本文属于【Azure 架构师学习笔记】系列。
前言
前面两章【Azure 架构师学习笔记】- Azure Private Endpoint 和 【Azure 架构师学习笔记】- Azure Service Endpoint 分别介绍了PE 和SE的内容。那么这两者的区别在哪里,什么时候用?通过网上搜集资料和测试,总结了以下内容。
Virtual Network和Subnet
VNet是Azure 上的一个虚拟网络,可以允许Azure 资源之间的网络互访,甚至通过配置从而允许互联网,本地等连接。比如VNet之间还可以使用对等网络来实现VNet之间的互访。
在VNet下是一些Subnet,它们把VNet分成了一些小区域,从而进一步地控制网络范围。
VNet和Subnet共同组合成一个唯一IP 地址范围。
PE和SE的不同
- 作用范围不同:我们前面提到的PE和SE就分别创建在VNet和Subnet之上。PE 会对单独的资源实体进行应用而SE 则会对所有这个类型的实体进行应用。
- IP 地址类型不同:当使用PE 时,连接是使用private IP。而使用SE 时,则依旧使用public IP。
- 配置复杂度不同:PE 需要配置DNS 而SE 不需要。PE 还需要保证VNet上有可用空间。
- 性能不同:SE 由于其配置简单,通常具有更好的性能。
- 安全程度不同:由于配置的复杂度不同,带来了PE 的安全性更高。
- 适用范围不同:不是所有的Azure 资源都支持PE 或者SE,使用前需要检查。
- 费用不同:SE没有什么费用而PE 则有费用。
- 维护难度:SE比PE更容易维护。
- 能否连接本地:如果没有开放公网IP到白名单,使用SE时本地不能访问SE 的资源。
建议
你可以同时启用PE 和SE 到“刚好”同时允许启用的某个资源上,当你从本地访问云时,PE 会优先使用,而SE 更多是云内部,从IaaS到PaaS之间。 但是从下面微软文档可以看出,除非考虑搭建成本和运维成本,否则建议使用PE 。
https://learn.microsoft.com/zh-cn/azure/virtual-network/vnet-integration-for-azure-services#compare-private-endpoints-and-service-endpoints