說明虛擬網路服務端點

  • 22 分鐘

您已將 ERP 系統的現有應用程式伺服器與資料庫伺服器移轉至 Azure 作為 VM。 現在,為了降低成本與系統管理需求,您正考慮使用某些 Azure 平台即服務 (PaaS) 服務。 儲存體服務會保存特定的大型檔案資產,例如工程圖表。 這些工程圖表具有專屬資訊,因此必須避免遭受未經授權的存取。 這些檔案必須僅供從特定系統存取。

在本單元中,您將了解如何使用虛擬網路服務端點來保護支援的 Azure 服務。

什麼是虛擬網路服務端點?

使用虛擬網路服務端點可藉由提供對您 Azure 服務的直接連線,在 Azure 中延伸您的私人位址空間。 服務端點可讓您將 Azure 資源限制成僅供您的虛擬網路存取。 服務流量會留在 Azure 骨幹上,而不會連出至網際網路。

image showing web server, database server, and service endpoint within a v-net. A link is shown to from the service endpoint to Azure storage outside the v-net.

Azure 服務預設都是針對直接網際網路存取而設計。 所有 Azure 資源都有公用 IP 位址,包括 PaaS 服務,例如 Azure SQL Database 和「Azure 儲存體」。 由於這些服務會對網際網路公開,因此任何人都可能存取您的 Azure 服務。

服務端點可將特定 PaaS 服務直接連線至您在 Azure 中的私人位址空間,讓其運作方式就像在相同的虛擬網路上一樣。 請使用私人位址空間來直接存取 PaaS 服務。 新增服務端點並不會移除公用端點。 其只是將流量重新導向。

準備執行服務端點

若要啟用服務端點,則必須執行下列兩個動作:

  • 關閉對服務的公用存取。
  • 將服務端點新增至虛擬網路。

當啟用服務端點時,您會限制流量,並讓 Azure VM 可直接從私人位址空間存取服務。 裝置無法從公用網路存取服務。 在已部署的 VM vNIC 上,若您查看有效路由,就會注意到服務端點成為下一個躍點類型。

以下是啟用服務端點前的範例路由表:

來源 狀態 位址首碼 下一個躍點類型
預設 使用中 10.1.1.0/24 VNet
預設 使用中 0.0.0.0./0 網際網路
預設 使用中 10.0.0.0/8
預設 使用中 100.64.0.0./
預設 使用中 192.168.0.0/16

以下是將兩個服務端點新增至虛擬網路後的範例路由表:

來源 狀態 位址首碼 下一個躍點類型
預設 使用中 10.1.1.0/24 VNet
預設 使用中 0.0.0.0./0 網際網路
預設 使用中 10.0.0.0/8
預設 使用中 100.64.0.0./
預設 使用中 192.168.0.0/16
預設 使用中 20.38.106.0/23,以及其他 10 個 VirtualNetworkServiceEndpoint
預設 使用中 20.150.2.0/23,以及其他 9 個 VirtualNetworkServiceEndpoint

服務的所有流量現在都會路由傳送到虛擬網路服務端點,並維持在 Azure 內部。

建立服務端點

您是網路工程師,正打算將敏感性的工程圖表檔案移至 Azure 儲存體。 這些檔案必須僅供從公司網路內部的電腦存取。 您想要建立 Azure 儲存體的虛擬網路服務端點,以保護儲存體帳戶的連線。

服務端點教學課程中,您將了解如何:

  • 啟用子網路上的服務端點
  • 使用網路規則來限制對 Azure 儲存體的存取
  • 為 Azure 儲存體建立虛擬網路服務端點
  • 驗證已適當地拒絕存取

Diagram showing data server accessing Azure storage with service endpoint

設定服務標籤

服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。

您可使用服務標籤來定義網路安全性群組或 Azure 防火牆的網路存取控制。 建立安全性規則時,請以服務標籤取代特定的 IP 位址。 在規則的適當來源或目的地欄位中指定服務標籤名稱 (例如 API 管理),即可允許或拒絕對應服務的流量。

自 2021 年 3 月起,您也可以使用服務標籤取代使用者定義路由中的明確 IP 範圍。 此功能目前為公開預覽狀態。

您可以使用服務標籤達成網路隔離,以及在存取具有公用端點的 Azure 服務時,防止從一般網際網路存取您的 Azure 資源。 建立輸入/輸出網路安全性群組規則,可拒絕進出於網際網路的流量,並允許 AzureCloud 或特定 Azure 服務的其他可用服務標籤的輸入/輸出流量。

example NSG with service tags

可用的服務標籤

下表包含可在網路安全性群組規則中使用的所有服務標籤。

資料行表示標籤是否:

  • 適用於涵蓋輸入或輸出流量的規則。
  • 支援區域範圍。
  • 可在 Azure 防火牆規則中使用。

根據預設,服務標籤會反映整個雲端的範圍。 某些服務標籤也會將對應的 IP 範圍限定為指定的區域,以提供更精細的控制。 例如,服務標籤 Storage 代表整個雲端的 Azure 儲存體,而不是儲存體。 WestUS 將範圍縮減至僅限來自美國西部區域的儲存體 IP 位址範圍。 下表指出各個服務標籤是否支援這類區域範圍。

Azure 服務的服務標籤代表所使用之特定雲端中的位址首碼。 例如,與 Azure 公用雲端上 SQL 標記值相對應的基礎 IP 範圍不同於 Azure 中國雲端上的基礎範圍。

如果您為服務 (例如 Azure 儲存體或 Azure SQL Database) 實作虛擬網路服務端點,Azure 會為該服務新增一個虛擬網路子網路的路由。 路由中的位址首碼是與對應的服務標籤相同的位址首碼或 CIDR 範圍。