可靠性和網路連線能力
網路連線包含三種用於私人網路連線的 Azure 模型:
VNet 插入適用于特別為您部署的服務,例如:
- Azure Kubernetes Service (AKS) 節點
- SQL 受控執行個體
- 虛擬機器
這些資源會直接連線到您的虛擬網路。
虛擬網路 (VNet) 服務端點提供與 Azure 服務的安全和直接連線。 這些服務端點會透過 Azure 網路使用優化的路由。 服務端點可讓 VNet 中的私人 IP 位址連線到 Azure 服務的端點,VNet 上不需要公用 IP 位址。
Private Link提供使用私人 IP 位址存取 Azure PaaS 實例的專用存取,或Azure Load Balancer Standard 背後的自訂服務。
設計考量
網路連線能力包括下列與可靠工作負載相關的設計考慮:
對於共用 Azure PaaS 服務,請使用 Private Link (如果有的話)。 Private Link一般適用于數個服務,且處於許多服務的公開預覽狀態。
透過 ExpressRoute 私人對等互連從內部部署存取 Azure PaaS 服務。
針對專用的 Azure 服務,請使用虛擬網路插入;對於可用的共享 Azure 服務,請使用 Azure Private Link。 若要在虛擬網路插入或 Private Link 無法使用時從內部部署存取 Azure PaaS 服務,請使用 ExpressRoute 搭配 Microsoft 對等互連。 此方法可避免透過公用網際網路傳輸。
使用虛擬網路服務端點,從虛擬網路內保護對 Azure PaaS 服務的存取。 只有在無法使用Private Link,且沒有未經授權移動資料的疑慮時,才使用虛擬網路服務端點。
服務端點不允許從內部部署網路存取 PaaS 服務。 私人端點會執行。
若要解決未經授權移動服務端點資料的問題,請使用網路虛擬裝置 (NVA) 篩選。 您也可以使用 Azure 儲存體的虛擬網路服務端點原則。
下列原生網路安全性服務是完全受控的服務。 客戶不會產生與基礎結構部署相關聯的作業和管理成本,這可能會大規模地變得複雜:
- Azure 防火牆
- 應用程式閘道
- Azure Front Door
PaaS 服務通常會透過公用端點存取。 Azure 平臺提供保護這些端點或讓端點完全私人的功能。
如果客戶偏好使用協力廠商網路虛擬裝置 (NVA) ,則客戶若不符合特定需求,您也可以使用協力廠商網路虛擬裝置。
檢查清單
您是否已設定具有可靠性的網路連線能力?
- 請勿實作強制通道,以啟用從 Azure 到 Azure 資源的通訊。
- 除非您使用網路虛擬裝置 (NVA) 篩選,否則當有未經授權的資料移動疑慮時,請勿使用虛擬網路服務端點。
- 請不要在所有子網路上預設啟用虛擬網路服務端點。