Azure 服务终结点和专用终结点

Question

我看过一些文章处理私有端点（带有私有链接）和服务端点之间的区别：https://samcogan.com/service-endpoints-and-private-link-whats-the-difference/

我发现了一些关于两者一起使用的点点滴滴https://docs.microsoft.com/en-us/azure/postgresql/concepts-data-access-and-security-private-link#private-link-combined-with-firewall-rules

但我没有找到太多关于这个的信息。具体来说，我们正在考虑一种架构，在该架构中，我们使用服务端点和 Vnet 在我们的微服务环境中进行通信，并使用专用端点使用 VPN 和专用端点的特定专用 IP 从本地网络提供一些服务。

所以我们有一些服务只有服务端点，一些服务有服务端点和私有端点。这种方法有什么问题吗？ DNS 以后会不会出问题？如果我有私有 DNS，我的网络中的命名是否总是解析为内部 IP？

我已经创建了一些服务，但还无法测试 VPN 端，也无法测试私有 DNS，因为它还没有为我们启用。但一切似乎都可以使用服务端点方面的东西。

Answer 1

所以服务端点和私有链接具有几乎相同的用例，但区别在于私有和公共端点访问。例如，服务终结点允许 VNet 访问 Azure 存储等，但公共终结点仍可通过其在 .blob.core.windows.net 上的公共终结点进行访问。 如果您创建到它的私有链接，则 dns 将通过私有 ip 路由并更改为 .privatelink.blob.core.windows.net。 更多关于 here.

所以回到你的架构，我不确定你的网络是什么样的，但假设你已经配置了与本地和云 vnet 的连接，作为私有链接公开的端点应该可以工作，因为它有一个 dns - 可路由的名称，并且可以通过您将私有链接关联到的子网访问。

对我们来说，这个新功能在保护 PaaS 产品方面有点改变游戏规则，因为我们不必再将资源直接放在它自己的 VNet 中（这可能很昂贵，例如隔离网络应用程序）。

希望能有所帮助。