A virtuális hálózati szolgáltatásvégpontok ismertetése
ERP-rendszerének meglévő alkalmazás- és adatbázis-kiszolgálóit virtuális gépekként migrálta az Azure-ba. Most az Azure szolgáltatásként nyújtott platformjainak (PaaS) használatát fontolgatja a költségek és a felügyeleti követelmények csökkentése érdekében. A tárolási szolgáltatásokat bizonyos nagy méretű fájlobjektumok, például mérnöki diagramok tárolására fogja használni. Ezek a mérnöki diagramok védett információkkal rendelkeznek, és biztonságosnak kell lenniük a jogosulatlan hozzáférés ellen. Ezek a fájlok csak adott rendszerekből lehetnek elérhetők.
Ebben a leckében megtudhatja, hogyan használhatja a virtuális hálózati szolgáltatásvégpontokat a támogatott Azure-szolgáltatások védelmére.
Mi az a virtuális hálózati szolgáltatásvégpont?
A virtuális hálózat (VNet) szolgáltatásvégpontja biztonságos és közvetlen kapcsolatot biztosít az Azure-szolgáltatásokhoz egy optimalizált útvonalon keresztül az Azure gerinchálózatán keresztül. A végpontok segítségével biztosíthatja, hogy kritikus fontosságú Azure-szolgáltatási erőforrásai csak a virtuális hálózatain legyenek elérhetőek. A szolgáltatásvégpontok lehetővé teszik a virtuális hálózat magánhálózati IP-címeinek használatát egy Azure-szolgáltatás végpontjának eléréséhez anélkül, hogy a virtuális hálózatnak nyilvános IP-címet kellene használnia.
Az Azure-szolgáltatások alapértelmezés szerint közvetlen internet-hozzáféréshez lettek tervezve. Minden Azure-erőforrás rendelkezik nyilvános IP-címmel, beleértve a PaaS-szolgáltatásokat (pl. Azure SQL Database és Azure Storage). Mivel ezek a szolgáltatások elérhetők az interneten, bárki hozzáférhet az Ön Azure-szolgáltatásaihoz.
A szolgáltatásvégpontok bizonyos PaaS-szolgáltatásokat közvetlenül csatlakoztatni tudnak az Azure-beli magáncímtartományhoz, ezért úgy működnek, mintha ugyanazon a virtuális hálózaton lennének. A PaaS-szolgáltatások közvetlen eléréséhez a saját magáncímtartományát használja. Ha szolgáltatásvégpontokat ad hozzá, azzal nem távolítja el a nyilvános végpontot. Ezzel egyszerűen csak átirányítja a forgalmat.
Felkészülés a szolgáltatásvégpontok implementálására
A szolgáltatásvégpont engedélyezéséhez a következő két dolgot kell elvégeznie:
- Tiltsa le a szolgáltatáshoz való nyilvános hozzáférést.
- Adja hozzá a szolgáltatásvégpontot egy virtuális hálózathoz.
Szolgáltatásvégpont engedélyezésekor korlátozhatja a forgalom áramlását, és engedélyezheti az Azure-beli virtuális gépek számára, hogy közvetlenül a privát címtérről érhessék el a szolgáltatást. Az eszközök nyilvános hálózaton keresztül nem férhetnek hozzá a szolgáltatáshoz. Egy üzembe helyezett virtuális gép virtuális hálózati adapterén, ha az érvényes útvonalakat tekinti meg, a szolgáltatásvégpontot fogja látni következő ugrástípusként.
Ez egy példaútmutató-táblázat egy szolgáltatásvégpont engedélyezése előtt:
| FORRÁS | ÁLLAMI | CÍMELŐTAGOK | KÖVETKEZŐ UGRÁS TÍPUSA |
|---|---|---|---|
| Alapértelmezett | Aktív | 10.1.1.0/24 | Virtuális hálózat |
| Alapértelmezett | Aktív | 0.0.0.0./0 | Internet |
| Alapértelmezett | Aktív | 10.0.0.0/8 | Egyik sem |
| Alapértelmezett | Aktív | 100.64.0.0./ | Egyik sem |
| Alapértelmezett | Aktív | 192.168.0.0/16 | Egyik sem |
Íme egy példaútmutató-táblázat, miután két szolgáltatásvégpontot adott hozzá a virtuális hálózathoz:
| FORRÁS | ÁLLAMI | CÍMELŐTAGOK | KÖVETKEZŐ UGRÁS TÍPUSA |
|---|---|---|---|
| Alapértelmezett | Aktív | 10.1.1.0/24 | Virtuális hálózat |
| Alapértelmezett | Aktív | 0.0.0.0./0 | Internet |
| Alapértelmezett | Aktív | 10.0.0.0/8 | Egyik sem |
| Alapértelmezett | Aktív | 100.64.0.0./ | Egyik sem |
| Alapértelmezett | Aktív | 192.168.0.0/16 | Egyik sem |
| Alapértelmezett | Aktív | 20.38.106.0/23, 10 további | VirtualNetworkServiceEndpoint |
| Alapértelmezett | Aktív | 20.150.2.0/23, 9 további | VirtualNetworkServiceEndpoint |
A szolgáltatás összes forgalma a virtuális hálózati szolgáltatásvégpontra lesz irányítva, és belső marad az Azure-ba.
Szolgáltatásvégpontok létrehozása
Hálózati mérnökként azt tervezi, hogy bizalmas mérnöki diagramfájlokat helyez át az Azure Storage-ba. A fájlok csak a vállalati hálózaton belüli számítógépek számára lehetnek elérhetők. Létre szeretne hozni egy virtuális hálózati szolgáltatásvégpontot az Azure Storage-hoz, hogy biztonságossá tegye a tárfiókjaihoz való kapcsolódást.
A szolgáltatásvégpont-oktatóanyagban megtanulhatja, hogyan:
- Szolgáltatásvégpont engedélyezése alhálózaton
- Hálózati szabályok használata az Azure Storage-hoz való hozzáférés korlátozásához
- Virtuális hálózati szolgáltatásvégpont létrehozása az Azure Storage szolgáltatáshoz
- Ellenőrizze, hogy a hozzáférés megfelelően van-e megtagadva
Szolgáltatáscímkék konfigurálása
A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét.
A szolgáltatáscímkék használatával hálózati hozzáférés-vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy az Azure Firewallon. Biztonsági szabályok létrehozása során használjon szolgáltatáscímkéket az egyes IP-címek helyett. A szabály megfelelő forrás- vagy célmezőjében a szolgáltatáscímke nevének (például API Management) megadásával engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát.
2021 márciusától a szolgáltatáscímkéket is használhatja explicit IP-tartományok helyett a felhasználó által megadott útvonalakon. Ez a funkció jelenleg nyilvános előzetes verzióban érhető el.
Szolgáltatáscímkék használatával hálózatelkülönítést érhet el, és megvédheti Azure-erőforrásait az általános internettől, miközben nyilvános végpontokkal rendelkező Azure-szolgáltatásokhoz férhet hozzá. Hozzon létre bejövő/kimenő hálózati biztonsági csoportszabályokat az internet felé vagy onnan érkező forgalom letiltásához, valamint az AzureCloudba vagy adott Azure-szolgáltatások egyéb elérhető szolgáltatáscímkékbe irányuló vagy onnan érkező forgalom engedélyezéséhez.
Elérhető szolgáltatáscímkék
Az alábbi táblázat tartalmazza a hálózati biztonsági csoport szabályaiban használható összes szolgáltatáscímkét.
Az oszlopok jelzik, hogy a címke:
- A bejövő vagy kimenő forgalmat lefedő szabályokhoz alkalmas.
- Támogatja a regionális hatókört.
- Használható az Azure Firewall szabályaiban.
Alapértelmezés szerint a szolgáltatáscímkék a teljes felhő tartományait tükrözik. Egyes szolgáltatáscímkék részletesebb szabályozást is lehetővé teszik, ha a megfelelő IP-tartományokat egy adott régióra korlátozza. A Storage szolgáltatáscímke például az Azure Storage-t jelöli a teljes felhőben, de a Storage-t. A WestUS a tartományt csak a WestUS-régió tárolási IP-címtartományára szűkíti. Az alábbi táblázat azt jelzi, hogy az egyes szolgáltatáscímkék támogatják-e az ilyen regionális hatókört.
Az Azure-szolgáltatások szolgáltatáscímkék a használt felhő címelőtagjainak jelölését jelzik. Az Azure Nyilvános felhőBEN az SQL-címke értékének megfelelő mögöttes IP-tartományok például eltérnek az Azure China-felhő mögöttes tartományaitól.
Ha virtuális hálózati szolgáltatásvégpontot implementál egy szolgáltatáshoz, például az Azure Storage-hoz vagy az Azure SQL Database-hez, az Azure hozzáad egy útvonalat a szolgáltatáshoz tartozó virtuális hálózati alhálózathoz. Az útvonal címelőtagjai ugyanazok a címelőtagok vagy CIDR-tartományok, mint a megfelelő szolgáltatáscímkéké.