將 Azure 服務與虛擬網(wǎng)絡集成以實現(xiàn)網(wǎng)絡隔離

使用Azure服務的虛擬網(wǎng)絡(VNet)集成，你可以僅允許通過你的虛擬網(wǎng)絡基礎結構來訪問服務。VNet基礎結構還包括對等互連的虛擬網(wǎng)絡和本地網(wǎng)絡。

VNet集成可以為Azure服務提供網(wǎng)絡隔離的優(yōu)點，可通過以下一種或多種方法實現(xiàn)：

·將服務的專用實例部署到虛擬網(wǎng)絡中。隨后即可在虛擬網(wǎng)絡內(nèi)以及從本地網(wǎng)絡私密訪問這些服務。

·使用私有終結點，將你私下并安全地連接到由Azure專用鏈接提供支持的服務。專用終結點使用VNet中的專用IP地址將服務有效地引入虛擬網(wǎng)絡中。

·通過服務終結點將虛擬網(wǎng)絡擴展到服務，使用公共終結點訪問服務。服務終結點可使服務資源在虛擬網(wǎng)絡中得到保護。

·使用服務標記來允許或拒絕Azure資源進出公共IP終結點的流量。

將專用Azure服務部署到虛擬網(wǎng)絡

在虛擬網(wǎng)絡中部署專用Azure服務時，可通過專用IP地址與服務資源進行私密通信。

將專用Azure服務部署到虛擬網(wǎng)絡可提供以下功能：

·虛擬網(wǎng)絡內(nèi)的資源可以通過專用IP地址彼此進行私密通信。例如，在虛擬網(wǎng)絡中，在虛擬機上運行的HDInsight與SQL Server之間可直接傳輸數(shù)據(jù)。

·本地資源可通過站點到站點VPN（VPN網(wǎng)關）或ExpressRoute使用專用IP地址訪問虛擬網(wǎng)絡中的資源。

·虛擬網(wǎng)絡可使用專用IP地址進行對等互連，實現(xiàn)虛擬網(wǎng)絡中資源之間的彼此通信。

·虛擬網(wǎng)絡中的服務實例通常由Azure服務完全托管。這包括監(jiān)視資源的運行狀況并根據(jù)負載進行縮放。

·服務實例部署在虛擬網(wǎng)絡的子網(wǎng)中。根據(jù)服務提供的指南，必須通過網(wǎng)絡安全組對子網(wǎng)開放入站和出站網(wǎng)絡訪問。

·某些服務還會對它們能夠部署到其中的子網(wǎng)施加限制，限制策略、路由的應用，或者要求將VM和服務資源組合到同一子網(wǎng)中。請查看每項服務，了解這些具體限制，因為它們會隨時間而變化。此類服務的示例包括：Azure NetApp文件、專用HSM、Azure容器實例、應用服務。

·（可選）服務可能需要一個委派子網(wǎng)作為顯式標識符，用于表示子網(wǎng)可承載特定服務。服務可以通過委托獲得顯式權限，可以在委托的子網(wǎng)中創(chuàng)建服務專屬資源。

·如需REST API響應的示例，請參閱包含委托子網(wǎng)的虛擬網(wǎng)絡。可以通過可用委托API獲得一個內(nèi)容廣泛的列表，其中包含的服務使用委托子網(wǎng)模型。

有關可部署到虛擬網(wǎng)絡中的服務的列表，請參閱將專用Azure服務部署到虛擬網(wǎng)絡。

專用鏈接和專用終結點

使用專用終結點，可以允許事件通過專用鏈接安全地從虛擬網(wǎng)絡直接進入Azure資源，而無需通過公共Internet。專用終結點是虛擬網(wǎng)絡中的Azure服務的特殊網(wǎng)絡接口。為Azure資源創(chuàng)建專用終結點時，它會在虛擬網(wǎng)絡上的客戶端與你的Azure資源之間提供安全連接。從虛擬網(wǎng)絡的IP地址范圍為專用終結點分配IP地址。專用終結點與Azure服務之間的連接使用安全的專用鏈接。

下面的示例展示了事件網(wǎng)格資源專用終結點的私密訪問，該終結點在虛擬網(wǎng)絡上的客戶端與事件網(wǎng)格資源之間提供安全連接。

有關私有鏈接和支持的Azure服務列表的詳細信息，請參閱什么是私有鏈接？

服務終結點

VNet服務終結點通過Azure主干網(wǎng)絡的優(yōu)化路由提供與Azure服務的安全的直接連接。使用終結點可以保護關鍵的Azure服務資源，只允許在客戶自己的虛擬網(wǎng)絡中對其進行訪問。服務終結點使VNet中的專用IP地址能夠到達Azure服務的終結點，且無需在VNet中使用公共IP地址。

有關詳細信息，請參閱虛擬網(wǎng)絡服務終結點

服務標記

服務標記代表給定Azure服務中的一組IP地址前綴。使用服務標記，可以在網(wǎng)絡安全組或Azure防火墻中定義網(wǎng)絡訪問控制。通過在規(guī)則的相應源字段或目標字段中指定服務標記名（例如，AzureEventGrid），可以允許或拒絕相應服務的流量。

可使用服務標記來實現(xiàn)網(wǎng)絡隔離，保護Azure資源免受常規(guī)Internet侵害，同時訪問具有公共終結點的Azure服務?？蓜?chuàng)建入站/出站網(wǎng)絡安全組規(guī)則，以拒絕進出Internet的流量并允許進出AzureCloud或特定Azure服務的其他可用服務標記的流量。

有關服務標記和支持它們的Azure服務的詳細信息，請參閱服務標記概述