什么是 Azure 专用链接?

  • 12 分钟

在了解 Azure 专用链接及其功能和优势之前,让我们先研究一下专用链接旨在解决的问题。

Contoso 有一个 Azure 虚拟网络,你希望连接到 PaaS 资源,如 Azure SQL 数据库。 当你创建此类资源时,通常要指定一个公共终结点作为连接方法。

具有公共终结点意味着资源被分配了一个公共 IP 地址。 因此,即使你的虚拟网络和 Azure SQL 数据库都位于 Azure 云中,它们之间的连接实际上是通过 Internet 进行的。

问题在于,你的 Azure SQL 数据库将通过其公共 IP 地址暴露在 Internet 上。 这种暴露造成了多重安全风险。 当通过公共 IP 地址从以下位置访问 Azure 资源时,也存在相同的安全风险:

  • 对等互连的 Azure 虚拟网络
  • 使用 ExpressRoute 和 Microsoft 对等互连连接到 Azure 的本地网络
  • 客户连接到你公司提供的 Azure 服务的 Azure 虚拟网络

Azure 虚拟网络、Azure 对等互连虚拟网络和本地网络通过 Internet 访问 Azure SQL 数据库的网络示意图。

专用链接旨在通过删除连接的公共部分来消除这些安全风险。

专用链接提供对 Azure 服务的安全访问。 专用链接通过将资源的公共终结点替换为专用网络接口来实现这一安全性。 这种新的体系结构需要考虑三个关键点:

  • 从某种意义上说,Azure 资源成为你的虚拟网络的一部分。
  • 与资源的连接现在使用 Microsoft Azure 主干网络,而不是公共 Internet。
  • 可以将 Azure 资源配置为不再公开其公共 IP 地址,这样就消除了潜在的安全风险。

什么是 Azure 专用终结点?

专用终结点是专用链接背后的关键技术。 专用终结点是一个网络接口,用于在虚拟网络和 Azure 服务之间实现专用和安全的连接。 换而言之,专用终结点是替换资源的公共终结点的网络接口。

备注

专用终结点不是免费服务。 你需要支付每小时的固定费用,以及进出专用终结点的入站和出站流量每 GB 的固定费用。

专用链接使你可以通过 Azure 虚拟网络对 Azure 中的 PaaS 服务和 Microsoft 合作伙伴服务进行专用访问。 但是,如果公司已经创建了自己的 Azure 服务供公司的客户使用,该怎么办? 有没有可能为这些客户提供一个访问公司服务的专用连接?

是的,可以借助 Azure 专用链接服务。 此服务允许你提供与自定义 Azure 服务的连接的专用链接。 然后,自定义服务的使用者便可以通过其自己的 Azure 虚拟网络实现对这些服务的专用访问,而不必依赖 Internet。

备注

使用专用链接服务不收取任何费用。

专用链接与专用终结点和专用链接服务一起工作可提供以下好处:

  • 对 Azure 上的 PaaS 服务和 Microsoft 合作伙伴服务实现专用访问。 使用专用终结点时,Azure 服务映射到你的 Azure 虚拟网络。 Azure 资源位于不同的虚拟网络和不同的 Active Directory 租户并不重要。 对于 Azure 虚拟网络中的用户来说,该资源似乎是该网络的一部分。
  • 对任何区域中的 Azure 服务进行专用访问。 专用链接可在全球范围内运行。 即使 Azure 服务的虚拟网络与你自己的虚拟网络位于不同的区域,与该服务的专用连接也可以正常工作。
  • 到 Azure 服务的非公共路由。 一旦 Azure 服务映射到你的虚拟网络,流量路由就会发生变化。 虚拟网络和 Azure 服务之间的所有入站和出站流量都是通过 Microsoft Azure 主干网络进行传输的。 从不使用公共 Internet 传输服务流量。
  • 不再需要公共终结点。 因为所有进出已被映射的 Azure 服务的流量现在都通过 Microsoft Azure 主干网传输,所以不再需要该服务的公共终结点。 可以禁用该公共终结点,进而消除潜在的安全威胁。
  • 对等互连的 Azure 虚拟网络也可访问专用链接支持的资源。 如果你在使用一个或多个对等互连的 Azure 虚拟网络,则无需对这些对等互连的网络进行额外配置即可访问专用 Azure 资源。 任何对等互连网络内的客户端都可以访问已映射到 Azure 服务的任何专用终结点。
  • 你的本地网络也可实现对专用链接支持的资源的访问。 你的本地网络是使用 ExpressRoute 专用对等互连或 VPN 隧道连接到 Azure 虚拟网络吗? 如果是这样,则无需对本地网络中的客户端进行任何额外配置即可访问专用 Azure 资源。
  • 防止数据外泄。 将专用终结点映射到 Azure 服务时,将映射到该服务的特定实例。 例如,如果要设置对 Azure 存储的专用访问,需要将访问权限映射到 blob、表或其他存储实例。 如果网络中的虚拟机遭到入侵,攻击者将无法将数据移动或复制到其他资源实例。
  • 对自己的 Azure 服务实现专用访问。 可以实施专用链接服务,并向客户提供对自定义 Azure 服务的专用访问。

专用链接和专用终结点适用于很多 Azure 服务。 若要及时了解支持专用链接的最新服务和区域,请参阅 Azure 更新