Service Tags

Azure

Tjenester i Azure har forskjellige tags. Dette er tags Microsoft styrer. Man kan ikke lage sine egne. Disse kan feks. brukes til å sette nettverks sikkerhets regler Network Security Groups
Eksempler er:

Service Endpoints

Service endpoints er selve implementasjonen som en service tag refererer til. For å enable det må man:

  1. Skru av offentlig tilgang til tjenesten
  2. Legge tjeneste nedepunktet til et virtuelt nettverk.

Det som da skjer er at f.eks. en VM koplet til det samme virtuelle nettverket vil gå via Azure backbone, og aldri forlate Azure. Azures ekempel på routing table:
Pasted image 20201120142818.png

Slik beskrives det i et eksempel diagram i Azure:
5-exercise-task

Storage eksempel

For å få dette til å funke må man først denye all trafikk inn til storage account.
Etterpå må man legge til et service-endpoint, eksempelvis "Microsoft.Storage" til subnettet som skal kunne nå det.
Deretter legger man en nettverksregel til i storage account for å allowe inbound fra subnettet. Da vil alt på subnettet kunne nå storage account fordi de går via Microsoft Storage. I tillegg vil det ikke gå vie internett, men via Azure backbone. Det hadde ikke fungert ellers fordi da hadde subnettet gått via internett for å nå storage account, og hadde da blitt nektet, fordi inbound ser ikke at det kommer fra subnettet.