Azure Endpoint 解析

今天來討論下Azure虛擬網(wǎng)絡(luò)中的endpoint功能，虛擬網(wǎng)絡(luò)是什么相信已經(jīng)有很多博客有過一些介紹了，對于云比較了解的同學(xué)應(yīng)該不需要再介紹了，各家云廠商對于虛擬網(wǎng)絡(luò)的叫法雖然不一樣，但是本質(zhì)上都是一個東西，AWS和Ali叫VPC，Azure則叫Virtual Network

Azure 虛擬網(wǎng)絡(luò)允許許多類型的 Azure 資源（例如 Azure 虛擬機 (VM)）以安全方式彼此通信、與 Internet 通信，以及與本地網(wǎng)絡(luò)通信。一個虛擬網(wǎng)絡(luò)局限于一個區(qū)域；但是，可以使用虛擬網(wǎng)絡(luò)對等互連將不同區(qū)域的多個虛擬網(wǎng)絡(luò)連接起來。

Azure 資源可以采用下述某種方式安全地相互通信：

• 通過虛擬網(wǎng)絡(luò)：可以將 VM 和多個其他類型的 Azure 資源部署到虛擬網(wǎng)絡(luò)，如 Azure 應(yīng)用服務(wù)環(huán)境、Azure Kubernetes 服務(wù) (AKS) 和 Azure 虛擬機規(guī)模集。

• 通過虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點：通過直接連接將虛擬網(wǎng)絡(luò)專用地址空間和虛擬網(wǎng)絡(luò)的標(biāo)識擴展到 Azure 服務(wù)資源，例如 Azure 存儲帳戶和 Azure SQL 數(shù)據(jù)庫。 使用服務(wù)終結(jié)點可以保護關(guān)鍵的 Azure 服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進行訪問

可組合使用以下任何選項將本地計算機和網(wǎng)絡(luò)連接到虛擬網(wǎng)絡(luò)：

• 點到站點虛擬專用網(wǎng)絡(luò)： 在網(wǎng)絡(luò)中的虛擬網(wǎng)絡(luò)和單臺計算機之間建立連接。要與虛擬網(wǎng)絡(luò)建立連接的每臺計算機必須配置其連接。 這種連接類型適用于剛開始使用 Azure 的人員或開發(fā)人員，因為該連接類型僅需對現(xiàn)有網(wǎng)絡(luò)作出極少更改或不做任何更改。計算機與虛擬網(wǎng)絡(luò)之間的通信經(jīng) Internet 通過加密的通道來發(fā)送。

• 站點到站點： 在本地設(shè)備和虛擬網(wǎng)絡(luò)中部署的 Azure網(wǎng)關(guān)之間建立連接。 此連接類型可使授權(quán)的任何本地資源訪問虛擬網(wǎng)絡(luò)。本地設(shè)備和 Azure 網(wǎng)關(guān)之間的通信經(jīng) Internet 通過加密的通道來發(fā)送。

• Azure Express Route： 通過 Express Route 合作伙伴在網(wǎng)絡(luò)和 Azure 之間建立連接。 此連接是專用連接。流量不經(jīng)過 Internet。

以上是關(guān)于Azure虛擬網(wǎng)絡(luò)的一些基本介紹，注意到在Azure資源之間通信的方法中，有一種是通過一個叫做endpoint的東西，那么什么是這個endpoint，今天來介紹一下

首先來看下endpoint的一些介紹

虛擬網(wǎng)絡(luò) (VNet) 服務(wù)終結(jié)點可通過直接連接將 VNet 的虛擬網(wǎng)絡(luò)專用地址空間和標(biāo)識擴展到 Azure 服務(wù)。 使用終結(jié)點可以保護關(guān)鍵的 Azure 服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進行訪問。 從 VNet 發(fā)往 Azure 服務(wù)的流量始終保留在 Microsoft Azure 主干網(wǎng)絡(luò)中

目前支持endpoint的服務(wù)主要有以下這些

Azure 存儲：在所有 Azure 區(qū)域正式發(fā)布。

Azure SQL 數(shù)據(jù)庫：在所有 Azure 區(qū)域正式發(fā)布。

Azure SQL 數(shù)據(jù)倉庫：在所有 Azure 區(qū)域正式發(fā)布。

Azure Database for PostgreSQL 服務(wù)器：在可以使用數(shù)據(jù)庫服務(wù)的 Azure 區(qū)域中通?？捎?。

Azure Database for MySQL 服務(wù)器：在可以使用數(shù)據(jù)庫服務(wù)的 Azure 區(qū)域中通?？捎?。

Azure Cosmos DB：在所有 Azure 公有云區(qū)域正式發(fā)布。

Azure Key Vault：在所有 Azure 公有云區(qū)域正式發(fā)布。

Azure 服務(wù)總線：在所有 Azure 公有云區(qū)域正式發(fā)布。

Azure 事件中心：在所有 Azure 公有云區(qū)域正式發(fā)布。

那么Endpoint有什么優(yōu)勢呢？

主要有以下幾點：

• 提高了 Azure 服務(wù)資源的安全性：VNet 專用地址空間可能重疊，因此不能用于唯一標(biāo)識源自 VNet 的流量。通過將 VNet 標(biāo)識擴展到服務(wù)，服務(wù)終結(jié)點可以將對 Azure 服務(wù)資源的訪問限定到你的虛擬網(wǎng)絡(luò)。在虛擬網(wǎng)絡(luò)中啟用服務(wù)終結(jié)點后，可以通過將虛擬網(wǎng)絡(luò)規(guī)則添加到資源，在虛擬網(wǎng)絡(luò)中保護 Azure 服務(wù)資源。 這完全消除了通過公共 Internet 對資源進行訪問的可能性，并僅允許來自自己虛擬網(wǎng)絡(luò)的流量，從而提高了安全性。

  因為虛擬網(wǎng)絡(luò)的IP地址很多時候并不一定是唯一的，所以通過IP地址的形式控制網(wǎng)絡(luò)的進出站流量，很多時候會造成一些誤解，并且因為PaaS服務(wù)的IP地址經(jīng)常會發(fā)生變化，也沒有辦法通過IP地址形式控制出入站，所以endpoint是一種很方便的方法，可以通過endpoint直接開啟/關(guān)閉對于某些PaaS服務(wù)的出入站流量。這是一種很有效的補充

• 來自虛擬網(wǎng)絡(luò)的 Azure 服務(wù)流量的最佳路由：當(dāng)前，虛擬網(wǎng)絡(luò)中強制 Internet 流量通過本地和/或虛擬設(shè)備（稱為強制隧道）的任何路由也會強制 Azure 服務(wù)流量采用與 Internet 流量相同的路由。 服務(wù)終結(jié)點為 Azure 流量提供最佳路由。
  終結(jié)點始終將直接來自虛擬網(wǎng)絡(luò)的服務(wù)流量轉(zhuǎn)發(fā)到 Microsoft Azure 主干網(wǎng)絡(luò)上的服務(wù)。將流量保留在 Azure 主干網(wǎng)絡(luò)上可以通過強制隧道持續(xù)審核和監(jiān)視來自虛擬網(wǎng)絡(luò)的出站 Internet 流量，而不會影響服務(wù)流量。

  默認情況下，對于從Azure VM訪問某些PaaS服務(wù)，比如Azure SQL，路由其實是先出站到Internet，然后再訪問到PaaS服務(wù)的公網(wǎng)IP，這個流量看上去像是在公網(wǎng)走了一圈，其實這些訪問還是發(fā)生在Azure數(shù)據(jù)中心內(nèi)部的，但是確實是先出站到Internet，才會訪問PaaS服務(wù)的，那么開啟endpoint之后會如何呢？開啟endpiint之后，會單獨添加一條到PaaS服務(wù)的路由，訪問PaaS服務(wù)時會直接跳到PaaS服務(wù)，而不會先出站到Internet

實際舉例來說，比如從Azure VM訪問Azure SQL

不開Endpoint:在Azure SQL中看到的client IP會是一個公網(wǎng)IP

開啟Endpoint: 在Azure SQL中看到的client IP會是一個私網(wǎng) IP

• 設(shè)置簡單，管理開銷更少：不再需要使用虛擬網(wǎng)絡(luò)中的保留公共 IP 地址通過 IP 防火墻保護 Azure 資源。 無需使用 NAT 或網(wǎng)關(guān)設(shè)備即可設(shè)置服務(wù)終結(jié)點。 只需單擊一下子網(wǎng)，即可配置服務(wù)終結(jié)點。 不會產(chǎn)生與終結(jié)點維護相關(guān)的額外開銷。

  和第一點比較類似，開啟endpoint對于控制安全來講，會方便很多

當(dāng)然了，endpoint本身也存在一些限制，比如：

• 該功能僅適用于使用 Azure 資源管理器部署模型部署的虛擬網(wǎng)絡(luò)。

• 終結(jié)點在 Azure 虛擬網(wǎng)絡(luò)中配置的子網(wǎng)上啟用。 終結(jié)點不可用于從本地發(fā)往 Azure 服務(wù)的流量。

• 對于 Azure SQL，服務(wù)終結(jié)點僅適用于虛擬網(wǎng)絡(luò)區(qū)域中的 Azure 服務(wù)流量。對于 Azure 存儲，為了支持 RA-GRS 和 GRS 流量，終結(jié)點還進行擴展以包括虛擬網(wǎng)絡(luò)所部署到的配對區(qū)域。

• 就 ADLS Gen 1 來說，VNet 集成功能僅適用于同一區(qū)域中的虛擬網(wǎng)絡(luò)。

光這么說可能對于endpoint的理解，還是比較模糊

下邊來舉個實際的例子，比如現(xiàn)在有這么一個需求，希望禁止所有VM出站到internet的流量，僅保留到Azure SQL或者Azure database for MySQL的這種流量

這種規(guī)則當(dāng)然是要靠NSG實現(xiàn)的，那么規(guī)則如何設(shè)置呢？

首先來看下基本環(huán)境的搭建，實驗基本包含以下Azure組件

l Azure VM * 1: EndpointVM

l Azure SQL * 1: EndpointSQL

首先，第一步創(chuàng)建VM

第二步：創(chuàng)建Azure SQL

這里需要注意，Azure SQL中有項設(shè)置叫allow access to Azure services

這個是什么意思呢？我們可以通過一個實驗了解

以下是一個在我本地的服務(wù)器，通過連接工具訪問Azure SQL時可以看到會被提示IP不在白名單中

但在Azure VM通過SSMS進行連接測試，發(fā)現(xiàn)可以訪問

關(guān)閉允許訪問Azure服務(wù)選項后再次測試

再次在Azure VM中訪問

此時會發(fā)現(xiàn)已經(jīng)沒辦法訪問了

因此實際上允許訪問Azure服務(wù)這個選項開啟后，Azure VM不需要添加白名單即可訪問Azure SQL服務(wù)

再次測試開啟允許訪問Azure服務(wù)，同時在安全組直接限制所有出站

開啟允許訪問Azure服務(wù)選項，但是限制所有的出站，再次測試訪問情況，訪問失敗提示超時

也就是說：開啟允許訪問Azure服務(wù)選項時，只是不需要單獨開IP的白名單，當(dāng)時不是直接走內(nèi)網(wǎng)，實際走的也是公網(wǎng)，只不過在檢測時因為是Azure的IP，所以直接放行了，這和開啟endpoint是不一樣的

關(guān)閉允許訪問Azure服務(wù)選項

之后添加Endpoint

可以看到endPoint已經(jīng)添加成功

之后添加虛擬網(wǎng)絡(luò)規(guī)則

再次測試，仍然無法訪問

添加到Azure SQL的允許出站的規(guī)則

再次測試

可以連接

所以，總結(jié)來說，通過endpoint，可以非常方便控制IaaS VM對于PaaS服務(wù)的訪問情況