Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
В этой статье приведены рекомендуемые подходы к подключению для использования служб PaaS Azure.
Рекомендации по проектированию
Службы Azure PaaS в своей конфигурации по умолчанию обычно получают доступ к общедоступным конечным точкам через глобальную сеть Майкрософт. Некоторые клиенты могут иметь требования к сокращению использования общедоступных конечных точек, поэтому платформа Azure предоставляет необязательные возможности для защиты этих конечных точек или даже сделать их полностью частными.
Некоторые службы PaaS разрешают ограничение публичного доступа на основе системно назначаемого управляемого удостоверения ресурсного экземпляра, например службы хранилища Azure.
Многие службы PaaS позволяют ограничить общедоступный доступ на основе доверенных служб Azure, например реестра контейнеров Azure.
Внедрение виртуальной сети предоставляет выделенные частные развертывания для поддерживаемых служб. Трафик управляющей плоскости по-прежнему передается через общедоступные IP-адреса.
Некоторые службы PaaS совместимы с Приватным каналом Azure, что обеспечивает частный доступ через IP-адрес в клиенте. Дополнительные сведения см. в разделе "Основные преимущества приватного канала".
Конечные точки службы виртуальной сети предоставляют доступ на уровне службы из выбранных подсетей к выбранным службам PaaS. Служба хранилища Azure предлагает политики конечных точек службы , которые позволяют дополнительно ограничить использование конечных точек службы определенным учетным записям хранения. Кроме того, можно использовать сетевые виртуальные устройства (NVA) для выполнения проверки седьмого уровня и фильтрации по FQDN в сочетании с конечными точками службы, но этот подход также связан с дополнительными соображениями по производительности и масштабируемости.
Какова разница между конечными точками службы и частными конечными точками? предоставляет объяснение различий между конечными точками приватного канала и конечными точками службы виртуальной сети.
Рекомендации по проектированию
Для служб Azure PaaS, поддерживающих внедрение виртуальной сети, если требуется доступ к ресурсам в частной сети (виртуальные сети или локальные сети через шлюз виртуальной сети), рекомендуется включить функцию внедрения виртуальной сети. Кроме того, учитывайте, что эти службы, внедренные в виртуальную сеть, по-прежнему выполняют операции управления, используя общедоступные IP-адреса, специфичные для службы. Подключение должно быть гарантировано для правильной работы службы. Используйте UDR и группы безопасности сети (NSG), чтобы ограничить эту связь в пределах виртуальной сети. Теги служб можно использовать в UDR для уменьшения количества необходимых маршрутов и переопределения маршрутов по умолчанию при использовании.
Если защита от кражи данных и использование только частных IP-адресов являются жесткими требованиями, рассмотрите возможность использования Приватного канала Azure , где он доступен.
Рассмотрите возможность использования конечных точек службы виртуальной сети для защиты доступа к службам Azure PaaS из виртуальной сети в сценариях, когда утечка данных менее обеспокоена, приватный канал недоступен или требуется прием больших данных, требующих оптимизации затрат. (Конечные точки службы Azure не несут никаких затрат, в отличие от Приватного канала Azure, который включает компонент затрат на 1 ГБ сетевых данных).
Если доступ к службам PaaS Azure требуется из локальной среды, используйте следующие параметры:
- Используйте общедоступную конечную точку службы PaaS по умолчанию через Интернет и глобальную сеть Майкрософт, если частный доступ не требуется, а локальная пропускная способность Интернета достаточна.
- Используйте частное гибридное подключение (ExpressRoute с частным пирингом или VPN типа "сеть — сеть") с внедрением виртуальной сети или с помощью Azure Private Link.
Не включите конечные точки службы виртуальной сети по умолчанию во всех подсетях. Следуйте подходу, рассматривая каждый случай отдельно, в зависимости от доступности функций PaaS и ваших требований к производительности и безопасности.
По возможности избежать использования принудительного туннелирования (перенаправление трафика, привязанного к Интернету, из виртуальной сети Azure через локальную сеть путем рекламы маршрута по умолчанию через частное гибридное подключение), так как это может повысить сложность управления операциями с некоторыми службами Azure PaaS, например Шлюз приложений версии 2.