在这篇博文中,我的目标是阐明在我看来 Azure 中最容易被误解的一些服务。
Azure Private Link
Azure Private Link 是一组网络功能,旨在与 Azure 中的各种服务建立安全连接。Azure Private Link 包含两种不同的服务:
- · 私有端点
- · 私有链接服务
私有端点和私有链接服务服务于不同的目的,适用于不同的用例,并且是 Azure Private Link 功能集中的独立服务。
私有端点
Azure Private Endpoint 提供了一种通过私有 IP 地址连接到 Azure 资源的机制。这是通过将网络接口与资源(例如 Azure 存储帐户)关联来实现的。当您为存储帐户激活私有端点时,它会收到一个网络接口,以及来自所选虚拟网络 (VNET) 的私有 IP 地址。因此,已驻留在同一虚拟网络 (VNET) 内或已连接到该虚拟网络(通过 VNET 对等互连、VPN、ExpressRoute 等方式)的资源将能够仅通过此私有 IP 地址安全地访问存储帐户。
私有链接服务
私有链接服务的命名可能会造成混淆,因为它与其父功能集 Azure 私有链接的名称非常相似。更令人困惑的是,私有链接服务还需要私有端点才能工作。
私有链接服务可以专门与 Azure 标准负载均衡器结合使用。本质上,它允许您在 VNET B 中为托管在 VNET A 中的服务创建一个私有端点,并通过标准负载均衡器进行访问。重要的是,这两个 VNET 可以位于同一订阅内,也可以位于不同的订阅之间。
本质上,私有链接服务 (Private Link Service) 帮助在 VNET B 中为托管在 VNET A 中的服务分配一个私有 IP(私有端点)。此配置使 VNET B 中的服务能够使用私有 IP 与托管在 VNET A 中的服务安全地建立连接。
私有端点 vs 私有链接服务
使用私有端点时,所有 Azure 资源都连接到同一个 VNET。相比之下,私有链接服务涉及跨两个独立 VNET 的资源。
何时使用私有链接服务?
使用私有链接服务的主要原因之一是,由于 IP 地址范围冲突或安全考虑,VNET 对等连接不切实际。如果 VNET A 和 VNET B 之间可以建立 VNET 对等连接,则私有端点本身就足够了。
服务端点
现在,让我们深入研究服务端点。
服务端点不属于私有链接功能集。它们使 Azure VNET 中的资源能够与其他 Azure 资源(例如存储帐户)建立更安全、更直接的连接。例如,如果 VNET 中的虚拟机需要连接到存储帐户,则只有该虚拟机在 VNET 中拥有内部 IP。存储帐户本身在 VNET 中不拥有内部 IP,而是映射到同一 VNET,从而使虚拟机能够采用更直接的路由,同时仍然使用存储帐户的公共 IP,而无需离开 Azure 主干网或遍历公共互联网。
私有端点与服务端点
私有端点和服务端点之间的主要区别在于它们的网络配置。使用私有端点时,虚拟机和存储帐户在同一个 VNET 中都拥有内部 IP/网络接口,从而确保流量完全在 VNET 内,从而增强安全性。相比之下,使用服务端点时,只有虚拟机配备内部 IP,它只需采用优化的路由和更直接的路由即可连接到存储帐户的公共 IP。重要的是,这条路由停留在 Azure Backbone 内,无需穿越公共互联网。然而,值得注意的是,与私有端点相比,这种方法可能被认为不太安全,因为私有端点的流量完全限制在 VNET 内,永远不会离开 VNET。
私有端点演示:
1. 创建一个storage account:
2. 创建一个私有端点,指向步骤1中的storage account。
3. 创建一台Ubuntu VM。
4. ssh 到该vm ,运行nslookup <storageaccountname.privatelink.blob.windows.net>,可以看到返回10.0.0.4私有ip地址,该地址是和vm01的地址在同一个vnet。
结论
Azure Private Link、Private Endpoint 和 Service Endpoint 提供了不同层次的安全连接方式,用户可以根据具体需求选择合适的技术。Private Link 和 Private Endpoint 提供了最高级别的安全性和隔离性,而 Service Endpoint 则提供了一种更轻量级的连接方式。
扫一扫
8134
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
