Azure 存储帐户网络:何时使用防火墙和服务端点
最近,在为我的即将开设的一门课程Microsoft Azure Architect Technologies - Exam AZ-300构建内容时,我发现 Microsoft 文档并没有立即明确说明存储帐户防火墙和服务端点的排他性。
我是否需要一起使用它们,或者它们可以完全独立使用?
与往常一样,一旦我们深入了解并借助测试环境,我们就会更加清楚地了解事情的实际运作方式。
本文分享了我在这一旅程中所学到的一些重要经验教训。
我是否需要同时使用服务端点和存储防火墙?
配置存储帐户防火墙时,我们不必配置服务端点。同样,当我们为存储配置服务端点时,不需要存储防火墙规则即可实现安全/私有连接。
这是两个互补的功能。让我们仔细看看其中的原因。
服务端点
如果我们从服务端点开始,那么理解这实际上是虚拟网络的一个属性会有所帮助。以下是我们可以如何配置它:
vnet1创建一个具有一个子网的VNet ( ) (subnet1)- 运行以下 CLI 命令:
az network vnet subnet update -g vnet1rg --vnet-name vnet1 -n subnet1 --service-endpoints "Microsoft.Storage"
现在我们实际上所做的是通过 Microsoft 主干网启用了新的默认路由 ;完全避开了公共互联网。
如果您在该子网中有一个 NIC 并查看了有效路由,您将看到如下内容:
这意味着连接的设备subnet 1 不再需要通过公共互联网来访问 Microsoft 存储。
提示:服务端点帮助我们创建使用 Microsoft 主干网而非公共互联网的最佳网络路由。这样做的好处之一是提高了安全性,因为使用此功能的资源将私密且安全地连接到 Microsoft 存储。
存储帐户防火墙
接下来,假设我们想要在网络层保护存储帐户。更具体地说,我们想要限制对特定存储帐户的访问,并且只允许受信任的 IP。我们可以使用存储帐户防火墙来实现这一点。
以下是我们如何配置它的示例:
- 创建存储帐户
- 导航到该存储帐户的防火墙和虚拟网络设置
- 通过选择允许从选定网络进行访问来启用防火墙
- 添加我们需要的任何允许的 IP(或不添加任何 IP)
当我们启用防火墙时,存储帐户配置的第一个更改是添加了默认的“拒绝”规则。通过资源浏览器( https://resources.azure.com)可以更好地看到这一点:
除我们豁免的服务或我们列入白名单的 IP 地址外,其他任何内容均不得访问存储帐户。另请注意,我们无法将私有 IP 地址列入白名单,只能将公共 IP 地址列入白名单。
提示:启用存储帐户防火墙会为该存储帐户创建默认的“拒绝”网络规则,从而有效地阻止所有流量。然后,只能通过允许特定 VNet 或将公共 IP 地址列入白名单来允许流量通过。
我们应该使用其中一个功能还是两个功能都使用?
默认拒绝规则就是为什么这两个功能有时听起来像是需要同时启用的原因。如果我们确实启用了存储帐户防火墙,并且仍然希望 VNet 中的资源具有访问权限,那么我们有两个选择:- 记下我们资源的公共 IP 地址,并将其添加到白名单规则中,或者
- 为资源子网启用服务端点
但是,没有什么可以阻止我们单独使用任何一项服务。我们可以使用服务端点来优化路由,或者我们可以单独使用存储防火墙来锁定网络访问。
提示:这里的关键信息是了解每个功能的实际作用。一个用于路由,一个用于网络访问控制。
如果您正在寻找更多信息,请随时通过社区、社交媒体与我联系,或查看最近预览的AZ-300 课程。新的AZ-300 Azure 架构师技术课程涵盖了这些内容以及更多内容。
与往常一样,朋友们,我希望这会有所帮助!
免责声明:本内容来源于第三方作者授权、网友推荐或互联网整理,旨在为广大用户提供学习与参考之用。所有文本和图片版权归原创网站或作者本人所有,其观点并不代表本站立场。如有任何版权侵犯或转载不当之情况,请与我们取得联系,我们将尽快进行相关处理与修改。感谢您的理解与支持!
请先 登录后发表评论 ~