Azure Virtual Network Service Endpoints
Sanal Ağ (VNet) service endpoints, sanal ağ özel adres alanınızı ve VNet’inizin kimliğini doğrudan bir bağlantı üzerinden Azure servislerine genişletir. Service endpoints , kritik Azure servis kaynaklarını yalnızca sanal ağlarınıza korumanızı sağlar. VNet’inizden Azure hizmetine gelen trafik her zaman Microsoft Azure omurga ağında kalır.
Service endpoints aşağıdaki avantajları sağlar:
- Azure servis kaynaklarınız için geliştirilmiş güvenlik: Service Endpoints, VNet kimliğini hizmete genişleterek Azure hizmet kaynaklarını sanal ağınıza güvenli hale getirme olanağı sağlar. Sanal ağınızda service endpoints etkinleştirildikten sonra, kaynaklara sanal bir ağ kuralı ekleyerek Azure hizmet kaynaklarını sanal ağınıza güvence altına alabilirsiniz. Bu, kaynaklara genel internet erişimini tamamen kaldırarak ve yalnızca sanal ağınızdan trafiğe izin vererek daha yüksek güvenlik sağlayabilirsiniz.
- Sanal ağınızdan Azure servis trafiği için optimum yönlendirme: Bugün, sanal ağınızdaki Internet trafiğini tesislerinize ve / veya zorla tünel olarak bilinen sanal cihazlara zorlayan herhangi bir yol, Azure servis trafiğini aynı rotaya götürmeye zorlar. Service endpoints, Azure trafiği için en uygun yönlendirmeyi sağlar. Endpoints, servis trafiğini her zaman doğrudan sanal ağınızdan Microsoft Azure omurga ağındaki servise götürür. Azure omurgası ağındaki trafiği sürdürmek, sanal ağlarınızdan zorla tünelleme yoluyla, servis trafiğini etkilemeden giden Internet trafiğini denetlemeye ve izlemeye devam etmenizi sağlar.
- Daha az yönetim yükü ile basit kurulum: Artık Azure kaynaklarını IP güvenlik duvarı üzerinden korumak için sanal ağlarınızdaki ayrılmış genel IP adreslerine ihtiyacınız yoktur. Hizmet bitiş noktalarını ayarlamak için gerekli NAT veya ağ geçidi cihazı yoktur. Servis uç noktaları, bir alt ağa basit bir tıklama ile yapılandırılır. Uç noktaları korumak için ek bir ek masraf yoktur.
Limitler :
- Bu özellik yalnızca Azure Resource Manager dağıtım modeli aracılığıyla dağıtılan sanal ağlar tarafından kullanılabilir.
- Endpointler Azure sanal ağlarında yapılandırılmış alt ağlarda etkindir. Tesislerinizden Azure hizmetlerine trafik için kullanılamaz.
- Azure SQL için, bir hizmet bitiş noktası yalnızca bir sanal ağ bölgesindeki Azure servis trafiği için geçerlidir. Azure Storage için RA-GRS ve GRS trafiğini desteklemek üzere, uç noktalar sanal ağın konuşlandırıldığı eşleşmiş bölgeleri de içerecek şekilde genişletilir.
- ADLS Gen 1 için, VNet Integration özelliği yalnızca aynı bölgedeki sanal ağlar için kullanılabilir.
Kullanım senaryoları:
- Eşleştirilmiş, bağlı veya çoklu sanal ağlar: Azure hizmetlerini sanal bir ağ içindeki birden fazla alt ağa veya birden fazla sanal ağa sabitlemek için, alt ağların her birinde hizmetin bitiş noktalarını bağımsız olarak etkinleştirebilir ve Azure hizmet kaynaklarını tüm alt ağlara güvence altına alabilirsiniz.
- Bir sanal ağdan Azure servislerine giden trafiği filtreleme: Bir Azure servisine yönlendirilen trafiği sanal bir ağdan incelemek veya filtrelemek istiyorsanız, sanal ağ içindeki bir ağ sanal cihazını dağıtabilirsiniz. Servis uç noktalarını daha sonra ağ sanal cihazının kurulu olduğu alt ağa uygulayabilir ve Azure servis kaynaklarını yalnızca bu alt ağa güvence altına alabilirsiniz. Ağ sanal aracı filtrelemesini kullanarak Azure hizmeti erişimini sanal ağınızdan yalnızca belirli Azure kaynaklarıyla sınırlandırmak istiyorsanız, bu senaryo yararlı olabilir.
- Azure kaynaklarını doğrudan sanal ağlara dağıtılan hizmetlere güvenceye alma: Çeşitli Azure hizmetleri doğrudan sanal ağdaki belirli alt ağlara dağıtılabilirsiniz. Yönetilen servis alt ağında bir servis uç noktası ayarlayarak Azure servis kaynaklarını yönetilen servis alt ağlarına güvence altına alabilirsiniz.
- Azure sanal makinesinden disk trafiği: Yönetilen / yönetilmeyen diskler için Sanal Makine Disk trafiği (mount ve unmount, diskIO dahil), Azure Storage için yönlendirme değişikliklerinin servis uç noktalarından etkilenmez. Hizmet bitiş noktaları ve Azure Storage ağ kuralları aracılığıyla ağları seçmek için REST erişimini sayfa bloglarına sınırlayabilirsiniz.