Azure 防火牆 案例,以檢查目的地為私人端點的流量
注意
如果您想要使用安全的虛擬中樞保護 Azure 虛擬 WAN 中私人端點的流量,請參閱 保護目的地為 Azure 虛擬 WAN 中私人端點的流量。
Azure 私人端點是 Azure Private Link 的基本建置組塊。 私人端點可讓部署在虛擬網路中的 Azure 資源與私人鏈接資源私下通訊。
私人端點允許資源存取虛擬網路中部署的私人連結服務。 透過虛擬網路對等互連和內部部署網路連線存取私人端點,可擴充連線能力。
您可能需要檢查或封鎖從用戶端到透過私人端點公開的服務流量。 使用 Azure 防火牆 或第三方網路虛擬設備來完成這項檢查。
適用下列限制:
網路安全組 (NSG) 流量會從私人端點略過,因為虛擬網路中的子網預設會停用網路原則。 若要使用使用者定義路由和網路安全組支援之類的網路原則,必須啟用子網的網路原則支援。 此設定僅適用於子網內的私人端點。 此設定會影響子網內的所有私人端點。 針對子網中的其他資源,會根據網路安全組中的安全性規則來控制存取權。
使用者定義路由 (UDR) 流量會從私人端點略過。 用戶定義的路由可用來覆寫目的地為私人端點的流量。
單一路由表可以附加至子網
路由表最多可支援 400 個路由
Azure 防火牆 使用下列其中一項篩選流量:
TCP 和 UDP 通訊協定的網路規則 中的 FQDN
HTTP、HTTPS 和 MSSQL 的應用程式規則 中的 FQDN。
重要
檢查目的地為私人端點的流量,以維持流量對稱性時,建議透過網路規則使用應用程式規則。 應用程式規則偏好透過網路規則來檢查目的地為私人端點的流量,因為 Azure 防火牆 一律會使用應用程式規則的 SNAT 流量。 若使用網路規則,或使用 NVA 而非 Azure 防火牆,則必須針對目的地為私人端點的流量設定 SNAT,以維持流量對稱。
注意
僅限 Proxy 模式支援 SQL FQDN 篩選(埠 1433)。 相較於重新導向,Proxy 模式可能會導致更多的延遲。 如果您想要繼續使用重新導向模式,這是 Azure 內連線之客戶端的預設值,您可以在防火牆網路規則中使用 FQDN 來篩選存取。
案例 1:中樞和輪輻架構 - 私人端點專用虛擬網路
此案例是使用私人端點私下連線到多個 Azure 服務的最可擴充架構。 指向建立私人端點之網路位址空間的路由。 此設定可減少系統管理額外負荷,並防止進入 400 個路由的限制。
如果虛擬網路已對等互連,連線 從用戶端虛擬網路到中樞虛擬網路中的 Azure 防火牆 會產生費用。 從中樞虛擬網路中的 Azure 防火牆 到對等互連虛擬網路中私人端點的 連線 不會收費。
如需與對等互連虛擬網路連線相關的費用詳細資訊,請參閱定價頁面的常見問題一節。
案例 2:中樞和輪輻架構 - 私人端點和虛擬機的共用虛擬網路
此案例會在下列情況下實作:
私人端點無法有專用的虛擬網路
使用私人端點在虛擬網路中只公開少數服務時
虛擬機具有指向每個私人端點的 /32 系統路由。 每個私人端點的一個路由會設定為透過 Azure 防火牆 路由傳送流量。
維護路由表的系統管理額外負荷隨著虛擬網路中公開服務而增加。 達到路線限制的可能性也會增加。
根據您的整體架構,可能會遇到 400 個路由限制。 建議您盡可能使用案例 1。
如果虛擬網路對等互連,則從用戶端虛擬網路到中樞虛擬網路中的 Azure 防火牆 連線 會產生費用。 從中樞虛擬網路中的 Azure 防火牆 到對等互連虛擬網路中私人端點的 連線 不會收費。
如需與對等互連虛擬網路連線相關的費用詳細資訊,請參閱定價頁面的常見問題一節。
案例 3:單一虛擬網路
當無法移轉至中樞和輪輻架構時,請使用此模式。 與案例 2 相同的考慮適用。 在此案例中,虛擬網路對等互連費用不適用。
案例 4:內部部署流量至私人端點
如果您已設定與內部部署網路的連線,可以使用下列任一項來實作此架構:
如果您的安全性需求需要透過私人端點公開的服務用戶端流量,才能透過安全性設備路由傳送,請部署此案例。
與上述案例 2 相同的考慮適用。 在此案例中,沒有虛擬網路對等互連費用。 如需如何設定 DNS 伺服器以允許內部部署工作負載存取私人端點的詳細資訊,請參閱 使用 DNS 轉寄站的內部部署工作負載。
下一步
在本文中,您已探索使用 Azure 防火牆 來限制虛擬機與私人端點之間流量的不同案例。
如需如何設定 Azure 防火牆 以檢查目的地為私人端點流量的教學課程,請參閱教學課程:使用 Azure 防火牆 檢查私人端點流量
若要深入瞭解私人端點,請參閱 什麼是 Azure 私人端點?。