你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何在中心辐射型网络拓扑中使用 Azure 专用链接。 目标受众包括网络架构师和云解决方案架构师。 本指南概述了如何使用 Azure 专用终结点以专用方式访问平台即服务(PaaS)资源。
本指南不介绍用于将基础结构即服务 (IaaS) 组件连接到 Azure PaaS 资源的虚拟网络集成、服务终结点和其他解决方案。 有关这些解决方案的详细信息,请参阅 将 Azure 服务与虚拟网络集成,以便进行网络隔离。
Azure 中心辐射型拓扑
可以使用 Azure 中的中心辐射型网络拓扑高效管理通信服务并大规模满足安全要求。 有关详细信息,请参阅中心辐射型网络拓扑。
中心辐射型体系结构具有以下优势:
- 在中心 IT 团队和工作负荷团队之间部署单个工作负荷
- 通过最大程度地减少冗余资源来节省成本
- 通过集中多个工作负荷共享的服务来高效管理网络
- 克服与单个 Azure 订阅关联的限制
下图显示了可在 Azure 中部署的典型中心辐射型拓扑。
下载此体系结构的 Visio 文件。
此体系结构是 Azure 支持的两个网络拓扑选项之一。 此经典参考设计使用 Azure 虚拟网络、虚拟网络对等互连和用户定义的路由 (UDR) 等基本网络组件。 使用中心辐射型拓扑时,需要配置服务,并确保网络满足安全性和路由要求。
Azure 虚拟 WAN 为大规模部署提供了替代方案。 此服务使用简化的网络设计。 虚拟 WAN 可减少与路由和安全性关联的配置开销。
专用链接支持传统中心辐射型网络和虚拟 WAN 网络的不同选项。
专用链接
专用链接通过专用终结点网络接口提供对服务的访问。 专用终结点使用虚拟网络中的专用 IP 地址。 可以通过该专用 IP 地址访问各种服务:
- Azure PaaS 服务
- 客户拥有的、Azure 托管的服务
- Azure 托管的合作伙伴服务
虚拟网络与访问的服务之间的流量通过 Azure 网络主干传输。 因此,你不再通过公共终结点访问服务。 有关详细信息,请参阅 专用链接。
下图显示了本地用户如何连接到虚拟网络并使用专用链接访问 PaaS 资源。
下载此体系结构的 Visio 文件。
选择最佳专用链接部署配置
可以在中心或支路中部署专用终结点。 有几个因素决定了在每种情况下哪个位置最合适。 请考虑以下因素来确定 Azure PaaS 服务和 Azure 托管的客户拥有和合作伙伴服务的最佳配置。
确定是否使用虚拟 WAN 作为网络连接解决方案
如果你使用虚拟 WAN,则只能在连接到虚拟中心的支路虚拟网络上部署专用终结点。 不能将资源部署到虚拟中心或安全中心。
有关将专用终结点集成到网络的详细信息,请参阅以下文章:
确定是否使用网络虚拟设备(例如 Azure 防火墙)
发到专用终结点的流量使用 Azure 网络主干并已加密。 可能需要记录或筛选该流量。 如果使用以下区域中的防火墙,可能还需要分析流向专用终结点的流量:
- 跨辐条
- 在中心与支路之间
- 在本地组件与 Azure 网络之间
在这种情况下,请在专用子网中的中心内部署专用终结点。 此设置具有以下优势:
简化了安全网络地址转换 (SNAT) 规则配置。 可以在网络虚拟设备(NVA)中创建单个 SNAT 规则,以便将流量发送到包含专用终结点的专用子网。 可以在不应用 SNAT 的情况下将流量路由到其他应用程序。
简化了路由表配置。 对于流向专用终结点的流量,可以添加规则,通过网络虚拟设备(NVA)对该流量进行路由。 可以在所有分支、虚拟专用网络(VPN)网关和 Azure ExpressRoute 网关中重复使用该规则。
允许您在专用于专用终结点的子网中,对入站流量应用网络安全组规则。 这些规则筛选发往资源的流量。 它们提供了单个位置用于控制对资源的访问。
集中管理专用终结点。 如果在一个位置部署所有专用终结点,则可以在所有虚拟网络和订阅中更有效地管理它们。
当所有工作负荷都需要访问专用链接保护的每个 PaaS 资源时,请使用此配置。 如果工作负荷访问不同的 PaaS 资源,请不要在专用子网中部署专用终结点。 应该通过遵循最低特权原则来提高安全性:
- 将每个专用终结点放在单独的子网中。
- 仅为使用受保护资源的工作负载授予对该资源的访问权限。
确定是否从本地系统使用专用终结点
如果你打算使用专用终结点从本地系统访问资源,请在中心部署终结点。 此设置具有以下优势:
- 可以使用网络安全组来控制对资源的访问。
- 可以在集中位置管理专用终结点。
如果计划从在 Azure 中部署的应用程序访问资源,则适用以下因素:
- 如果只有一个应用程序需要访问你的资源,请在该应用程序的支路中部署专用终结点。
- 如果多个应用程序需要访问资源,请在中心部署专用终结点。
Flowchart
以程图总结了选项和建议。 每个客户都有一个独特的环境,因此在决定将专用终结点放在何处时,请考虑系统的要求。
下载此体系结构的 Visio 文件。
Considerations
以下因素可能会影响专用终端的实施。 这些因素适用于 Azure PaaS 服务以及由 Azure 托管的但由客户拥有的服务和合作伙伴服务。
网络
在支路虚拟网络中使用专用终结点时,子网的默认路由表包括/32下一个跃点类型为的路由InterfaceEndpoint。
如果使用传统的中心辐射型拓扑,可以在虚拟机(VM)的网络接口级别查看此有效路由。 有关详细信息,请参阅 诊断 VM 路由问题。
如果使用虚拟 WAN,可以在虚拟中心有效路由中查看此路由。 有关详细信息,请参阅查看虚拟中心有效路由。
路由 /32 将传播到以下区域:
- 配置的任何虚拟网络对等互连
- 与本地系统建立的任何 VPN 或 ExpressRoute 连接
若要限制从中心或本地系统访问专用终结点,请使用在其中部署专用终结点的子网中的网络安全组。 配置适当的入站规则。
名称解析
虚拟网络中的组件将专用 IP 地址与每个专用终结点相关联。 如果你使用特定的域名系统 (DNS) 设置,这些组件只能解析该专用 IP 地址。 如果使用自定义 DNS 解决方案,请使用 DNS 区域组。 将专用终结点与集中式 Azure 专用 DNS 区域集成,无论是在中心还是辐射中部署资源。 将专用 DNS 区域链接到需要解析专用终结点 DNS 名称的所有虚拟网络。
在此方法中,本地和 Azure DNS 客户端可以解析名称和访问专用 IP 地址。 有关参考实现,请参阅专用链接与 DNS 的大规模集成。
Costs
在区域虚拟网络对等互连中使用专用终结点时,传入和传出专用终结点的流量不会产生对等互连费用。
流经虚拟网络对等互连的其他基础结构资源流量会产生对等互连费用。
跨不同区域部署专用终结点时,将适用 Private Link 费用以及全球互连入站和出站费用。
有关详细信息,请参阅带宽定价。
Contributors
Microsoft维护本文。 以下参与者撰写了本文。
主要作者:
- Jose Angel Fernandez Rodrigues | 高级专家 GBB
其他参与者:
- Ivens Applyrs | Product Manager 2
若要查看非公开的LinkedIn个人资料,请登录LinkedIn。