Service Tags
Azure
Tjenester i Azure har forskjellige tags. Dette er tags Microsoft styrer. Man kan ikke lage sine egne. Disse kan feks. brukes til å sette nettverks sikkerhets regler Network Security Groups
Eksempler er:
- Virtual network
- Alle virtuelle nettverk adresser.
- AzureLoadBalanser
- Internet
- Publicly available ting. F.eks. Web Apps. F.eks. vg.no
- Storage
- Adresser fra Azure storage. Kan ikke spesifisere individuelle storage account. Kan spesifisere region. Kan da hvem som helst med en azure storage account nå inn?
- SQL
- Adresser fra Azure SQL ressurser
- AppService
- Adresser fra Azure app service
Service Endpoints
Service endpoints er selve implementasjonen som en service tag refererer til. For å enable det må man:
- Skru av offentlig tilgang til tjenesten
- Legge tjeneste nedepunktet til et virtuelt nettverk.
Det som da skjer er at f.eks. en VM koplet til det samme virtuelle nettverket vil gå via Azure backbone, og aldri forlate Azure. Azures ekempel på routing table:
Slik beskrives det i et eksempel diagram i Azure:
Storage eksempel
For å få dette til å funke må man først denye all trafikk inn til storage account.
Etterpå må man legge til et service-endpoint, eksempelvis "Microsoft.Storage" til subnettet som skal kunne nå det.
Deretter legger man en nettverksregel til i storage account for å allowe inbound fra subnettet. Da vil alt på subnettet kunne nå storage account fordi de går via Microsoft Storage. I tillegg vil det ikke gå vie internett, men via Azure backbone. Det hadde ikke fungert ellers fordi da hadde subnettet gått via internett for å nå storage account, og hadde da blitt nektet, fordi inbound ser ikke at det kommer fra subnettet.