Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller rekommenderade anslutningsmetoder för användning av Azure PaaS-tjänster.
Designöverväganden
Azure PaaS-tjänster används i sin standardkonfiguration vanligtvis via offentligt tillgängliga slutpunkter via Microsofts globala nätverk. Vissa kunder kan ha krav på att minska användningen av offentliga slutpunkter, därför tillhandahåller Azure-plattformen valfria funktioner för att skydda dessa slutpunkter eller till och med göra dem helt privata.
Vissa PaaS-tjänster tillåter begränsningar för offentlig åtkomst baserat på resursinstanssystemtilldelad hanterad identitet, t.ex. Azure Storage
Många PaaS-tjänster tillåter begränsningar för offentlig åtkomst baserat på betrodda Azure-tjänster , t.ex. Azure Container Registry
Virtuell nätverksinmatning tillhandahåller dedikerade privata distributioner för tjänster som stöds. Trafik på hanteringsplanet flödar fortfarande via offentliga IP-adresser.
Vissa PaaS-tjänster är kompatibla med Azure Private Link som ger privat åtkomst via en IP-adress inom en kund. Mer information finns i Viktiga fördelar med Private Link.
Tjänstslutpunkter för virtuellt nätverk ger åtkomst på tjänstnivå från valda undernät till valda PaaS-tjänster. Azure Storage erbjuder tjänstslutpunktsprinciper som gör det möjligt att ytterligare begränsa användningen av tjänstslutpunkter till ett specifikt lagringskonto. Du kan också använda NVA (Network Virtual Appliances) för att utföra Layer-7-inspektion och FQDN-filtrering i kombination med tjänstslutpunkter, men den här metoden har ytterligare prestanda- och skalningsöverväganden.
Vad är skillnaden mellan tjänstslutpunkter och privata slutpunkter? ger en förklaring av skillnaderna mellan Private Link-slutpunkter och VNet-tjänstslutpunkter.
Designrekommendationer
För Azure PaaS-tjänster som stöder inmatning av virtuella nätverk kan du överväga att aktivera inmatningsfunktionen för virtuella nätverk om du behöver åtkomst till resurser i ditt privata nätverk (antingen virtuella nätverk eller lokalt via en virtuell nätverksgateway). Tänk också på att de här tjänsterna som matas in i ett virtuellt nätverk fortfarande utför hanteringsplanåtgärder med hjälp av tjänstspecifika offentliga IP-adresser. Anslutningen måste garanteras för att tjänsten ska fungera korrekt. Använd UDR och NSG:er för att låsa den här kommunikationen i det virtuella nätverket. Du kan använda tjänsttaggar i UDR för att minska antalet nödvändiga vägar och åsidosätta standardvägar om de används.
När dataexfiltreringsskydd och användning av endast privata IP-adresser är fasta krav bör du överväga att använda Azure Private Link där det är tillgängligt.
Överväg att använda tjänstslutpunkter för virtuella nätverk för att skydda åtkomsten till Azure PaaS-tjänster inifrån ditt virtuella nätverk i scenarier där dataexfiltrering är mindre oroande, Private Link är inte tillgänglig eller om du har ett krav på stora datamängder som kräver kostnadsoptimering. (Azure-tjänstslutpunkter medför inga kostnader, till skillnad från Azure Private Link som innehåller en kostnadskomponent baserat på per GB nätverksdata).
Om åtkomst till Azure PaaS-tjänster krävs lokalt använder du följande alternativ:
- Använd PaaS-tjänstens offentliga standardslutpunkt via Internet och Microsoft Global Network om ingen privat åtkomst krävs och den lokala Internetbandbredden räcker.
- Använd en privat hybridanslutning (ExpressRoute med privat peering eller plats-till-plats-VPN) med antingen virtuell nätverksinmatning eller Azure Private Link.
Aktivera inte tjänstslutpunkter för virtuella nätverk som standard i alla undernät. Följ ovanstående metod från fall till fall beroende på tillgängligheten för PaaS-tjänstens funktioner och dina egna prestanda- och säkerhetskrav.
Undvik om möjligt användning av tvingad tunneltrafik (dirigera Internetbunden trafik från ett virtuellt Azure-nätverk via lokalt genom att annonsera en standardväg via en privat hybridanslutning) eftersom detta kan öka komplexiteten i att hantera kontrollplansåtgärder med vissa Azure PaaS-tjänster, t.ex. Application Gateway V2.