我猜我遗漏了一些东西,但我只是不明白服务端点。
假设我有 Azure SQL,我想尽可能地保护它。现在,我可以使用防火墙 IP 规则来防止来自公共网络的未经授权的访问。
如果我理解正确的话,这与服务端点无关。
因此,我可以设置一个端点来连接我订阅中的虚拟机到 Azure SQL。但是,如果我有或没有服务端点,会有什么区别呢?据我所知,服务端点使我的资源通过 Azure 主干网而不是通过公共 IP 访问 SQL。因此,这意味着服务端点与外部访问无关,外部访问仍然受到防火墙 IP 规则的保护。
那是对的吗?
服务端点是否可以防止使用公共 IP 访问 Azure 资源?
我真的感觉我错过了一些东西……
谢谢!
答案1
服务端点使得 Azure 资源可在虚拟网络内直接访问。
SEP 将在虚拟网络中公开一个私有 IP 地址,所有连接到该网络的虚拟机都可以通过这个私有 IP 地址直接访问资源,而无需退出网络并经过互联网。
答案2
据我所知,服务端点用于大多数托管资源,如 sql server、存储帐户、keg vault 等。在将特定子网列入白名单时,您正在主机上设置服务端点。发布此消息后,从源到列入白名单的目的地的所有流量都通过微软主干网络。
相反如果设置了公网,流量就会流入公网。
同样,也存在用于 1-1 流量的私有端点。