Konnektivität mit Azure PaaS-DienstenConnectivity to Azure PaaS services

Aufbauen auf den vorigen Abschnitten zur Konnektivität werden in diesem Abschnitt empfohlene Ansätze hinsichtlich der Konnektivität bei der Verwendung von Azure PaaS-Diensten erläutert.Building on the previous connectivity sections, this section explores recommended connectivity approaches for using Azure PaaS services.

Überlegungen zum Entwurf:Design considerations:

  • Der Zugriff auf Azure PaaS-Dienste erfolgt in der Regel über öffentliche Endpunkte.Azure PaaS services are typically accessed over public endpoints. Die Azure-Plattform bietet jedoch Funktionen, mit denen solche Endpunkte gesichert oder sogar vollständig eingerichtet werden können:However, the Azure platform provides capabilities to secure such endpoints or even make them entirely private:

    • Die Einschleusung von virtuellen Netzwerken ermöglicht dedizierte private Bereitstellungen für unterstützte Dienste.Virtual network injection provides dedicated private deployments for supported services. Der Datenverkehr auf Verwaltungsebene fließt weiter über öffentliche IP-Adressen.Management plane traffic still flows through public IP addresses.

    • Private Link bietet über private IP-Adressen dedizierten Zugriff auf Azure PaaS-Instanzen bzw. benutzerdefinierte Dienste hinter einer Azure Load Balancer-Instanz im Standard-Tarif.Private Link provides dedicated access by using private IP addresses to Azure PaaS instances or custom services behind Azure Load Balancer Standard tier.

    • VNET-Dienstendpunkte bieten aus ausgewählten Subnetzen Zugriff auf der Dienstebene auf ausgewählte PaaS-Dienste.Virtual network service endpoints provide service-level access from selected subnets to selected PaaS services.

  • Unternehmen haben häufig Bedenken in Bezug auf öffentliche Endpunkte für PaaS-Dienste, die entsprechend adressiert werden müssen.Enterprises often have concerns about public endpoints for PaaS services that must be appropriately mitigated.

  • Für unterstützte Dienste adressiert Private Link die Datenexfiltrationsprobleme an Dienstendpunkten.For supported services, Private Link addresses data exfiltration concerns associated with service endpoints. Alternativ können Sie über Filterung ausgehenden Datenverkehrs über NVAs Schritte ergreifen, um das Risiko der Datenexfiltration zu mindern.As an alternative, you can use outbound filtering via NVAs to provide steps to mitigate data exfiltration.

Entwurfsempfehlungen:Design recommendations:

  • Verwenden Sie die Einschleusung von virtuellen Netzwerken für unterstützte Azure-Dienste, um diese aus Ihrem virtuellen Netzwerk verfügbar zu machen.Use virtual network injection for supported Azure services to make them available from within your virtual network.

  • Azure PaaS-Dienste, die in ein virtuelles Netzwerk eingeschleust wurden, führen immer noch Vorgänge auf der Verwaltungsebene mit öffentlichen IP-Adressen durch.Azure PaaS services that have been injected into a virtual network still perform management plane operations by using public IP addresses. Stellen Sie mit benutzerdefinierten Routen und Netzwerksicherheitsgruppen sicher, dass diese Kommunikation im virtuellen Netzwerk gesperrt wird.Ensure that this communication is locked down within the virtual network by using UDRs and NSGs.

  • Verwenden Sie Private Link, sofern verfügbar, für die freigegebenen Azure PaaS-Dienste.Use Private Link, where available, for shared Azure PaaS services. Private Link ist für einige Dienste allgemein verfügbar und liegt für eine Vielzahl von Diensten in der öffentlichen Vorschauversion vor.Private Link is generally available for several services and is in public preview for numerous ones.

  • Greifen Sie vom lokalen Standort aus über das private ExpressRoute-Peering auf Azure PaaS-Dienste zu.Access Azure PaaS services from on-premises via ExpressRoute private peering. Verwenden Sie entweder die Einschleusung virtueller Netzwerke für dedizierte Azure-Dienste oder Azure Private Link für verfügbare freigegebene Azure-Dienste.Use either virtual network injection for dedicated Azure services or Azure Private Link for available shared Azure services. Verwenden Sie ExpressRoute mit Microsoft-Peering, um von einem lokalen Standort aus auf Azure PaaS-Dienste zuzugreifen, wenn die Einschleusung virtueller Netzwerke und Private Link nicht verfügbar sind.To access Azure PaaS services from on-premises when virtual network injection or Private Link isn't available, use ExpressRoute with Microsoft peering. Dadurch wird der Transit über das öffentliche Internet vermieden.This method avoids transiting over the public internet.

  • Verwenden Sie VNET-Dienstendpunkte, um den Zugriff auf Azure PaaS-Dienste aus Ihrem virtuellen Netzwerk zu schützen. Dies gilt jedoch nur, wenn Private Link nicht verfügbar ist, und keine Risiken der Datenexfiltration bestehen.Use virtual network service endpoints to secure access to Azure PaaS services from within your virtual network, but only when Private Link isn't available and there are no data exfiltration concerns. Verwenden Sie zum Adressieren von Risiken der Datenexfiltration bei Dienstendpunkten NVA-Filterung oder Richtlinien zu VNET-Dienstendpunkten für Azure Storage.To address data exfiltration concerns with service endpoints, use NVA filtering or use virtual network service endpoint policies for Azure Storage.

  • Aktivieren Sie VNET-Dienstendpunkte nicht standardmäßig in allen Subnetzen.Don't enable virtual network service endpoints by default on all subnets.

  • Verwenden Sie keine VNET-Dienstendpunkte, wenn Risiken hinsichtlich der Datenexfiltration vorliegen, es sei denn, Sie verwenden die NVA-Filterung.Don't use virtual network service endpoints when there are data exfiltration concerns, unless you use NVA filtering.

  • Es wird nicht empfohlen, die Tunnelerzwingung zu implementieren, um die Kommunikation zwischen Azure und Azure-Ressourcen zu ermöglichen.We don't recommend that you implement forced tunneling to enable communication from Azure to Azure resources.