將 Azure 服務(wù)與虛擬網(wǎng)絡(luò)集成以實(shí)現(xiàn)網(wǎng)絡(luò)隔離

使用Azure服務(wù)的虛擬網(wǎng)絡(luò)(VNet)集成，你可以僅允許通過你的虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)來訪問服務(wù)。VNet基礎(chǔ)結(jié)構(gòu)還包括對等互連的虛擬網(wǎng)絡(luò)和本地網(wǎng)絡(luò)。

VNet集成可以為Azure服務(wù)提供網(wǎng)絡(luò)隔離的優(yōu)點(diǎn)，可通過以下一種或多種方法實(shí)現(xiàn)：

·將服務(wù)的專用實(shí)例部署到虛擬網(wǎng)絡(luò)中。隨后即可在虛擬網(wǎng)絡(luò)內(nèi)以及從本地網(wǎng)絡(luò)私密訪問這些服務(wù)。

·使用私有終結(jié)點(diǎn)，將你私下并安全地連接到由Azure專用鏈接提供支持的服務(wù)。專用終結(jié)點(diǎn)使用VNet中的專用IP地址將服務(wù)有效地引入虛擬網(wǎng)絡(luò)中。

·通過服務(wù)終結(jié)點(diǎn)將虛擬網(wǎng)絡(luò)擴(kuò)展到服務(wù)，使用公共終結(jié)點(diǎn)訪問服務(wù)。服務(wù)終結(jié)點(diǎn)可使服務(wù)資源在虛擬網(wǎng)絡(luò)中得到保護(hù)。

·使用服務(wù)標(biāo)記來允許或拒絕Azure資源進(jìn)出公共IP終結(jié)點(diǎn)的流量。

將專用Azure服務(wù)部署到虛擬網(wǎng)絡(luò)

在虛擬網(wǎng)絡(luò)中部署專用Azure服務(wù)時(shí)，可通過專用IP地址與服務(wù)資源進(jìn)行私密通信。

將專用Azure服務(wù)部署到虛擬網(wǎng)絡(luò)可提供以下功能：

·虛擬網(wǎng)絡(luò)內(nèi)的資源可以通過專用IP地址彼此進(jìn)行私密通信。例如，在虛擬網(wǎng)絡(luò)中，在虛擬機(jī)上運(yùn)行的HDInsight與SQL Server之間可直接傳輸數(shù)據(jù)。

·本地資源可通過站點(diǎn)到站點(diǎn)VPN（VPN網(wǎng)關(guān)）或ExpressRoute使用專用IP地址訪問虛擬網(wǎng)絡(luò)中的資源。

·虛擬網(wǎng)絡(luò)可使用專用IP地址進(jìn)行對等互連，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)中資源之間的彼此通信。

·虛擬網(wǎng)絡(luò)中的服務(wù)實(shí)例通常由Azure服務(wù)完全托管。這包括監(jiān)視資源的運(yùn)行狀況并根據(jù)負(fù)載進(jìn)行縮放。

·服務(wù)實(shí)例部署在虛擬網(wǎng)絡(luò)的子網(wǎng)中。根據(jù)服務(wù)提供的指南，必須通過網(wǎng)絡(luò)安全組對子網(wǎng)開放入站和出站網(wǎng)絡(luò)訪問。

·某些服務(wù)還會對它們能夠部署到其中的子網(wǎng)施加限制，限制策略、路由的應(yīng)用，或者要求將VM和服務(wù)資源組合到同一子網(wǎng)中。請查看每項(xiàng)服務(wù)，了解這些具體限制，因?yàn)樗鼈儠S時(shí)間而變化。此類服務(wù)的示例包括：Azure NetApp文件、專用HSM、Azure容器實(shí)例、應(yīng)用服務(wù)。

·（可選）服務(wù)可能需要一個(gè)委派子網(wǎng)作為顯式標(biāo)識符，用于表示子網(wǎng)可承載特定服務(wù)。服務(wù)可以通過委托獲得顯式權(quán)限，可以在委托的子網(wǎng)中創(chuàng)建服務(wù)專屬資源。

·如需REST API響應(yīng)的示例，請參閱包含委托子網(wǎng)的虛擬網(wǎng)絡(luò)?？梢酝ㄟ^可用委托API獲得一個(gè)內(nèi)容廣泛的列表，其中包含的服務(wù)使用委托子網(wǎng)模型。

有關(guān)可部署到虛擬網(wǎng)絡(luò)中的服務(wù)的列表，請參閱將專用Azure服務(wù)部署到虛擬網(wǎng)絡(luò)。

專用鏈接和專用終結(jié)點(diǎn)

使用專用終結(jié)點(diǎn)，可以允許事件通過專用鏈接安全地從虛擬網(wǎng)絡(luò)直接進(jìn)入Azure資源，而無需通過公共Internet。專用終結(jié)點(diǎn)是虛擬網(wǎng)絡(luò)中的Azure服務(wù)的特殊網(wǎng)絡(luò)接口。為Azure資源創(chuàng)建專用終結(jié)點(diǎn)時(shí)，它會在虛擬網(wǎng)絡(luò)上的客戶端與你的Azure資源之間提供安全連接。從虛擬網(wǎng)絡(luò)的IP地址范圍為專用終結(jié)點(diǎn)分配IP地址。專用終結(jié)點(diǎn)與Azure服務(wù)之間的連接使用安全的專用鏈接。

下面的示例展示了事件網(wǎng)格資源專用終結(jié)點(diǎn)的私密訪問，該終結(jié)點(diǎn)在虛擬網(wǎng)絡(luò)上的客戶端與事件網(wǎng)格資源之間提供安全連接。

有關(guān)私有鏈接和支持的Azure服務(wù)列表的詳細(xì)信息，請參閱什么是私有鏈接？

服務(wù)終結(jié)點(diǎn)

VNet服務(wù)終結(jié)點(diǎn)通過Azure主干網(wǎng)絡(luò)的優(yōu)化路由提供與Azure服務(wù)的安全的直接連接。使用終結(jié)點(diǎn)可以保護(hù)關(guān)鍵的Azure服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進(jìn)行訪問。服務(wù)終結(jié)點(diǎn)使VNet中的專用IP地址能夠到達(dá)Azure服務(wù)的終結(jié)點(diǎn)，且無需在VNet中使用公共IP地址。

有關(guān)詳細(xì)信息，請參閱虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點(diǎn)

服務(wù)標(biāo)記

服務(wù)標(biāo)記代表給定Azure服務(wù)中的一組IP地址前綴。使用服務(wù)標(biāo)記，可以在網(wǎng)絡(luò)安全組或Azure防火墻中定義網(wǎng)絡(luò)訪問控制。通過在規(guī)則的相應(yīng)源字段或目標(biāo)字段中指定服務(wù)標(biāo)記名（例如，AzureEventGrid），可以允許或拒絕相應(yīng)服務(wù)的流量。

可使用服務(wù)標(biāo)記來實(shí)現(xiàn)網(wǎng)絡(luò)隔離，保護(hù)Azure資源免受常規(guī)Internet侵害，同時(shí)訪問具有公共終結(jié)點(diǎn)的Azure服務(wù)。可創(chuàng)建入站/出站網(wǎng)絡(luò)安全組規(guī)則，以拒絕進(jìn)出Internet的流量并允許進(jìn)出AzureCloud或特定Azure服務(wù)的其他可用服務(wù)標(biāo)記的流量。

有關(guān)服務(wù)標(biāo)記和支持它們的Azure服務(wù)的詳細(xì)信息，請參閱服務(wù)標(biāo)記概述