Azure

Azure Private Endpoint vs Service Endpoint

Merhaba,

Bu makalemde sizlere azure tarafında sıkça karıştırılan bir konu olan veya birbirine benzerliği açısından karıştırılmaya müsait olan iki azure virtual network servisi olan Azure Private Link (Private Endpoint) ve Azure Service Endpoint’den  bahsetmeye çalışacağım.

Aslında bu iki servisin kullanım sebebi temelde size public olan azure PaaS hizmetlerine nasıl güvenli bir şekilde erişebileceğiniz konusunda yardımcı olur.

Azure Private Link (Private Endpoint)

-Private Endpoint; varolan bir sanal ağınızdan (virtual network) özel bi ip adresi tahsis eder ve Azure Paas servislerine erişmeye çalışırkan bu ip adresini kullanır. Bu network trafiği sayesinde paketlerinizin her daim PaaS ile Vnet arasında kaldığından emin olursunuz.

-Eğer dilerseniz on-prem’den azure’a vpn veya expressroute kullanarakta erişebilmeniz mümkün.

-Private endpoint aynı zamanda azure üzerinde network yönlendirmeleri veya gelen/giden ip port bazlı kısıtlamaları yapabileceğiniz temel network policylerini uygulayabilmenize imkan tanır. Network Security Group (NSG) User Defined Routes (UDR) Application Security Groups (ASG)

-Private Endpoint kullanabilmek için bir DNS hizmeti kullanıyor olmanız gerekiyor. Hali hazırda var ise bunun mevcut private link fqdn adreslerini çözümleyebildiğinden emin olmanız gerekiyor.

azure-private-link

Azure Service Endpoint

Örneğin Azure’da bir virtual network oluşturduğumuzda bu network içinde var olan sql database, virtual machine vb resourcelara dışarıdan public ip adresi ile erişebilmek mümkün. Fakat güvenlik gerekçesiyle bu bazen istenilen bir senaryo olmaktan çıkabiliyor. Böyle durumlarda bu kaynakları internet üzerine çıkarmadan, service endpoint’ler ile oluşturduğumuz kaynakların Microsoft backbone üzerinden Azure PaaS iş yüklerine erişimini sağlar.

-Azure Service Endpoint subnet seviyesinde oluşturulan route’lar sayesinde azure paas kaynaklarına erişim sağlar bu aşamada paas kaynaklarının public endpointlerini kullanır fakat rafik Microsoft backbone network içerisinde kalır.

azure-service-endpoint

Genel olarak her iki özellikte sanal ağlarınız ile azure paas iş yükleri arasında ki bağlantıyı sağlarken güvenli ve düşük gecikmeli bir bağlantı kurabilmenize olanak tanır ve bunu yaparken network trafiği Microsoft backbone ağında dolaşır.

On-prem senaryolarda ise service endpoint şirket içindeki network trafiğini kontrol edemez sadece azure üzerinde ki virtual network bağlantılarının kontrolünü sağlayabilir. On-Prem’den > Azure PaaS iş yüklerine olan trafiğin kontrolü için private link’ler azure express route ve vpn seçenekleriyle kullanılabilir.