【Azure 架构师学习条记】- Azure Networking(1) -- Service Endpoint 和 P ...

本文属于【Azure 架构师学习条记】系列。
本文属于【Azure Networking】系列。
  媒介

最近公司的安全部分在审计云环境安全性时经常提到service endpoint（SE）和priavate endpoint（PE）的术语，为此做了一些研究储备。
云计算的本质就是网络， 默认情况下资源间及外部都是通过公网也就是互联网访问。为了安全，Azure引入了SE和PE 等服务。
云环境网络流动重要有两个：inbound（入境）和outbound（出境），前者意味着站在某个资源角度比如一个storage account， 外部的数据流入。 后者则表现storage account的数据返回。
网络流量的载体也有两个：internet（公网）和微软骨干网络（私网）。企业会以为最起码流量都应该只颠末骨干网， 只在最外层建立必要的防护措施用于与互联网交互。
在Azure云中，会使用假造网络（Virtual Network， VNet）掩护资源。通过设置可以使其与云上其他网络，本地网络等举行交互。VNet之间可以颠末配对（peering）来互访，在VNet之下，还细分了差异的Subnet。
当一个资源如VM 被创建时，会有一到多个网卡NIC，这些网卡现实上就是建立在所属VNET之上。可以通过动态或者静态IP来指定特定的网卡。
Service Endpoint

在某个VNet 资源上使用private IP（这里就要精确到subnet）连接一个Azure 资源的public endpoint。这里的VNet不肯定就是目标资源地点的VNet。
意味着资源间的流量是发生在Azure 骨干网络而不是互联网。现实上就是把服务资源“锁定”， 只答应来自于相连subnet的service endpoint 流量。
假如需要进一步收紧网络，还可以使用VNET上的NSG（network security group）拒绝除了预期Azure 服务之外的其他outbound（出境） 流量。
比如在VM 中，一个VNet需要和Azure Storage Account交互。可以通过组合service endpoint， storage account和NSG从而限定VM 的流量是来自于private subnet，而不是互联网。Storage account也只答应这些subnet的访问。 NSG 则对从资源到互联网的流量举行限定。
但是跨region的VNet间不能使用service endpoint。 只能使用PE。 同时它也只能在Azure网络中使用。附上几个图以便理解。

Private Endpoint

PE 是答应Vnet资源间（同一个VNet）资源的私有访问， 同样也是发生在MS 的骨干网络而不是互联网。比如从VNet中选一个private IP并分配给storage account，如许在同一个VNet下的全部资源如VM 就可以直接访问Storage account而不需要颠末互联网。
相对于SE 来说， PE 更像一个通用的私有访问云资源的方案。

差异

通过service endpoints，仍然可以连接目标资源的public endpoint，它更像是延展， 把VNet的标识延展到目标资源。
通过private endpoints， 通太过配一个VNet里私有IP 到目标资源上，本质就是把这个资源“带进”网络。它并没有删除public IP， 但是可以通过控制网络来隔绝。
VNet是一个界限，控制网络的入和出，假如你想让资源只在VNET内交互，那么开方outbound将会是风险，这时间就可以使用service endpoint或者PE 来控制资源受限在某个区域。
一个简单的区别在于PE是针对特定的某个azure 资源而SE 针对的是特定类型资源而不是单纯的某个。
其他差异

费用

SE 没有额外费用。
PE 则需要按时和数据处置处罚的量来收费。
本地支持

SE不支持本地流量，由于它局限于特定VNET。
PE可以通过专线（expressroute）、私有配对（private peering）和VPN 来连同本地跟云环境。
维护

SE没有什么维护本钱。
PE的存在需要额外举行DNS 设置。
小结

使用场景

• 制止全部公网流量——PE
  
• 混合云环境——PE
  
• 控制特定资源连接到VNET内的资源——PE
  
• 控制特定storage account跟VNET 资源间的安全操作——both
  
• 不希望有额外的设置和使用本钱下的安全操作——SE
  
• 需要跨region——PE
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。