【Microsoft Azure 的1024种玩法】六十四.通过Azure Pass平台应用专用链接与虚拟网络全局VNet 对等互连实现数据安全防护

【简介】

当我们利用Azure Paas服务创建了一个应用时，我们通常是可以通过公网的方式直接进行访问的，但是这种直接通过公网访问的方式无疑是暴露了我们Azure Paas服务的源站地址，当恶意的人员对我们创建的Azure Paas服务源站地址发起攻击时，极有可能造成业务不可访问的情况，那么这时候我们可以为我们创建的Paas服务配置专用网络链接杜绝这种安全问题，我们只允许我们在Azure 云中的相关云资源进行访问
我们创建的Paas服务，其他人无法通过互联网的方式访问到我们创建的Paas服务，以此达到使用者只能连接到特定的资源，对服务中任何其他资源的访问将遭到阻止，以此来实现数据安全防护，本篇文章主要介绍了如何通过Azure Pass平台应用专用链接与虚拟网络全局VNet 对等互连实现数据安全防护

【前期文章】

【Microsoft Azure 的1024种玩法】一.一分钟快速上手搭建宝塔管理面板
【Microsoft Azure 的1024种玩法】二.基于Azure云平台的安全攻防靶场系统构建
【Microsoft Azure 的1024种玩法】三.基于Azure云平台构建Discuz论坛
【Microsoft Azure 的1024种玩法】四. 利用Azure Virtual machines 打造个人专属云盘，速度吊打某云盘
【Microsoft Azure 的1024种玩法】五.基于Azure Cloud Shell 一站式创建Linux VM
【Microsoft Azure 的1024种玩法】六.使用Azure Cloud Shell对Linux VirtualMachines 进行生命周期管理
【Microsoft Azure 的1024种玩法】七.Azure云端搭建部署属于自己的维基百科
【Microsoft Azure 的1024种玩法】八. 基于Azure云端轻松打造一款好用的私有云笔记
【Microsoft Azure 的1024种玩法】九. Microsoft Azure云端轻松构建部署PostgreSQL数据库
【Microsoft Azure 的1024种玩法】十. 基于Azure App Service 快速上手部署 ASP.NET Web 应用
【Microsoft Azure 的1024种玩法】十一.手动对Azure磁盘进行IOPS性能压力测试
【Microsoft Azure 的1024种玩法】十二. 使用Auzre cloud 安装搭建docker+vulhub靶场
【Microsoft Azure 的1024种玩法】十三.Azure cloud｜带你快速搭建DVWA靶场漏洞环境
【Microsoft Azure 的1024种玩法】十四.Azure DNS 在线域名委托解析操作指南
【Microsoft Azure 的1024种玩法】十五.通过Web浏览器对Auzre VM 服务器运维管理
【Microsoft Azure 的1024种玩法】十六.Cobaltstrike内网渗透工具在Azure Cloud中的部署使用
【Microsoft Azure 的1024种玩法】 十七.在Microsoft Azure上动手搭建专属私有文件同步服务]
【Microsoft Azure 的1024种玩法】 十八.快速创建Microsoft Azure SQL数据库初体验
【Microsoft Azure 的1024种玩法】 十九.使用Azure备份服务对虚拟机快速备份
【Microsoft Azure 的1024种玩法】 二十.Azure Multi-Factor Authentication多因素验证最佳实战
【Microsoft Azure 的1024种玩法】 二十一.利用Azure Blob Service 快速实现静态网站托管
【Microsoft Azure 的1024种玩法】 二十二.中国区Azure Cloud 多重身份验证最佳实践
【Microsoft Azure 的1024种玩法】 二十三.快速上手Azure Content Delivery Network 内容分发网络
【Microsoft Azure 的1024种玩法】二十四.通过Azure Front Door 的 Web 应用程序防火墙来对 OWASP TOP 10 威胁进行防御
【Microsoft Azure 的1024种玩法】 二十五.使用Azure CDN对Azure Blob 静态托管站点进行加速
【Microsoft Azure 的1024种玩法】二十六. 在Azure VM中手动部署Windows Admin Center管理平台
【Microsoft Azure 的1024种玩法】二十七. Azure Virtual Desktop虚拟桌面之快速创建配置（一）
【Microsoft Azure 的1024种玩法】二十八. 基于Azure Cloud搭建IPS入侵防御系统实现安全流量实时分析
【Microsoft Azure 的1024种玩法】二十九.基于Azure VM快速实现网络入侵检测 (IDS) 及网络安全监视 (NSM)
【Microsoft Azure 的1024种玩法】三十. 使用Azure Data Studio之快速上手连接管理Azure SQL 数据库（一）
【Microsoft Azure 的1024种玩法】三十一.使用Azure Logic App 创建基于计划定期执行邮件发送的自动化工作流
【Microsoft Azure 的1024种玩法】三十二. 利用 AzCopy来对Azure Blob Storage中的数据进行复制迁移
【Microsoft Azure 的1024种玩法】三十三.十分钟快速部署 Azure Kubernetes Service 群集
【Microsoft Azure 的1024种玩法】三十四.将本地数据文件快速迁移到Azure Blob云存储最佳实践
【Microsoft Azure 的1024种玩法】三十五.在Azure Virtual machines中手动部署Java Web
【Microsoft Azure 的1024种玩法】三十六.通过网络文件系统NFS协议快速将Blob 存储挂在Azure Virtual machines中
【Microsoft Azure 的1024种玩法】三十七.通过Azure Virtual Machines实现远程连接本地内网服务器（内网穿透）
【Microsoft Azure 的1024种玩法】三十八.通过Azure Function App函数应用实现对Azure Virtual Machines定时开关机
【Microsoft Azure 的1024种玩法】三十九.使用Auzre Media Services实现在线实时视频直播
【Microsoft Azure 的1024种玩法】四十.快速将阿里云DNS解析平滑迁移至Azure Zone实战操作
【Microsoft Azure 的1024种玩法】四十一. 将Windows Admin Center 网关注册到 Azure
【Microsoft Azure 的1024种玩法】四十二. 通过Windows Admin Center快速创建Azure Virtual Machines
【Microsoft Azure 的1024种玩法】四十三. 基于Azure云平台构建RTMP直播服务
【Microsoft Azure 的1024种玩法】四十五.在Azure中快速创建Azure AD Domain Services
【Microsoft Azure 的1024种玩法】四十六.将 Azure VM 实例添加到Azure AD Domain Service中
【Microsoft Azure 的1024种玩法】四十七.通过Azure Virtual machines搭建FTP应用服务
【Microsoft Azure 的1024种玩法】四十八.基于Azure Virtual Machines快速搭建SQL Server应用
【Microsoft Azure 的1024种玩法】四十九.在Azure中使用Azure VirtualMachines 搭建Microsoft SharePoint 2016
【Microsoft Azure 的1024种玩法】五十. 通过Azure文件共享将Azure File 挂载到本地机器实现文件实时共享
【Microsoft Azure 的1024种玩法】五十一.在Azure Virtual Machines 上装载 SMB Azure 文件共享
【Microsoft Azure 的1024种玩法】五十二.基于Azure Application Insight对Web应用进行实时链路跟踪
【Microsoft Azure 的1024种玩法】五十三.针对Azure Application Insight监控的应用程序指标配置不同维度的自动化报警通知
【Microsoft Azure 的1024种玩法】五十四. 十分钟快速上手创建部署Azure speech服务
【Microsoft Azure 的1024种玩法】五十五.Azure speech service之通过JavaScript快速实现文本转换为语音
【Microsoft Azure 的1024种玩法】五十六.使用Node.js对Azure blob进行生命周期管理
【Microsoft Azure 的1024种玩法】五十七.通过自定义映像批量创建Azure Virtual machines实现集群业务快速部署
【Microsoft Azure 的1024种玩法】五十八.基于Azure云平台快速构建开源任务管理工具
【Microsoft Azure 的1024种玩法】五十九.基于Azure云平台快速搭建GitLab应用实现代码托管
【Microsoft Azure 的1024种玩法】六十.通过Azure Virtual Machines快速搭建个人Ghost博客系统
【Microsoft Azure 的1024种玩法】六十一.通过Microsoft Azure Virtual Machines快速搭建消息队列RabbitMQ
【Microsoft Azure 的1024种玩法】六十二.利用Azure Private DNS 实现虚拟网络中域名的管理解析
【Microsoft Azure 的1024种玩法】六十三.通过全局 VNet 对等互连实现同一区域不同网段的虚拟网络实时打通
【Microsoft Azure 的1024种玩法】六十四.通过Azure Pass平台服务应用专用链接与虚拟网络进行全局VNet 对等互连实现数据安全防护

【操作步骤】

一.分别创建不同网段的虚拟网络

1.创建一个名为test1，地址空间为10.10.0.0/16，子网为10.10.0.0/24的虚拟网络

2.创建一个名为test2，地址空间为10.20.0.0/16，子网为10.20.0.0/24的虚拟网络

二.在Test1虚拟网络中创建虚拟机

1.在控制面板中，创建一个名为“test1”的虚拟机，具体配置如下图所示

2.在网络接口配置中，虚拟网络配置为我们创建的虚拟网络“test1”，子网配置为我们在虚拟网络中的配置的子网

3.配置完毕后，检查下网络配置，确保其在我们创建的Test1中

4.配置创建完毕后，如下图所示

三.在Test2虚拟网络中创建虚拟机

1.在控制面板中，创建一个名为“test2“的虚拟机，具体配置如下图所示

2.在网络接口配置中，虚拟网络配置为我们创建的虚拟网络“test2”，子网配置为我们在虚拟网络中的配置的子网信息

3.配置完毕后，检查下网络配置，确保其在我们创建的Test2中

4.配置创建完毕后，如下图所示

四.创建Azure VM之间对等连接

1.找到“test1”专有网络，选择“设置”下的“对等互连”，然后选择“+ 添加”。

2.我们在添加对等互连时，配置内容如下图所示，其中虚拟网络部分 我们要选择目标的虚拟网络”test2“

3.我们添加完虚拟网络配置对等互连后，我们点击“刷新”按钮，就可以看到对等连接状态将从“正在更新”更改为“已连接”。

五. 在test1虚拟网络中创建函数应用

1.在Azure应用市场，我们搜索“函数应用”，并点击创建“函数应用”

2.根据下图步骤所示，创建相关函数应用

3.函数应用创建完毕后，如下图所示，我们点击“转到资源”

六.配置函数应用专用终结点

1.在函数应用——设置——网络中配置函数应用专用终结点，我们点击进入“函数应用专用终结点”

2.在“函数应用专用终结点”中我们点击“添加”

3.在添加专用终结点中，我们选择要将其终结点所在的虚拟网络以及子网，同时在与专用DNS区域集成中，我们选择“是” 并点击确定

4.如下图所示，我们已经添加完专用终结点

七.绑定添加专用DNS区域与test2虚拟网络链接

1.我们前往专用DNS区域控制台中，点击其中的解析名称

2.我们在创建的解析中，找到设置——虚拟网络链接——添加

3.将我们创建的虚拟网络test2和专用DNS区域绑定在一起，同时启用“自动注册”功能 ，配置好以后，我们点击“确定”完成互连绑定

4.绑定完毕后，我们点击“刷新”按钮，查看链接状态，当链接状态为“已完成时”表示我们建立的对等连接已经成功

七.通过Azure VM test2 验证与函数应用的连通性

1.为了验证函数应用只能在内网虚拟网络中进行访问，我们函数应用的域名地址复制到我们本地的电脑上面，我们在我们本地的电脑浏览器上进行访问，如下图所示，我们发现访问函数应用的域名地址以后，会出现“Error 403 -Forbidden"的错误

2.我们通过ssh远程的方式远程连接到我们创建的test2虚拟机中，通过nslookup以及Curl的方式去查看验证连通性，如下图所示，已经实验成功