【Azure VNet】使用服務端點原則篩選流量

在 Azure 中提供了 Azure VNet Service Endpoint 與 Azure Private Endpoint 兩項服務，用來確保其他 Azure 服務僅能透過 VNet 中的流量訪問，藉此將這些 Azure 服務保護在 VNet 中以提高安全性。

Service Endpoint 與 Private Endpoint 都可以使 VNet 中的私人 IP 到達其他 Azure 服務，而不需要使用到公用 IP，而兩者也存在部分差異，本系列包含以下四篇文章，以最常用的儲存服務 Azure Storage Account 為例，簡單講解這兩項服務。

• 【Azure VNet】虛擬網路中的服務端點

• 【Azure VNet】使用服務端點原則篩選流量（本篇）

• 【Azure VNet】虛擬網路中的專用端點

• 【Azure VNet】服務端點 vs 專用端點

前情提要

在前一篇中我們完成了 Service Endpoint 的設定，讓只有特定的 VNet 發起的流量才能訪問 Storage Account，而實際上我們做了什麼？對於來源，我們在 VNet 上啟用了對 Storage Account 的 Service Endpoint，對於目標端，我們設定 Storage Account 只接受特定的 VNet 流量訪問。

先將注意力放在來源端的 VNet 中，啟用了對 Storage Account 的 Service Endpoint 事實上允許了 VNet 中的 VM 能訪問任意的 Storage Account，而不是侷限特定的 Storage Account 上，這帶來了一定程度的資安問題。

因此在這種情況下，可以搭配服務端點原則來篩選流量，新增服務端點原則後的架構圖如下：

建立服務端點原則

服務端點原則目前被拆出成一個獨立的資源，就像平常在建立資源一樣，需要切換到服務端點原則的頁面下點擊建立。

建立服務端點原則

給好名稱與資源群組後，切換到「原則定義」下點擊「新增資源」。

指定 Storage Account

在範圍部分有三種維度可以選擇，分別是「訂用帳戶中的所有帳戶」、「資源群組中的所有帳戶」與「單一帳戶」，再根據自己的需求設定就好。

這邊設定「單一帳戶」並指定好 Storage Account，接著直接建立就可以了。

在子網路上使用服務端點原則

有兩種方式可以設定在子網路上使用服務端點原則，一種是在上篇啟用服務端點時一併設定上去，而以下使用另一種方式，在服務端點原則的頁面上來關聯已經建立的子網路。

將原則關聯到子網路

總結

對於啟用服務端點後導致可以訪問任意 Storage Account 的問題，使用服務端點原則可以有效的篩選流量，限制 VNet 中可以訪問的 Storage Account。

但目前還是有很多 PaaS 服務沒辦法支援使用服務端點原則，畢竟這也是一個免費的方案，對於更進一步的需求就要選擇私人端點了。