letilthatja a nyilvános IP-címhez való hozzáférést, így az csak privát végpontokon keresztül érhető el. A virtuális hálózatból magánvégpont nélküli SQL-kiszolgálóval létesített kapcsolatok nyilvános IP-címről származnak. A kék nyíl ezt a folyamatot jelöli.
Az ügyfélalkalmazás általában EGY DNS-állomásnevet használ a célszolgáltatás eléréséhez. Nincs szükség módosításra az alkalmazásban. A virtuális hálózat DNS-feloldását úgy kell konfigurálni , hogy ugyanazt a gazdagépnevet az eredeti nyilvános IP-cím helyett a célerőforrás magánhálózati IP-címére oldja fel. Az ügyfél és a célszolgáltatás közötti privát elérési út esetén az ügyfél nem támaszkodik a nyilvános IP-címre. A célszolgáltatás kikapcsolhatja a nyilvános hozzáférést.
Az egyes példányok expozíciója lehetővé teszi az adatlopás megelőzését. A rosszindulatú szereplők nem tudnak adatokat gyűjteni az adatbázisból, és feltölteni egy másik nyilvános adatbázisba vagy tárfiókba. Az összes PaaS-szolgáltatás nyilvános IP-címéhez való hozzáférést megakadályozhatja. Továbbra is engedélyezheti a PaaS-példányok elérését a privát végpontjaikon keresztül.
További információ a privát kapcsolatról és a támogatott Azure-szolgáltatások listájáról: Mi a Private Link?
Szolgáltatásvégpontok
A szolgáltatásvégpontok biztonságos és közvetlen kapcsolatot biztosítanak az Azure-szolgáltatásokhoz az Azure gerinchálózatán keresztül. A végpontok lehetővé teszik az Azure-erőforrások védelmét csak a virtuális hálózatok számára. A szolgáltatásvégpontok lehetővé teszik, hogy a virtuális hálózaton lévő privát IP-címek elérjék az Azure-szolgáltatást kimenő nyilvános IP-cím nélkül.
Szolgáltatásvégpontok nélkül a virtuális hálózathoz való hozzáférés korlátozása kihívást jelenthet. A forrás IP-címe megváltozhat, vagy megosztható más ügyfelekkel. Például a paaS-szolgáltatások megosztott kimenő IP-címekkel. Szolgáltatásvégpontok esetén a célszolgáltatás által látott forrás IP-cím a virtuális hálózat magánhálózati IP-címévé válik. Ez a bejövő forgalom módosítása lehetővé teszi a forrás egyszerű azonosítását és használatát a megfelelő tűzfalszabályok konfigurálásához. Például csak egy adott alhálózatról érkező forgalom engedélyezése a virtuális hálózaton belül.
A szolgáltatásvégpontok esetében az Azure-szolgáltatások DNS-bejegyzései változatlanok maradnak, és továbbra is feloldhatók az Azure-szolgáltatáshoz rendelt nyilvános IP-címekre.
Az alábbi ábrán a jobb oldal ugyanaz a cél PaaS-szolgáltatás. A bal oldalon található egy ügyfél virtuális hálózata, amely két alhálózattal rendelkezik: az A alhálózathoz tartozik egy szolgáltatásvégpont Microsoft.Sql, a B alhálózat pedig, amely nem definiált szolgáltatásvégpontokat.
Amikor a B alhálózat egyik erőforrása megpróbál elérni egy SQL Servert, nyilvános IP-címet használ a kimenő kommunikációhoz. A kék nyíl ezt a forgalmat jelöli. Az SQL Server tűzfalának ezt a nyilvános IP-címet kell használnia a hálózati forgalom engedélyezéséhez vagy letiltásához.
Amikor az A alhálózat egy erőforrása megpróbál elérni egy adatbázis-kiszolgálót, a kapcsolat magánhálózati IP-címként lesz látható a virtuális hálózaton belülről. A zöld nyilak ezt a forgalmat jelölik. Az SQL Server tűzfala mostantól kifejezetten engedélyezheti vagy letilthatja az A alhálózatot. A forrásszolgáltatás nyilvános IP-címének ismerete szükségtelen.
A szolgáltatásvégpontok a célszolgáltatás összes példányára vonatkoznak. Például az Azure-ügyfelek összes SQL Server-példánya, nem csak az ügyfél példánya.
További információ: Virtuális hálózati szolgáltatásvégpontok
Szolgáltatáscímkék
A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. Szolgáltatáscímkék használatával hálózati hozzáférési vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy az Azure Firewallon. Engedélyezheti vagy letilthatja a szolgáltatás forgalmát. A forgalom engedélyezéséhez vagy letiltásához adja meg a szolgáltatáscímkét egy szabály forrás- vagy célmezőjében.
Hálózatelkülönítést érhet el, és megvédheti Azure-erőforrásait az internetről, miközben nyilvános végpontokkal rendelkező Azure-szolgáltatásokhoz fér hozzá. Hozzon létre bejövő/kimenő hálózati biztonsági csoportszabályokat az internetre és az internetről érkező forgalom letiltásához, valamint az AzureCloudba vagy onnan érkező forgalom engedélyezéséhez. További szolgáltatáscímkékért tekintse meg az egyes Azure-szolgáltatások elérhető szolgáltatáscímkéket .
Az őket támogató szolgáltatáscímkékről és Azure-szolgáltatásokról további információt a Szolgáltatáscímkék áttekintése című témakörben talál .
Privát végpontok és szolgáltatásvégpontok összehasonlítása
Note
A Microsoft az Azure Private Link használatát javasolja. A Private Link jobb képességeket kínál a PaaS helyszíni privát elérésére, beépített adatkiszivárgás elleni védelmet biztosít, és a szolgáltatásokat a saját hálózatában lévő magánhálózati IP-címekre rendeli. További információ: Azure Private Link.
Ahelyett, hogy csak a különbségeket nézzük, érdemes rámutatni arra, hogy a szolgáltatásvégpontok és a privát végpontok is közös jellemzőkkel rendelkeznek.
Mindkét funkció a célszolgáltatás tűzfalának részletesebb vezérlésére szolgál. Korlátozhatja például az SQL Server-adatbázisokhoz vagy tárfiókokhoz való hozzáférést. A művelet azonban mindkét esetben eltérő, ahogy az az előző szakaszokban részletesebben is ismertetjük.
Mindkét módszer elhárítja a forráshálózati címfordítás (SNAT) portkimerülésének problémáját. Kimerültséget tapasztalhat, ha hálózati virtuális berendezésen (NVA) vagy SNAT-portkorlátokkal rendelkező szolgáltatáson keresztül bújtat forgalmat. Szolgáltatásvégpontok vagy privát végpontok használata esetén a forgalom egy optimalizált útvonalat használ közvetlenül a célszolgáltatáshoz. Mindkét megközelítés előnyös lehet a sávszélesség-igényes alkalmazások számára, mivel a késés és a költségek is csökkennek.
Mindkét esetben továbbra is biztosíthatja, hogy a célszolgáltatásba irányuló forgalom hálózati tűzfalon vagy NVA-n haladjon át. Ez az eljárás mindkét megközelítés esetében eltérő. Szolgáltatásvégpontok használatakor a szolgáltatásvégpontot a tűzfal alhálózatán kell konfigurálnia, nem pedig azt az alhálózatot, ahol a forrásszolgáltatás üzembe van helyezve. Privát végpontok használata esetén a forrás alhálózaton egy felhasználó által megadott útvonalat (UDR) helyez el a privát végpont IP-címéhez. Nem a privát végpont alhálózatán.
A különbségek összehasonlításához és megértéséhez lásd az alábbi táblázatot.
| Consideration | Szolgáltatásvégpontok | Privát végpontok |
|---|---|---|
| Szolgáltatás hatóköre, amelyre a konfiguráció vonatkozik | Teljes szolgáltatás (például az összes ÜGYFÉL SQL Server- vagy Storage-fiókja) | Egyedi példány (például egy adott SQL Server-példány vagy a saját tárfiókja) |
| Beépített adatkiszivárgás elleni védelem – Adatok áthelyezése/másolása védett PaaS-erőforrásból más, nem védett PaaS-erőforrásba rosszindulatú bennfentes által | No | Yes |
| Privát hozzáférés a PaaS-erőforráshoz a helyszínen | No | Yes |
| A Service Accesshez szükséges NSG-konfiguráció | Igen (szolgáltatáscímkék használata) | No |
| A szolgáltatás nyilvános IP-cím használata nélkül is elérhető | No | Yes |
| Az Azure-ból Az Azure-ba történő forgalom az Azure gerinchálózatán marad | Yes | Yes |
| A szolgáltatás letilthatja a nyilvános IP-címét | No | Yes |
| Egyszerűen korlátozhatja az Azure-beli virtuális hálózatról érkező forgalmat | Igen (hozzáférés engedélyezése adott alhálózatokról és NSG-k használata) | Yes |
| Egyszerűen korlátozhatja a helyszínről (VPN/ExpressRoute) érkező forgalmat. | N/A** | Yes |
| DNS-módosításokra van szükség | No | Igen (lásd a DNS-konfigurációt) |
| Hatással van a megoldás költségeire | No | Igen (lásd a privát kapcsolat díjszabását) |
| Hatással van a megoldás összetett SLA-jára | No | Igen (maga a privát kapcsolat szolgáltatás 99,99%-os SLA-val rendelkezik) |
| Beállítás és karbantartás | Egyszerű beállítás kevesebb felügyeleti igénnyel | További erőfeszítésekre van szükség |
| Limits | A virtuális hálózat szolgáltatásvégpontjainak teljes száma nincs korlátozva. Az Azure-szolgáltatások korlátozhatják az erőforrás biztonságossá tételéhez használt alhálózatok számát. (lásd a virtuális hálózatra vonatkozó gyakori kérdéseket) | Igen (lásd a Privát kapcsolat korlátait) |
**A virtuális hálózatokhoz biztosított Azure-szolgáltatási erőforrások nem érhetőek el a helyszíni hálózatokról. Ha engedélyezni szeretné a helyszíni forgalmat, engedélyezze a nyilvános (általában NAT) IP-címeket a helyszíni vagy az ExpressRoute-ból. Ezek az IP-címek az Azure-szolgáltatás erőforrásaihoz tartozó IP-tűzfal konfiguráción keresztül adhatók hozzá. További információkért lásd a virtuális hálózatra vonatkozó gyakori kérdéseket.
Következő lépések
Megtudhatja, hogyan integrálhatja az alkalmazást egy Azure-hálózattal.
Megtudhatja, hogyan korlátozhatja az erőforrásokhoz való hozzáférést szolgáltatáscímkék használatával.
Megtudhatja, hogyan csatlakozhat privát módon egy Azure Cosmos DB-fiókhoz az Azure Private Linken keresztül.