【Azure 架构师学习笔记】- Azure Service Endpoint 和 Azure Private Endpoint

最新推荐文章于 2025-03-20 15:49:44 发布
原创 最新推荐文章于 2025-03-20 15:49:44 发布 · 828 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#azure #Azure Security

本文对比了AzurePrivateEndpoint(PE)和ServiceEndpoint(SE)在作用范围、IP类型、配置、性能、安全性和费用等方面的区别,提供使用建议,指出在实际场景中两者可能的配合策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文属于【Azure 架构师学习笔记】系列。

前言

前面两章【Azure 架构师学习笔记】- Azure Private Endpoint【Azure 架构师学习笔记】- Azure Service Endpoint 分别介绍了PE 和SE的内容。那么这两者的区别在哪里,什么时候用?通过网上搜集资料和测试,总结了以下内容。

Virtual Network和Subnet

VNet是Azure 上的一个虚拟网络,可以允许Azure 资源之间的网络互访,甚至通过配置从而允许互联网,本地等连接。比如VNet之间还可以使用对等网络来实现VNet之间的互访。
在VNet下是一些Subnet,它们把VNet分成了一些小区域,从而进一步地控制网络范围。
VNet和Subnet共同组合成一个唯一IP 地址范围。

PE和SE的不同

  1. 作用范围不同:我们前面提到的PE和SE就分别创建在VNet和Subnet之上。PE 会对单独的资源实体进行应用而SE 则会对所有这个类型的实体进行应用。
  2. IP 地址类型不同:当使用PE 时,连接是使用private IP。而使用SE 时,则依旧使用public IP。
  3. 配置复杂度不同:PE 需要配置DNS 而SE 不需要。PE 还需要保证VNet上有可用空间。
  4. 性能不同:SE 由于其配置简单,通常具有更好的性能。
  5. 安全程度不同:由于配置的复杂度不同,带来了PE 的安全性更高。
  6. 适用范围不同:不是所有的Azure 资源都支持PE 或者SE,使用前需要检查。
  7. 费用不同:SE没有什么费用而PE 则有费用。
  8. 维护难度:SE比PE更容易维护。
  9. 能否连接本地:如果没有开放公网IP到白名单,使用SE时本地不能访问SE 的资源。

建议

你可以同时启用PE 和SE 到“刚好”同时允许启用的某个资源上,当你从本地访问云时,PE 会优先使用,而SE 更多是云内部,从IaaS到PaaS之间。 但是从下面微软文档可以看出,除非考虑搭建成本和运维成本,否则建议使用PE 。

https://learn.microsoft.com/zh-cn/azure/virtual-network/vnet-integration-for-azure-services#compare-private-endpoints-and-service-endpoints

Azure 架构师学习笔记- Azure Private Endpoint
MVP黄钊吉(發糞塗牆)
03-07 1540
公有云的其中一个特点是默认允许公网访问, 这就对企业环境带来风险,也是很多年前企业对公有云抵触的其中一个原因,现在这类问题已经很少,因为有了很多技术来确保云上的资源被安全地访问。其中Private endpoint(PE)就起到了很重要的作用。云上的某个资源如VM会创建在特定的网络(VNet/Subnet)上, 而其他如Storage Account , Azure SQL等PaaS服务则没有。如果你需要用VM 来访问这些PaaS资源,VM 就会通过资源的公网IP 来访问。
Azure Endpoint 解析
weixin_33711647的博客
01-29 1397
今天来讨论下Azure虚拟网络中的endpoint功能,虚拟网络是什么相信已经有很多博客有过一些介绍了,对于云比较了解的同学应该不需要再介绍了,各家云厂商对于虚拟网络的叫法虽然不一样,但是本质上都是一个东西,AWSAli叫VPC,Azure则叫Virtual NetworkAzure 虚拟网络允许许多类型的 Azure 资源(例如 Azure 虚拟机 (VM))以安全方式彼...
Azure 架构师学习笔记- Azure Service Endpoint
MVP黄钊吉(發糞塗牆)
03-05 941
在做Azure 架构时,经常会被问到Service Endpoint这个点,那么这篇文章来介绍一下Service Endpoint(SE)。
Azure 架构师学习笔记- Azure Databricks (6) - 配置Unity Catalog
MVP黄钊吉(發糞塗牆)
01-15 1658
本文属于。本文属于【Azure Databricks】系列。接上文。
Azure 架构师学习笔记-Azure Synapse -- Link for SQL 实时数据加载
MVP黄钊吉(發糞塗牆)
02-27 1291
Azure Synapse Link for SQL 可以提供从SQL Server或者Azure SQL中接近实时的数据加载。通过这个技术,使用SQL Server/Azure SQL中的新数据能够几乎实时地传送到Synapse(SQL DW)中。然后进行后续的数据分析。这个过程通过change feed技术最小化对Azure SQL/SQL Server的影响。在这个移动过程中,会使用ADLS Gen2 作为暂存,然后再加载到Synapse dedicated pool中。
Azure 架构师学习笔记-Azure Data Factory (5)-Managed VNet
MVP黄钊吉(發糞塗牆)
03-28 855
PaaS服务默认都经过公网传输, 这对很多企业而言并不安全,那么就需要对其进行安全改造,本文介绍一下ADF 在这方面的内容。当我们需要用ADF 访问SQL DB 时,如何使用更加安全?如果有一定ADF 基础的人可能知道ADF 可以使用SHIR,Azure IR两种主流方式, SHIR 基于VM ,IaaS是可以通过网络配置使其私有化,更加安全。对于Azure IR,默认使用Internet。
file-share-private-endpoint:此示例演示如何在虚拟网络中创建Linux虚拟机,该虚拟网络使用Azure私有端点私有访问Azure文件共享
03-26
通过专用端点连接到Azure文件共享 此示例演示如何在虚拟网络中创建Linux虚拟机,该虚拟网络使用两个于访问ADLS Gen 2 blob存储帐户。 Azure专用终结点是一个网络接口,可将您私密安全地连接到由Azure专用链接提供...
Azure 应用服务】App Service 开启了私有终结点(Private Endpoint)模式后,如何来实现公网Git部署呢?
qq_45562973的博客
06-21 392
因为中国区的App Service对外(公网访问)需要进行ICP备案,所以很多情况下,Web应用部署到App Service后,都是通过Application Gateway(应用程序网关)来对外网暴露,提供公网访问。上图列出了使用Application Gateway后,外网访问App Service的示意图。 如果直接访问,则会出现403的错误页面。那么,在这样的情况下,我们如何来实现通过公网暴露Git的URI,实现外网成功部署App Service的代码呢?当然,可以通过Application Gat
Azure 架构师学习笔记- Azure Databricks (1) - 环境搭建
MVP黄钊吉(發糞塗牆)
11-30 1963
Databricks 已经成为了数据科学的必备工具,今时今日你已经很难抛开它来谈大数据,它常用于做复杂的ETL中的T, 数据分析,数据挖掘等,特别适用于做数据建模,机器学习等。那么顺应时代,现在也来看看这个工具的内容。首先要有一个环境,基于Azure 的Databricks简称ADB。托管在Azure 上的Databricks已经被Azure进行了很大的优化, 在搭建时只需要简单的几步即可拥有一个环境,不过要提醒一句ADB的集群并不便宜,用完马上删掉或停止, 否则一晚过百美金就会烧掉。
Azure 架构师学习笔记-Azure Data Factory (3)-触发器详解-翻转窗口
MVP黄钊吉(發糞塗牆)
02-24 597
上文中提到触发器的类型有以下4种,其中第一种【计划】是常用的, 与其他工具/服务类似的方式,这里就只做简单介绍:可以看到这种类型下,都是基于日期形式的选择:还能根据月历来指定具体的停止时间:但是本文重点介绍的是另外一种类型【翻转窗口】。
Azure 架构师学习笔记- Azure Databricks (7) --Unity Catalog(UC) 基本概念组件
MVP黄钊吉(發糞塗牆)
02-19 1746
在以前的Databricks中,主要由Workspace集群、SQL Warehouse组成, 这两年Databricks公司推出了Unity Catalog(UC)之后,整个Databricks架构都有了不一样的改变。它在Workspace之上添加了一层UC, 包含了用户管理(User Management)元存储(Metastore)。
Azure 架构师学习笔记- Azure Networking(1) -- Service Endpoint Private Endpoint
最新发布
MVP黄钊吉(發糞塗牆)
03-20 1172
最近公司的安全部门在审计云环境安全性时经常提到service endpoint(SE)priavate endpoint(PE)的术语,为此做了一些研究储备。云计算的本质就是网络, 默认情况下资源间及外部都是通过公网也就是互联网访问。为了安全,Azure引入了SEPE 等服务。云环境网络流动主要有两个:inbound(入境)outbound(出境),前者意味着站在某个资源角度比如一个storage account, 外部的数据流入。后者则表示storage account的数据返回。
中国区的Azure添加到 VSTS 的 Service Endpoint
weixin_30955617的博客
11-20 208
把中国区的Azure添加到 VSTS (Visual Studio Team System) 的 Service Endpoint。 这个是使用 VSTS 自动部署到中国区Azure的前置条件。 Service Endpoint是以项目为单位进行配置的。 打开 https://cnryb.visualstudio.com/AzureChinaCiTest/_admin/_services ...
Azure 批量管理 Endpoint
weixin_34259232的博客
08-24 227
Azure 中使用经典部署模型创建的所有虚拟机都可以通过专用网络通道与同一云服务或虚拟网络中的其他虚拟机自动通信。但是,Internet 上的计算机或其他虚拟网络需要终结点才能定向虚拟机的入站网络流量。这篇文章也适用于 Linux 虚拟机。在 Azure 经典管理门户中创建 Windows 虚拟机时,通常会为你自动创建常用终结点(如用于远程桌面 Windows Powe...
Azure Database for MySQL Connection Security -(3) Private Endpoint
yushuzhen2008的博客
08-27 266
本文介绍: Azure Database for MySQL 安全连接的第三种方式:Private endpoint connections 案例:创建MySQL private endpoint connection; 在相同VNET里的VM里通过private endpoint 连接到MySQL; 跨VNET的 VM无法通过private endpoint 连接到MySQL; 图文步骤: (一)禁用公网访问: Deny public net...
ZA303学习笔记十一管理Azure治理方案(管理组,RBAC,访问评审,policy,Blueprint)
weixin_43258559的博客
01-21 973
部署管理Azure治理方案创建管理包含管理组,订阅资源组的继承结构Azure管理组Azure基于角色的访问控制(Azure RBAC)角色的定义作用域创建一个自定义RBAC角色解读实际权限Azure AD访问评审创建访问评审收到邮件审批部署配置一个Azure Policy策略Azure Policy策略部署配置一个Azure Blueprint蓝图Azure Blueprint蓝图 创建管理包含管理组,订阅资源组的继承结构 Azure管理组 如果你的组织有多个订阅,则可能需要一种方法来高效地
Azure 基础知识简介-Azure服务
月球挖掘机
04-20 4836
Azure 服务 以下是 Azure 中可用的服务功能概览。 让我们更详细地了解最常用的类别: 计算 网络 存储 移动 数据库 Web 物联网 (IoT) 大数据 AI DevOps 计算 计算服务通常是众多公司迁移到 Azure 平台的主要原因之一。 Azure 提供了一系列用于托管应用程序服务的选项。 下面是 Azure 中的计算服务的一些示例。 表 1 服务名称 服务功能 Azure 虚拟机 Azure 中托管的 Windows 或 Linux 虚拟
Azure基础:Azure 服务分类(5)
WenZhongxiang
02-24 720
Azure提供超过100种服务,可以用于最为直接的虚拟机替代物理主机运行现有应用,如下是Azure支持的服务及相应的服务展示图供大家查阅: 基础架构服务 计算 Virtual Machines Containers 存储 Blob Queues Files Disks 网络 Virtual Network Load Balancer DNS Express Route Traffic Manager VPN Gateway App Gateway 平台服务 媒体&CD
Azure Private endpoint DNS 记录是如何解析的
vincent的博客
01-26 1400
可以看到 HOSTNAME.blob.core.windows.net 解析到了 CNAME HOSTNAME.privatelink.blob.core.windows.net, 之后HOSTNAME. privatelink.blob.core.windows.net 才会解析到 CNAME blob.sn1prdstr01a.store.core.windows.net, 然后解析到公网地址 20.38.104.164。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值