网站开发技术指标,网站还没有做解析是什么意思,淘客类网站如何做排名,网站技术防护建设本文属于【Azure 架构师学习笔记】系列。 前言
公有云的其中一个特点是默认允许公网访问#xff0c; 这就对企业环境带来风险#xff0c;也是很多年前企业对公有云抵触的其中一个原因#xff0c;现在这类问题已经很少#xff0c;因为有了很多技术来确保云上的资源被安全地… 本文属于【Azure 架构师学习笔记】系列。 前言
公有云的其中一个特点是默认允许公网访问 这就对企业环境带来风险也是很多年前企业对公有云抵触的其中一个原因现在这类问题已经很少因为有了很多技术来确保云上的资源被安全地访问。其中Private endpointPE就起到了很重要的作用。
什么是Private Endpoint
云上的某个资源如VM会创建在特定的网络VNet/Subnet上 而其他如Storage Account Azure SQL等PaaS服务则没有。 如果你需要用VM 来访问这些PaaS资源VM 就会通过资源的公网IP 来访问。 一旦涉及公网访问风险随之而来。为了避免这种风险可以把这些PaaS资源放到VNet的Private Endpoint中。所以PE是建立在VNet之上网络接口。建立PE 之后网络流量就会从公网IP 转成使用VNet进行。 PE会在VNet的可用地址区间中动态选择private IP并附加给PE然后在PE的生命周期中保持IP 地址的一致。
PE 例子
假设有一个VNet使用IP 地址范围为10.10.0.0/16。 在这个VNet中有两个subnet A 10.10.5.0/24 和 B0.10.6.0/24。在A 中有多个VM。有一个Storage account启用了private endpoint 这个PE 在Subnet B中。
在Subnet A 中的VM 要访问Storage Account时也可以通过PE的IP 地址访问因为PE 是建立在VNet中A, B 均属于同一个VNet。 如果不在这个VNet中的资源如果配置了如配对VNetPeered VNet) 或者VPN、Express RouteER等也可以直接使用PE 的地址来访问。
对于绝大部分资源PE都可以在资源本身创建和管理这一点不像SE
也可以在network interface上创建这是一个独立的资源和SE中的SE policy类似。 虽然从下图可以看到Private IP 地址是动态的但是在这个资源被删除前一旦创建则不会变化。
DNS
在没有PE 前使用的是公开可用的endpoint这种endpoint使用internet-resolvale domain name不需要管理DNS 命名。但是当使用PE 之后则需要DNS服务来做内部解析。 有两种方式可以操作第一种是在现有DNS 中创建一个forwarder。PE 一ing包含了资源的FQDN和private IP 需要创建一个A record用于为客户端解决FQDN 到private IP 地址的解析问题。 第二种方式使用Azure 的private DNS zones。它在VNet中进行域名解析不需要定制DNS。
小结
由于PE 建立在VNet上所以它带有VNet的一些天然的属性比如限定在同一个region区域和Subscription 中。如果需要跨region或subscription 则要做VNet Peering。PE 建立之后客户端可以通过PE 访问资源但是资源不能通过PE 访问客户端这种连接是单向的。
