Azure Depolama için sanal ağ hizmet uç noktası ilkeleri
Sanal Ağ hizmet uç noktası ilkeleri, çıkış sanal ağ trafiğini hizmet uç noktası üzerinden Azure Depolama hesaplarına filtrelemenize ve yalnızca belirli Azure Depolama hesaplarına veri sızdırmaya izin vermenizi sağlar. Uç nokta ilkeleri, hizmet uç noktası üzerinden bağlanırken Azure Depolama sanal ağ trafiği için ayrıntılı erişim denetimi sağlar.
Bu özellik genel olarak tüm genel Azure bölgelerinde Azure Depolama kullanılabilir.
Temel avantajlar
Sanal ağ hizmet uç noktası ilkeleri aşağıdaki avantajları sağlar:
Azure Depolama'a Sanal Ağ trafiğiniz için geliştirilmiş güvenlik
Ağ güvenlik grupları için Azure hizmet etiketleri, sanal ağ giden trafiğini belirli Azure Depolama bölgelerine kısıtlamanıza olanak tanır. Ancak bu işlem, seçilen Azure Depolama bölgesindeki herhangi bir hesaba gelen trafiğe izin verir.
Uç nokta ilkeleri, sanal ağ giden erişimine izin verilen ve erişimi diğer tüm depolama hesaplarıyla kısıtlayan Azure Depolama hesaplarını belirtmenize olanak tanır. Bu işlem, sanal ağınızdan veri sızdırmayı korumak için çok daha ayrıntılı güvenlik denetimi sağlar.
Azure hizmet trafiğini filtrelemek için ölçeklenebilir, yüksek kullanılabilirliğe sahip ilkeler
Uç nokta ilkeleri, hizmet uç noktaları üzerinden sanal ağlardan gelen Azure hizmeti trafiğini filtrelemek için yatay olarak ölçeklenebilir, yüksek kullanılabilirliğe sahip bir çözüm sağlar. Sanal ağlarınızda bu trafik için merkezi ağ gereçlerinin bakımını yapmak için ek yük gerekmez.
Hizmet Uç Noktası ilkeleri için JSON Nesnesi
Şimdi Hizmet Uç Noktası İlkesi nesnesine hızlıca göz atalım.
"serviceEndpointPolicyDefinitions": [
{
"description": null,
"name": "MySEP-Definition",
"resourceGroup": "MySEPDeployment",
"service": "Microsoft.Storage",
"serviceResources": [
"/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
],
"type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
}
]
Yapılandırma
Sanal ağ trafiğini belirli Azure Depolama hesaplarıyla kısıtlamak için uç nokta ilkelerini yapılandırabilirsiniz.
Uç nokta ilkesi bir sanal ağ içindeki alt ağ üzerinde yapılandırılır. İlkenin uygulanması için alt ağda Azure Depolama hizmet uç noktaları etkinleştirilmelidir.
Uç nokta ilkesi, resourceID biçimini kullanarak izin verilenler listesine belirli Azure Depolama hesaplarını eklemenize olanak tanır. Erişimi şu şekilde kısıtlayabilirsiniz:
Abonelikteki tüm depolama hesapları
E.g. /subscriptions/subscriptionId
Kaynak grubundaki tüm depolama hesapları
E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName
İlgili Azure Resource Manager resourceId değerini listeleyerek tek bir depolama hesabı. Bu bloblara, tablolara, kuyruklara, dosyalara ve Azure Data Lake Storage 2. Nesil'e yönelik trafiği kapsar.
E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName
Varsayılan olarak, uç noktaları olan bir alt ağa hiçbir ilke eklenmemişse, hizmetteki tüm depolama hesaplarına erişebilirsiniz. Alt ağda bir ilke yapılandırıldıktan sonra, o alt ağdaki işlem örneklerinden yalnızca ilkede belirtilen kaynaklara erişilebilir. Diğer tüm depolama hesaplarına erişim reddedilir.
Bir alt ağa Hizmet Uç Noktası ilkeleri uygulandığında, Azure Depolama Hizmet Uç Noktası kapsamı bölgeselden genele yükseltilir. Bu işlem, azure Depolama tüm trafiğin bundan sonra hizmet uç noktası üzerinden güvenli hale getirildiğini gösterir. Hizmet uç noktası ilkeleri genel olarak da geçerlidir. Açıkça izin verilmeyen tüm depolama hesaplarına erişim reddedilir.
Bir alt ağa birden çok ilke uygulayabilirsiniz. Alt ağ ile birden çok ilke ilişkilendirildiğinde, bu ilkelerden herhangi birinde belirtilen kaynaklara sanal ağ trafiğine izin verilir. İlkelerin hiçbirinde belirtilmeyen diğer tüm hizmet kaynaklarına erişim reddedilir.
Dekont
Hizmet uç noktası ilkeleri izin verme ilkeleridir, bu nedenle belirtilen kaynakların dışında diğer tüm kaynaklar kısıtlanır. Lütfen uygulamalarınız için tüm hizmet kaynağı bağımlılıklarının tanımlandığından ve ilkede listelendiğinden emin olun.
Uç nokta ilkesinde yalnızca Azure Dağıtım Modeli'ni kullanan depolama hesapları belirtilebilir. Klasik Azure Depolama hesapları Azure Hizmet Uç Noktası İlkelerini desteklemez.
Birincil hesap listeleniyorsa RA-GRS ikincil erişimine otomatik olarak izin verilir.
Depolama hesapları sanal ağ ile aynı veya farklı bir abonelikte ya da Microsoft Entra kiracısında olabilir.
Senaryolar
Eşleştirilmiş, bağlı veya birden çok sanal ağ: Eşleştirilmiş sanal ağlarda trafiği filtrelemek için, uç nokta ilkelerinin bu sanal ağlara tek tek uygulanması gerekir.
Ağ Gereçleri veya Azure Güvenlik Duvarı ile İnternet trafiğini filtreleme: Azure hizmet trafiğini ilkelerle, hizmet uç noktaları üzerinden filtreleyin ve gereçler veya Azure Güvenlik Duvarı aracılığıyla İnternet veya Azure trafiğinin kalan kısmını filtreleyin.
Sanal Ağ'lere dağıtılan Azure hizmetlerindeki trafiği filtreleme: Şu anda, sanal ağınıza dağıtılan yönetilen Azure hizmetleri için Azure Hizmet Uç Noktası İlkeleri desteklenmez.
Şirket içinden Azure hizmetlerine yönelik trafiği filtreleme: Hizmet uç noktası ilkeleri yalnızca ilkelerle ilişkilendirilmiş uç noktalardan gelen trafiğe uygulanır. Şirket içinden belirli Azure hizmet kaynaklarına yönelik trafiğe izin vermek için, trafiğin ağ sanal cihazları veya güvenlik duvarları kullanılarak filtrelenmesi gerekir.
Günlüğe kaydetme ve sorun giderme
Hizmet uç noktası ilkelerinde hiçbir merkezi günlük sağlanmaz. Hizmet kaynak günlükleri için bkz . Hizmet uç noktalarını günlüğe kaydetme.
Sorun giderme senaryoları
Önizlemede çalışan depolama hesaplarına erişim reddedildi (coğrafi olarak eşleştirilmiş bölgede değil)
Azure Depolama Genel Hizmet Etiketlerini kullanacak şekilde yükseltildiğinde, Hizmet Uç Noktası ve dolayısıyla Hizmet Uç Noktası ilkelerinin kapsamı artık Genel olarak belirlenmiştir. Bu nedenle Azure Depolama trafiği Hizmet Uç Noktaları üzerinden şifrelenir ve yalnızca ilkede açıkça listelenen Depolama hesaplarına erişim izni verilir.
Erişimi geri yüklemek için gerekli tüm Depolama hesaplarını açıkça izin verilenler listesine ekleyin.
Azure desteğine başvurun.
Uç nokta ilkelerinde listelenen hesaplar için erişim reddedildi
Ağ güvenlik grupları veya güvenlik duvarı filtrelemesi erişimi engelliyor olabilir
İlkenin kaldırılması/yeniden uygulanması bağlantı kaybına yol açıyorsa:
Azure hizmetinin uç noktalar üzerinden sanal ağdan erişime izin verecek şekilde yapılandırıldığını veya kaynak için varsayılan ilkenin Tümüne İzin Ver olarak ayarlandığını doğrulayın.
Hizmet tanılamalarında uç noktalar üzerinden trafiğin gösterildiğini doğrulayın.
Ağ güvenlik grubu akış günlüklerinde erişimin gösterilip gösterilmediğini ve depolama günlüklerinde beklendiği gibi hizmet uç noktaları üzerinden erişimin gösterilip gösterilmediğini denetleyin.
Azure desteğine başvurun.
Hizmet uç noktası ilkelerinde listelenmeyen hesaplar için erişim reddedildi
Azure Depolama'ın uç noktalar üzerinden sanal ağdan erişime izin verecek şekilde yapılandırılıp yapılandırılmadığını veya kaynağın varsayılan ilkesinin Tümüne İzin Ver olarak ayarlanıp ayarlanmadığını doğrulayın.
Alt ağda hizmet uç noktası ilkeleri olan hesapların klasik depolama hesapları olmadığından emin olun.
Yönetilen Azure Hizmeti, alt ağ üzerinden Hizmet Uç Noktası İlkesi uygulandıktan sonra çalışmayı durdurdu
- Azure SQL Yönetilen Örneği dışındaki yönetilen hizmetler şu anda hizmet uç noktalarıyla desteklenmemektedir.
Yönetilen Depolama Hesaplarına Erişim, alt ağ üzerinden Hizmet Uç Noktası İlkesi uygulandıktan sonra çalışmayı durdurdu
- Yönetilen Depolama Hesapları hizmet uç noktası ilkeleriyle desteklenmez. Yapılandırılırsa, ilkeler varsayılan olarak tüm Yönetilen Depolama Hesaplarına erişimi reddeder. Uygulamanızın Yönetilen Depolama Hesaplarına erişmesi gerekiyorsa, bu trafik için uç nokta ilkeleri kullanılmamalıdır.
Hazırlanıyor
Sanal ağa yazma erişimi olan bir kullanıcı, alt ağlarda hizmet uç noktası ilkelerini yapılandırıyor. Azure yerleşik rolleri ve özel rollere belirli izinlerin atanması hakkında daha fazla bilgi edinin.
Sanal ağlar ve Azure Depolama hesapları aynı veya farklı aboneliklerde ya da Microsoft Entra kiracılarında olabilir.
Sınırlamalar
Hizmet uç noktası ilkelerini yalnızca Azure Resource Manager dağıtım modeli üzerinden dağıtılmış olan sanal ağlarda dağıtabilirsiniz.
Sanal ağların hizmet uç noktası ilkesiyle aynı bölgede bulunması gerekir.
Hizmet uç noktası ilkesini bir alt ağa uygulayabilmeniz için, ilkede listelenen Azure hizmetleri için hizmet uç noktalarının yapılandırılmış olması gerekir.
Şirket içi ağınızdan Azure hizmetlerine yönelik trafik için hizmet uç noktası ilkelerini kullanamazsınız.
Azure SQL Yönetilen Örneği dışındaki Azure yönetilen hizmetleri şu anda uç nokta ilkelerini desteklemez. Bu sınırlama paylaşılan alt ağlara (Azure Batch, Microsoft Entra Domain Services, Azure Uygulaması lication Gateway, Azure VPN Gateway, Azure Güvenlik Duvarı gibi) veya ayrılmış alt ağlara (Azure Uygulaması Hizmet Ortamı, Azure Redis Cache, Azure API Management, klasik yönetilen gibi) dağıtılan yönetilen hizmetleri içerir hizmetleri) seçin.
Uyarı
Sanal ağınıza dağıtılan Azure HDInsight gibi Azure hizmetleri, altyapı gereksinimlerinden dolayı Azure Depolama gibi diğer Azure hizmetlerine erişir. Uç nokta ilkesini belirli kaynaklarla kısıtlamak, sanal ağınızda dağıtılan Azure hizmetleri için bu altyapı kaynaklarına erişimi kesebilir.
- Klasik depolama hesapları uç nokta ilkelerinde desteklenmez. İlkeler varsayılan olarak tüm klasik depolama hesaplarına erişimi reddeder. Uygulamanızın Azure Resource Manager ve klasik depolama hesaplarına erişmesi gerekiyorsa, bu trafik için uç nokta ilkeleri kullanılmamalıdır.
Fiyatlandırma ve limitler
Hizmet uç noktası ilkelerini kullanmak için ek ücret alınmaz. Hizmet uç noktaları üzerinden Azure hizmetleri (Azure Depolama gibi) için güncel fiyatlandırma modeli uygulanır.
Hizmet uç noktası ilkelerinde aşağıdaki limitler zorunlu tutulur:
Kaynak | Varsayılan limit |
---|---|
ServiceEndpointPoliciesPerSubscription | 500 |
ServiceEndpointPoliciesPerSubnet | 100 |
ServiceEndpointPoliciesPerVirtualNetwork | 100 |
ServiceResourcesPerServiceEndpointPolicyDefinition | 200 |
Sonraki Adımlar
Sanal ağ hizmet uç noktası ilkelerini nasıl yapılandıracağınızı öğrenin
Sanal Ağ Hizmet Uç Noktaları hakkında daha fazla bilgi edinin
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin