#azure
Вопрос:
До сих пор я предполагал, что трафик, передаваемый между 2 ресурсами azure (скажем, между виртуальной машиной Azure и учетной записью хранилища или хранилищем ключей), проходил через Интернет, если частные и служебные конечные точки не настроены. Но сегодня мой коллега поделился статьей, в которой говорится, что весь трафик между центрами обработки данных Azure не проходит через Интернет, он находится только в магистральной сети Microsoft. Ссылка на статью — https://azure.microsoft.com/en-in/blog/how-microsoft-builds-its-fast-and-reliable-global-network/
Теперь может быть 2 вещи:
- Либо статья устарела (она датирована 2017 годом) и больше не соответствует действительности, и без какой-либо специальной конфигурации трафик между 2 ресурсами azure проходит через Интернет, либо,
- Трафик действительно проходит через сеть Microsoft, а не через Интернет, но в таком случае, в чем преимущество частной конечной точки, кроме того факта, что мы можем назначить частный IP-адрес службе PaaS.
Любые идеи в этом отношении будут высоко оценены. заранее спасибо!
Ответ №1:
- Да, весь трафик, передаваемый между службами Azure, проходит по магистральной сети Microsoft. Это задокументировано здесь
Да, любой трафик между центрами обработки данных в Microsoft Azure или между службами Microsoft, такими как виртуальные машины, Microsoft 365, XBox, базы данных SQL, хранилища и виртуальные сети, маршрутизируется в нашей глобальной сети, а не через общедоступный Интернет, для обеспечения оптимальной производительности и целостности.
- Конечные точки служб обеспечивают дополнительный уровень изоляции и безопасности в соответствии с документами Microsoft :
Сетевые подключения могут быть инициированы только клиентами, подключающимися к частной конечной точке. Поставщики услуг не имеют конфигурации маршрутизации для создания соединений с потребителями услуг. Соединения могут быть установлены только в одном направлении.
Чтобы лучше понять частные конечные точки, я бы рекомендовал также прочитать больше о службе частных ссылок.
Ответ №2:
Разница в том, что службы с частной конечной точкой недоступны ни из какого другого места, кроме вашей виртуальной сети.
Если у вас есть виртуальная машина -> Хранилище без частной конечной точки, трафик будет проходить по сети MS, но ваша конечная точка хранения является общедоступной (я могу связаться с ней со своего ноутбука 🙂 )
Если вы размещаете свое хранилище в виртуальной сети с частными конечными точками, мне нужно иметь доступ к виртуальной сети, чтобы я мог добраться до конечной точки хранилища