Określanie użycia punktu końcowego usługi

  • 3 min

Punkt końcowy usługi sieci wirtualnej zapewnia tożsamość sieci wirtualnej w usłudze platformy Azure. Po włączeniu punktów końcowych usługi w sieci wirtualnej możesz zabezpieczyć zasoby usługi platformy Azure w sieci wirtualnej, dodając regułę sieci wirtualnej do zasobów.

Obecnie ruch usługi platformy Azure z sieci wirtualnej używa publicznych adresów IP jako źródłowych adresów IP. Dzięki punktom końcowym usługi ruch usługi jest przełączany na używanie prywatnych adresów sieci wirtualnej jako źródłowych adresów IP w przypadku uzyskiwania dostępu do usługi platformy Azure z sieci wirtualnej. Ten przełącznik umożliwia dostęp do usług bez konieczności używania zarezerwowanych publicznych adresów IP, które są zwykle używane w zaporach adresów IP.

Informacje o punktach końcowych usługi

Zapoznaj się z następującymi cechami punktów końcowych usługi.

  • Punkty końcowe usługi mogą rozszerzać tożsamość sieci wirtualnej na usługi platformy Azure w celu zabezpieczenia zasobów usługi.

  • Zasoby usługi platformy Azure można zabezpieczyć w sieci wirtualnej przy użyciu reguł sieci wirtualnej.

  • Reguły sieci wirtualnej mogą usuwać publiczny dostęp do Internetu do zasobów i zezwalać tylko na ruch z sieci wirtualnej.

  • Punkty końcowe usługi zawsze przyjmują ruch usługi bezpośrednio z sieci wirtualnej do usługi w sieci szkieletowej platformy Microsoft Azure.

  • Punkty końcowe usługi są konfigurowane za pośrednictwem podsieci. Do obsługi punktów końcowych nie jest wymagane żadne dodatkowe obciążenie.

Poniższa ilustracja przedstawia maszynę wirtualną łączącą się z usługą platformy Azure za pośrednictwem punktu końcowego usługi. Maszyna wirtualna w podsieci uzyskuje dostęp do konta usługi Azure Storage za pośrednictwem punktu końcowego usługi. Reguły sieci wirtualnej umożliwiają maszynie wirtualnej dostęp do zasobu usługi platformy Azure, ale nie komunikują się z Internetem.

Diagram of a virtual machine in a subnet connecting to an Azure service through a service endpoint.

Kwestie, które należy wziąć pod uwagę podczas korzystania z punktów końcowych usługi

Istnieje kilka scenariuszy, w których korzystanie z punktów końcowych usługi może być korzystne. Przejrzyj następujące kwestie i zastanów się, jak można zaimplementować punkty końcowe usługi w konfiguracji.

  • Rozważ lepsze zabezpieczenia zasobów. Zaimplementuj punkty końcowe usługi, aby zwiększyć bezpieczeństwo zasobów usługi platformy Azure. Gdy punkty końcowe usługi są włączone w sieci wirtualnej, zabezpieczasz zasoby usługi platformy Azure w sieci wirtualnej za pomocą reguł sieci wirtualnej. Reguła zwiększa bezpieczeństwo przez całkowite usunięcie publicznego dostępu do Internetu do zasobów i zezwolenie na ruch tylko z sieci wirtualnej.

  • Rozważ optymalny routing dla ruchu usług. Trasy w sieci wirtualnej, które wymuszają ruch internetowy do lokalnych lub sieciowych urządzeń wirtualnych, zwykle wymuszają również na ruch usługi platformy Azure taką samą trasę jak ruch internetowy. Ten proces sterowania ruchem jest nazywany tunelowaniem wymuszonym. Punkty końcowe usługi zapewniają optymalny routing dla ruchu usługi platformy Azure, aby umożliwić obejście wymuszonego tunelowania.

  • Rozważ bezpośredni ruch do sieci firmy Microsoft. Użyj punktów końcowych usługi, aby zachować ruch w sieci szkieletowej platformy Azure. Takie podejście umożliwia kontynuowanie inspekcji i monitorowania wychodzącego ruchu internetowego z sieci wirtualnych przez wymuszone tunelowanie bez wpływu na ruch usługi. Dowiedz się więcej na temat tras definiowanych przez użytkownika i tunelowania wymuszanego.

  • Rozważ łatwą konfigurację i konserwację. Konfigurowanie punktów końcowych usługi w podsieciach w celu prostej instalacji i niskiej konserwacji. Nie potrzebujesz już zarezerwowanych publicznych adresów IP w sieciach wirtualnych, aby zabezpieczyć zasoby platformy Azure za pośrednictwem zapory adresów IP. Do skonfigurowania punktów końcowych usługi nie jest wymagany translator adresów sieciowych ani urządzenie bramy.

Uwaga

W przypadku punktów końcowych usługi adresy IP maszyny wirtualnej przełączają się z publicznych na prywatne adresy IPv4. Istniejące reguły zapory usługi platformy Azure korzystające z publicznych adresów IP platformy Azure przestają działać po przełączeniu. Przed skonfigurowaniem punktów końcowych usługi upewnij się, że reguły zapory usługi platformy Azure zezwalają na ten przełącznik. Podczas konfigurowania punktów końcowych usługi mogą wystąpić również tymczasowe przerwy w działaniu ruchu usługi z tej podsieci.