Azure 服务终结点与专用终结点
Azure Service Endpoints together with Private Endpoints
我看过一些关于私有端点(私有 Link)和服务端点之间差异的文章:https://samcogan.com/service-endpoints-and-private-link-whats-the-difference/
而且我发现了一些关于同时使用两者的点点滴滴https://docs.microsoft.com/en-us/azure/postgresql/concepts-data-access-and-security-private-link#private-link-combined-with-firewall-rules
但我对此了解不多。具体来说,我们正在考虑一种架构,在这种架构中,我们使用服务端点和 Vnet 在我们的微服务环境中进行通信,并使用专用端点使用具有专用端点的特定专用 IP 的 VPN 从本地网络提供一些服务。
所以我们有些服务只有服务端点,有些服务有服务端点和私有端点。这种方法有什么问题吗? DNS以后会不会出问题?如果我有私有 DNS,我网络中的命名是否总是解析为内部 IP?
我已经使用两者创建了一些服务,但无法测试 VPN 端,也无法测试私有 DNS,因为它尚未为我们启用。但是一切似乎都可以使用事物的服务端点端。
因此服务端点和私有 Link 具有几乎相同的用例,但区别在于私有与 public 端点访问。例如,服务端点允许 VNet 访问 Azure 存储或诸如此类的东西,但 public 端点仍然可以通过它在 .blob.core.windows.net 上的 public 端点访问。
如果你为它创建一个私有 link,dns 将通过私有 ip 路由并更改为 .privatelink.blob.core.windows.net。
更多关于 here.
所以回到您的体系结构,我不确定您的网络是什么样的,但我们假设您已经配置了与本地和云 vnet 的连接,端点公开为私有 links应该可以工作,因为它有一个 dns 可路由名称,并且可以通过您将私有 link 关联到的子网访问。
对我们来说,这个新功能在保护 PaaS 产品方面有点改变游戏规则,因为我们不必再将资源直接放在它自己的 VNet 中(这可能很昂贵,例如一个独立的 Web 应用程序)。
希望对您有所帮助。
我看过一些关于私有端点(私有 Link)和服务端点之间差异的文章:https://samcogan.com/service-endpoints-and-private-link-whats-the-difference/
而且我发现了一些关于同时使用两者的点点滴滴https://docs.microsoft.com/en-us/azure/postgresql/concepts-data-access-and-security-private-link#private-link-combined-with-firewall-rules
但我对此了解不多。具体来说,我们正在考虑一种架构,在这种架构中,我们使用服务端点和 Vnet 在我们的微服务环境中进行通信,并使用专用端点使用具有专用端点的特定专用 IP 的 VPN 从本地网络提供一些服务。
所以我们有些服务只有服务端点,有些服务有服务端点和私有端点。这种方法有什么问题吗? DNS以后会不会出问题?如果我有私有 DNS,我网络中的命名是否总是解析为内部 IP?
我已经使用两者创建了一些服务,但无法测试 VPN 端,也无法测试私有 DNS,因为它尚未为我们启用。但是一切似乎都可以使用事物的服务端点端。
因此服务端点和私有 Link 具有几乎相同的用例,但区别在于私有与 public 端点访问。例如,服务端点允许 VNet 访问 Azure 存储或诸如此类的东西,但 public 端点仍然可以通过它在 .blob.core.windows.net 上的 public 端点访问。 如果你为它创建一个私有 link,dns 将通过私有 ip 路由并更改为 .privatelink.blob.core.windows.net。 更多关于 here.
所以回到您的体系结构,我不确定您的网络是什么样的,但我们假设您已经配置了与本地和云 vnet 的连接,端点公开为私有 links应该可以工作,因为它有一个 dns 可路由名称,并且可以通过您将私有 link 关联到的子网访问。
对我们来说,这个新功能在保护 PaaS 产品方面有点改变游戏规则,因为我们不必再将资源直接放在它自己的 VNet 中(这可能很昂贵,例如一个独立的 Web 应用程序)。
希望对您有所帮助。