使用虛擬網路檢查安全通訊

  • 10 分鐘

Azure 虛擬網路是可在 Azure 中為私人網路提供基本建置組塊的服務。 此服務的執行個體 (虛擬網路) 可讓多種類型的 Azure 資源與其他 Azure 資源、網際網路和內部部署網路安全地進行通訊。 這些 Azure 資源包括虛擬機器 (VM)。

虛擬網路類似於您在自己的資料中心操作的傳統網路。 但其帶來了 Azure 基礎結構的其他優點,例如規模、可用性和隔離。

您可以使用虛擬網路完成的主要案例包括:

  • Azure 資源與網際網路的通訊。
  • Azure 資源之間的通訊。
  • 與內部部署資源的通訊。
  • 網路流量的篩選。
  • 網路流量的路由。
  • 與 Azure 服務整合。

與因特網通訊

在預設情況下,虛擬網路中的所有資源都能夠向外與網際網路進行通訊。 您也可以使用公用IP位址、NAT閘道或公用負載平衡器來管理輸出連線。 您可以透過指派公用 IP 位址或公用負載平衡器來向內與某個資源進行通訊。

當您只使用內部標準負載平衡器時,無法使用出口連線,直到您定義如何使用實例層級公用IP位址或公用負載平衡器來實現出口連線。

在 Azure 資源之間通訊

Azure 資源會以下列其中一種方式安全地彼此通訊:

  • 虛擬網路:您可以在虛擬網路中部署 VM 和其他類型的 Azure 資源。 資源的範例包括 App Service 環境、Azure Kubernetes Service (AKS)和 Azure 虛擬機器擴展集。

  • 虛擬網路服務端點:您可以透過直接連線,將虛擬網路的私人位址空間和虛擬網路的身分識別延伸至 Azure 服務資源。 資源的範例包括 Azure 儲存體帳戶和 Azure SQL Database。 服務端點讓您能夠保護只屬於虛擬網路的重要 Azure 服務資源。

  • 虛擬網路對等互連:您可以使用虛擬對等互連將虛擬網路彼此連線。 然後,兩個虛擬網路中的資源便可以彼此通訊。 您所連線的虛擬網路可位於相同或不同的 Azure 區域。

與內部部署資源通訊

您可以使用下列任何選項,將內部部署電腦和網路連線到虛擬網路:

  • 點對站虛擬專用網 (VPN):在虛擬網路與網路中單一計算機之間建立。 每部想要與虛擬網路建立連線的計算機都必須設定其連線。 如果您剛開始使用 Azure,或者您是開發人員,這種連線類型會很實用,因為這幾乎不需要變更現有網路。 您的電腦和虛擬網路間的通訊,會透過網際網路上的加密通道來傳送。

  • 站對站 VPN:在內部部署 VPN 裝置與部署在虛擬網路中的 Azure VPN 閘道之間建立。 這種連線類型可讓您授權的任何內部部署資源存取虛擬網路。 您的內部部署 VPN 裝置與 Azure VPN 閘道之間的通訊,會透過網際網路上的加密通道來傳送。

  • Azure ExpressRoute:透過 ExpressRoute 合作夥伴在網路與 Azure 之間建立。 此連線為私人連線。 流量不會經過網際網路。

篩選網路流量

您可以使用下列任一選項 (或兩個選項都使用) 來篩選子網路之間的網路流量:

  • 網路安全組:網路安全組和應用程式安全組可以包含多個輸入和輸出安全性規則。 這些規則可讓您根據來源和目的地 IP 位址、連接埠和通訊協定篩選往來資源的流量。

  • 網路虛擬設備:網路虛擬設備是執行網路功能的 VM,例如防火牆或 WAN 優化。 若要檢視可在虛擬網路中部署的可用網路虛擬設備清單,請移至 Azure Marketplace。

路由網路流量

依預設,Azure 會在子網路、已連線的虛擬網路、內部部署網路與網際網路之間路由傳送流量。 您可以實作下列任一選項 (或兩個選項都實作) 來覆寫 Azure 所建立的預設路由:

  • 路由表:您可以建立自定義路由表,以控制每個子網的流量路由傳送至何處。

  • 邊界閘道通訊協定 (BGP) 路由:如果您使用 Azure VPN 閘道或 ExpressRoute 連線將虛擬網路連線到內部部署網路,您可以將內部部署 BGP 路由傳播至虛擬網路。

與 Azure 服務整合

將 Azure 服務與 Azure 虛擬網路進行整合,便能透過虛擬機器或虛擬網路中的計算資源對服務進行私人存取。 您可以針對這項整合使用下列選項:

  • 將服務的專用實例部署至虛擬網路。 這樣一來,就能在虛擬網路和內部部署網路中私下存取這些服務。

  • 使用 Azure Private Link 從虛擬網路和內部部署網路私下存取服務的特定實例。

  • 透過公用端點存取服務,方法是透過服務端點將虛擬網路延伸至服務。 服務端點可確保服務資源受到虛擬網路保護。

您可以將虛擬網路私人IP位址指派給登錄端點,並使用 Azure Private Link 來限制登錄的存取。 虛擬網路上的用戶端與登錄的私人端點之間的網路流量,會周遊虛擬網路和 Microsoft 骨幹網路上的私人連結,以免暴露在公用網際網路上。 Private Link 也可透過 Azure ExpressRoute、私人對等互連或 VPN 閘道,而讓您能夠從內部部署環境進行私人的登錄存取。

您可以針對登錄的私人端點進行 DNS 設定,讓這些設定解析為登錄所配置的私人 IP 位址。 透過 DNS 設定,網路中的用戶端和服務可以繼續存取位於登錄完整網域名稱的登錄,例如 myregistry.azurecr.io

備註

私人端點組態可在 進階 容器登錄服務層級中使用。

設定私人端點

  1. 在入口網站中,瀏覽至容器登錄。

  2. 在 [設定]下,選取 [網路]

  3. 在 [ 私人存取] 索引卷標上,選取 [+ 建立私人端點連線]。

    顯示容器註冊項目實例的網路頁面的螢幕快照。

  4. 在 [建立私人端點] 頁面的 [ 基本] 索引標籤上,輸入或選取下列資訊:

    • 訂用帳戶:選取您的訂用帳戶。
    • 資源群組:輸入現有群組的名稱,或建立新的群組。
    • 名稱:輸入名稱。
    • 區域 - 選取區域。

  5. 選擇下一步:資源

  6. 在 [建立私人端點] 頁面的 [ 資源 ] 索引標籤上,輸入或選取下列資訊:

    • 連接方法:在此範例中,選取 在我的目錄中連接到 Azure 資源
    • 訂用帳戶:選取您的訂用帳戶。
    • 資源類型:選取 [Microsoft.ContainerRegistry/registries]。
    • 資源:選取您登記的名稱。
    • 目標子資源:選取 註冊表

  7. 選取 [下一步:設定]

  8. 在[建立私人端點]頁面的[設定]索引標籤中,輸入或選取資訊:

    • 虛擬網路:選取私人端點的虛擬網路。
    • 子網:選取私人端點的子網。
    • 與私人 DNS 區域整合:選取 [是]。
    • 私人 DNS 區域:選取 [新增] privatelink.azurecr.io