很長一段時間以來,如果您在許多Azure服務上使用多租戶、PaaS版本,那麼您必須通過internet訪問它們,並且無法限制對您的資源的訪問。這種限制主要是由於對多租戶服務進行這種限制的複雜性。目前,獲得這種限制的唯一方法是考慮使用單租戶解決方案,如應用服務環境(ASE)或在VM中自己運行服務,而不是使用PaaS。
這種公共訪問是許多人關心的問題,因此微軟實現了允許您限制對這些多租戶服務的訪問的新服務。今天,我們有兩個表面上看起來非常相似的解決方案:服務端點和私有連結。這兩個服務的設計都允許您限制誰連接到您的服務以及如何連接。因此,要知道應該使用哪種服務以及它的好處是什麼可能會讓人感到困惑。在本文中,我們將研究這些服務,並嘗試使決策更加清晰。
注意,在本文中,我們只討論公開多租戶PaaS服務的方法,而沒有討論「私有連結服務」( 「Private Link Service」),它允許服務提供者通過私有連結向客戶端公開服務。
服務端點(Service EndPoint)
服務端點是引入的第一個允許鎖定多租戶服務的服務。服務端點允許您將對PaaS資源的訪問限制為來自Azure虛擬網絡的流量。對於服務端點,PaaS服務仍然獨立於您的vNet,流量離開虛擬網絡來訪問PaaS服務。然而,PaaS服務被配置為能夠識別來自虛擬網絡的流量並允許這樣做,而不需要配置vNet上的公共IP來允許過濾。
服務端點通過啟用虛擬網絡上的子網來支持服務端點來工作。完成此操作後,可以將PaaS資源配置為只接受來自這些子網的流量。沒有要求做任何IP過濾或NAT轉換;告訴PaaS資源從哪個vNet和子網允許流量。當服務端點被啟用時,PaaS資源將看到來自vNets私有IP的流量,而不是它的公共IP。
使用服務端點的另一個優勢是流量被最優地路由到Azure資源。即使您的vNet上有UDRs來將internet流量路由回本地或通過防火牆設備,使用服務端點也意味著流量被直接發送到Azure資源。
Generally available
- Azure Storage (Microsoft.Storage): Generally available in all Azure regions.
- Azure SQL Database (Microsoft.Sql): Generally available in all Azure regions.
- Azure Synapse Analytics (Microsoft.Sql): Generally available in all Azure regions.
- Azure Database for PostgreSQL server (Microsoft.Sql): Generally available in Azure regions where database service is available.
- Azure Database for MySQL server (Microsoft.Sql): Generally available in Azure regions where database service is available.
- Azure Database for MariaDB (Microsoft.Sql): Generally available in Azure regions where database service is available.
- Azure Cosmos DB (Microsoft.AzureCosmosDB): Generally available in all Azure regions.
- Azure Key Vault (Microsoft.KeyVault): Generally available in all Azure regions.
- Azure Service Bus (Microsoft.ServiceBus): Generally available in all Azure regions.
- Azure Event Hubs (Microsoft.EventHub): Generally available in all Azure regions.
- Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory): Generally available in all Azure regions where ADLS Gen1 is available.
- Azure App Service (Microsoft.Web): Generally available in all Azure regions where App service is available.
- Azure Cognitive Services (Microsoft.CognitiveServices): Generally available in all Azure regions where Cognitive services are available.
Public Preview
- Azure Container Registry (Microsoft.ContainerRegistry): Preview available in limited Azure regions where Azure Container Registry is available.
For the most up-to-date notifications, check the Azure Virtual Network updates page.
服務端點確實有一些限制或缺點。
- 首先,關鍵是要記住,到服務端點的流量仍然在離開虛擬網絡,Azure PaaS資源仍然在其公共地址上被訪問。
- 通過VPN或Express路由在本地發起的流量不能使用服務端點,只能用於來自Azure虛擬網絡的流量。
- 如果您希望允許您的本地資源訪問,您還需要將它們的公共IP列入白名單。
更多信息:https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-service-endpoints-overview。
私人連接(Private Link)
私有連結是比服務端點更新的解決方案,大約在一年前引入。私有連結和服務端點之間的關鍵區別在於,使用私有連結,您將多租戶PaaS資源注入虛擬網絡。與服務端點,流量仍然離開你的vNet和擊中PaaS資源的公共端點,與私有連結的PaaS資源坐在你的vNet和得到你的vNet上的私有IP。當您向PaaS資源發送流量時,它並不離開虛擬網絡。
與Private Link的另一個關鍵區別是,當啟用時,您將授予對虛擬網絡中特定PaaS資源的訪問權。這意味著您可以控制到PaaS資源的出口。例如,如果您願意,您可以使用NSG來阻止對所有Azure SQL資料庫的訪問,然後使用Private Link來只授予對您特定的Azure SQL伺服器的訪問權。
與服務端點不同,私有連結允許通過VPN或高速路由從您的本地網絡上的資源訪問,以及從窺視網絡訪問。您還可以連接到跨地區的資源。
可用性
私有連結的一個缺點是,為了支持使用相同名稱解析PaaS資源,您需要實現DNS來解析特定資源的私有連結區域。您可以通過集成Azure私有DNS來設置這個功能,但如果您的DNS服務已經在運行,或者您不想在虛擬網絡中使用Azure私有DNS,那麼這可能會有問題。
更多信息:https://docs.microsoft.com/en-us/azure/private-link/private-link-overview。
選擇哪一個?
現在,您已經對每個服務進行了快速介紹,問題歸結為應該使用哪個服務?答案將基於幾個因素。
首先,查看您想要訪問的資源,並查看它所支持的服務。有些服務將只受其中一種或另一種支持,因此這將為您選擇。
假設您可以為您的服務使用任何一個選項,那麼決定可能會歸結為複雜性。
服務端點比私有連結更直接、更容易設置。您可以通過在門戶中單擊幾次來啟用服務端點,並且不需要任何其他服務。然而,私有連結需要您實現DNS更改,並可能使用Azure私有DNS,它還需要決定服務將連接到您的虛擬網絡的何處。因此,如果您需要對PaaS服務快速進行額外的訪問限制,或者沒有權利或知識對DNS進行更改,那麼服務端點可能是最好的選擇。
除了複雜性之外,私有連結在幾乎所有其他方面都優於服務端點。如果您可以設置這個,並且您的服務支持它,那麼我建議您在服務端點上使用私有連結。特別是與私人連結,你可以:
- 加入你的PaaS資源到你的vNet,並給它一個私有IP
- 確保流量保持在虛擬網絡中
- 將出口限制到特定的PaaS服務,並防止數據泄漏
- 支持從現場和窺視網絡訪問
- 連接到跨區域的資源,甚至Azure的廣告租戶
對於大多數關注PaaS資源的安全性和訪問限制的人來說,Private Link將是更好的選擇。在這一點上,我很驚訝地看到支持服務端點的資源列表超出了現有可用資源的範圍,大多數PaaS資源希望發佈私有連結產品。
本文:http://jiagoushi.pro/node/1379
