开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

当我们想要使用服务端点或私有端点时，是否需要具有与vnet相同区域的应用程序服务？

当我们想要使用服务端点或私有端点时，并不需要具有与vnet相同区域的应用程序服务。端点是在虚拟网络（VNet）中创建的实体，用于安全地将流量传输到托管在Azure上的服务。服务端点可用于将流量限制为通过虚拟网络和子网传出的服务的特定IP范围。

私有端点是一种虚拟网络中的实体，用于将服务连接到VNet内部的虚拟机或子网，从而使服务能够通过内部网络访问。私有端点提供了一种安全的方式来访问托管在Azure上的服务，而无需将流量通过公共Internet传输。

使用服务端点或私有端点时，并不需要与VNet具有相同的区域。服务端点和私有端点可以与VNet中的任何区域或子网进行关联，以便将流量路由到正确的服务或资源。这使得在不同区域或子网中托管应用程序服务成为可能，同时确保了安全性和性能。

对于应用程序服务的推荐，腾讯云提供了云服务器（CVM）和腾讯云容器服务（TKE）来满足不同的应用需求。

云服务器（CVM）：腾讯云提供的可弹性扩展的云服务器，可通过虚拟网络（VPC）与VNet进行关联，方便进行网络配置和管理。详细信息请参考腾讯云云服务器产品介绍：https://cloud.tencent.com/product/cvm
腾讯云容器服务（TKE）：腾讯云提供的一种高度可扩展的容器管理服务，可通过虚拟网络（VPC）与VNet进行关联，方便进行网络配置和管理。详细信息请参考腾讯云容器服务产品介绍：https://cloud.tencent.com/product/tke

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

「云网络安全」云网络安全101:Azure私有链接和私有端点

(私有链接服务超出了本文的范围，因此我们将重点关注在Azure PaaS服务中使用私有端点。) 私有端点的好处现在，让我们看看私有端点带来的一些好处。...选择端点应该部署到的VNet和子网。然后，您可以选择与私有DNS区域集成，如果您使用默认的azd提供的DNS，这是推荐的，因为Azure会为您处理所有困难的工作。...在使用私有端点时，正确配置DNS设置是至关重要的，特别是在使用完全限定域名(FQDN)连接到私有端点资源时，因为Azure服务的FQDN解析到它们的公共IP地址。...(如果您使用的是azd提供的DNS，并且在创建私有端点时选择与私有DNS区域集成，那么您就万事俱备了——Azure负责处理细节。)...私有端点必须部署在与虚拟网络相同的区域，但是私有链接资源可以部署在不同的区域和/或AD租户。私有端点不支持网络策略，比如网络安全组(NSGs)，因此安全规则不会应用于它们。

6.2K1 0

IETF (RFC 4787) 定义的 NAT 行为要求 - 第 1 部分：映射行为

这些技术可概括如下： STUN: 允许主机（作为STUN客户端）与具备公网IP的STUN服务器通信，以判断自身是否位于私网（即是否有NAT）、NAT的行为特性及公网IP与源端口号的转换详情等。...如下图所示，来自主机A的内部端点的报文具有相同的源IP地址（10.1.1.1）和相同的源端口（5000），不论其目标IP地址是（1.1.1.1还是2.2.2.2），也不论目标端口是（80或8080），这些报文都会被分配到同一个外部端口映射值...**端口复用**是一种简单但存在风险的方法。当遇到端口冲突时，NAT设备会简单地覆盖已存在的绑定条目。也就是说，它坚持使用端口保持策略。...若NAT设备使用除去熟知端口范围外的值（1024 ~ 65535）作为外部端口，它通常会优先使用动态/私有端口范围内的端口，必要时再使用注册端口范围内的端口。...但是，如果没有相应的流量，当映射定时器（也称为绑定刷新定时器或绑定生命周期）到期时，该条目就会从表中删除。

2371 0

Kubernetes Ingress 基于内容的路由

Ingress 的 API 将使用与公共网络所连接的 HTTP（S）负载均衡器，为具有外部端点的服务提供基于内容的路由。什么是 Anycast 路由？...Envoy Proxy 内部 HTTP 负载均衡器使用 Envoy Proxy 来管理集群中的服务。代理服务使用 Sidecar 代理，以提供服务网格来管理控制区域或节点中的内部流量。...示例现在有一个具有两个后端服务“video”、“image”的 BASE URL “mymediaservice.internal”，路径规则将决定使用单个 URL 连接到多个内部后端服务或存储空间（...2.网络端点组（Network Endpoint Group，NEG）通常，网络端点组定义为在容器内运行的后端端点或服务的集合。我们可以为在 VM 下运行的每个端点创建一组后端实例。...只有一个基本 URL 可以作为在不同区域的相同无服务器应用程序进行传播。因此，用户可以到达最近的 CDN、数据中心来访问服务。

1.2K1 0

IETF (RFC 4787) 定义的 NAT 行为要求 - 第 3 部分。确定性属性

然而，当主机C随后向主机Y发送内部端口号也为6000的数据包[5]时，NAT发现：内部端口号6000已分配给了之前同样目的为该外部端点的数据包并且外部地址池中已经没有其他可用地址时，此时无法再维持端口保持的规则...与非确定性NAT相比，确定性NAT的关键特征在于它为特定的内部源地址和端口号到外部地址和端口号的映射提供了一致性，确保相同内部源的流量总是被转换为同一外部地址和端口，除非外部地址池资源耗尽或其他明确的规则变更...举例说明确定性NAT的工作原理：假设有一个公司网络，内部使用私有IP地址，且拥有一个向外提供服务的内部服务器，其私有IP地址为192.168.1.100，端口为80。...公司使用NAT设备连接到互联网，该NAT设备配置了确定性NAT规则，将服务器的私有地址映射到一个固定的公有IP地址203.0.113.10，同样将内部端口80映射到外部端口80。...即使存在多个并发连接，只要源IP地址和端口号相同，映射关系保持不变，保证了通信的连贯性和可预测性，这对于一些需要持续连接状态或会话保持的应用尤其重要，比如VoIP通话、在线游戏或某些类型的视频流服务。

1941 0

29 Jul 2023 az-104备考总结

想要通过域名访问你的私有ip，可以创建一个私有dns zone如name.com，然后在dns zone中创建一个a记录app.name.com指向私有ip，然后可以使用app.name.com...它可以监控应用程序的性能，捕获和分析请求、异常、日志和应用程序的跟踪信息，帮助你快速检测和诊断应用程序中的问题 vm的网络接口上配置的dns会覆盖vnet级别的dns，优先使用网络接口上配置的dns...这些合作伙伴在全球范围内都有数据中心，并且这些数据中心与azure的数据中心直接连接。当你购买expressroute服务时，你的本地网络会连接到这些数据中心，然后通过它们与azure进行通信。...这样，在主要地理区域出现故障时，应用程序可以从备用地理区域读取数据，提供了更高的可用性。...此外，你还可以使用防火墙和虚拟网络服务终结点来限制访问你的文件共享的网络。备份和恢复：azure files支持azure backup服务，你可以使用它来创建文件共享的备份，并在需要时恢复文件。

2864 0

优雅退出和零停机部署

会找到与选择器（name: app）相同标签的所有 Pod，并收集它们的 IP 地址 —— 但仅当它们通过了就绪探针。...当一个Endpoint被添加、删除或更新时，kube-proxy会检索新的端点列表。 kube-proxy使用这些端点在集群中的每个节点上创建iptables规则。...如果您使用的是无头服务（Headless）类型的服务，CoreDNS将需要订阅终端点的更改，并在添加或删除终端点时重新配置自身。...删除Pod 您可能已经猜到了，但是当删除Pod时，您需要按相同的步骤反向操作。首先，应该从终端点（对象）中删除终端点。这次忽略就绪探测，并立即从控制平面中删除终端点。...随着时间的推移，越来越少的流量将到达您的Pod，直到停止。在15秒之后，可以安全地关闭与数据库的连接（或任何持久连接）并终止进程。如果您认为需要更多时间，可以在20或25秒时停止进程。

3872 0

利用EndpointSlices扩展Kubernetes网络，提供更强的可伸缩性和功能

现在，当添加或删除Pod时，只需更新1个小的EndpointSlice。当单个Service有成百上千的Pod时，这种差异变得非常明显。...可能更重要的是，既然服务的所有Pod IP都不需要存储在单个资源中，那么我们就不必担心etcd中存储的对象的大小限制。EndpointSlices已用于将服务扩展到超过100,000个网络端点。...当大规模使用EndpointSlices时，用于端点更新的数据将大大减少，并且kube-proxy应该更快地更新iptables或ipvs规则。...拓扑感知路由将更新kube-proxy，以在同一区域或区域内完成路由请求。这利用了为EndpointSlice中的每个端点存储的拓扑字段。作为对此的进一步改进，我们正在探索端点子集的潜力。...这将允许kube-proxy只观看EndpointSlices的子集。例如，这可以与拓扑路由感知结合使用，以便kube-proxy仅需监视包含同一区域内端点的EndpointSlice。

1.4K3 0

从0开始构建一个Oauth2Server服务授权范围 Scope

用户需要能够理解他们授予应用程序的访问级别，这将以某种列表的形式呈现给用户。当呈现给用户时，他们需要真正了解正在发生的事情，而不是被信息淹没。...如果您为用户过于复杂化，他们只会单击“确定”直到应用程序运行，并忽略任何警告。读与写在定义服务范围时，读取与写入访问是一个很好的起点。...通常，对用户的私人配置文件信息的读取访问权限是通过与想要更新配置文件信息的应用程序分开的访问控制来处理的。...限制对敏感信息的访问通常，一项服务将具有用户帐户的各个方面，这些方面具有不同的安全级别。例如，GitHub有一个单独的范围，允许应用程序访问私有存储库。...让我们使用一个服务示例，该服务提供使用许可内容的高级功能，在本例中，该服务提供一个 API 来聚合给定区域的人口统计数据。用户在使用服务时收取费用，费用根据查询区域的大小而定。

2413 0

SD-WAN提供安全的云服务接入

这有助于提高生产力，最大限度地减少可信任流量的不必要检测，并提供比传统的hub-spoke MPLS解决方案更好的安全性。当使用SD-WAN访问远程服务时，需要特别注意控制平面。...通常SD-WAN的控制平面可以部署在公有云或私有云上，该控制平面需要充分固化，以确保其不会受到影响。...另外还需要注意确保恶意平台不能伪装成有效的端点，一些受监管的行业甚至需要具有防篡改硬件的SD-WAN平台。...但是，很多公司更喜欢单一的网络服务提供商，并希望确保向每个分支机构提供相同质量的服务。...MPLS链路具有内置的容错功能，每当一条链路发生故障时容错功能自动启动。这将导致数据库与应用程序不同步，因为数据库无法识别以及建立的新的MPLS连接。

1.3K8 0

SD-WAN提供安全的云服务接入

这有助于提高生产力，最大限度地减少可信任流量的不必要检测，并提供比传统的hub-spoke MPLS解决方案更好的安全性。当使用SD-WAN访问远程服务时，需要特别注意控制平面。...通常SD-WAN的控制平面可以部署在公有云或私有云上，该控制平面需要充分固化，以确保其不会受到影响。...另外还需要注意确保恶意平台不能伪装成有效的端点，一些受监管的行业甚至需要具有防篡改硬件的SD-WAN平台。...但是，很多公司更喜欢单一的网络服务提供商，并希望确保向每个分支机构提供相同质量的服务。...MPLS链路具有内置的容错功能，每当一条链路发生故障时容错功能自动启动。这将导致数据库与应用程序不同步，因为数据库无法识别以及建立的新的MPLS连接。

1.3K7 0

混合云架构的7个规则

请考虑以下问题：哪个团队负责在公共云中运行的组件？您的IT运营团队是否准备好管理另一个平台？您当前的监控和运营工具是否可以与公共云提供商一起使用？这个架构如何影响对服务台的呼叫？...规则3：避免反向重力数据简单来说，“数据引力”是一个理论，即每个进程都应该迁移到给定相对质量的数据中。也就是说，当您考虑以TB或PB为单位运行数据时，流程会变得相当轻便简洁。...以下是一些其他的最佳实践建议：限制可以与数据中心建立安全连接的端点数量限制公共云中启用Internet的服务器的访问从公共云上离开安全区域的流量应该通过网络地址请注意，NAT服务器通过限制访问公有云上的专用网络区域来提供更高程度的安全性...但是，与网络一样可靠，由于硬件故障或流量增加，仍然会发生传输错误。关键是在面对这些故障时为您的应用程序开发适当的弹性。...对于用于构建分散的应用程序的方法和用于构建跨越公共广域网的跨地理便捷的应用程序的方法，我们不能期望它们具有相同的行为，也不能指望它们以相同的方式运行。

2.1K5 0

生产环境中使用ngrok：不仅仅用于测试

如果您曾经使用 ngrok 生成一个临时安全隧道，以便服务和浏览器即使在 localhost 上托管也能与您的应用程序联系，您可能已经问过自己是否可以以同样的无缝方式交付您的生产应用程序和 API。...您在笔记本电脑上启动应用程序，通过命令行调用 ngrok，现在您在另一个大陆的测试人员就可以访问了。您附近的网络组件当您在服务级别解决网络入口问题时，它一开始看起来并不容易。...您很快就会意识到微服务架构的消息传递协议使这个挑战成倍增加。当从网络外部联系微服务时，API 网关使用各种 Web 协议、内部协议以及 Kafka 使用的事件流协议来路由消息。...“在您的应用程序上线之前，您需要采取更多步骤，”他补充道。“使用 ngrok，您不需要。” 90 度转弯 Argha 说，这种易于实施的方式使 ngrok 能够与服务网格协调。...然而，他补充说，“ngrok 可以与任何服务网格配对，并且效果相同。 “使用 ngrok，因为我们负责互联网层，”他继续说道，“您使用我们产品所做的其他一切事情都让您不必担心设置该互联网层。

1621 0

混合云架构的7个规则

考虑以下问题：哪个团队负责在公共云中运行的组件？您的IT运营团队是否准备好管理另一个平台？您当前的监控和操作工具是否可以与公共云提供商一起使用？这个架构对服务台的调用有什么影响？...如果网络运营不知道是否需要与公有云建立连接以保证服务质量，那么您的应用程序流量可能会与在Facebook上观看猫视频的同事共享带宽。...规则3：避免反向数据引力简单地说，“数据引力”就是过程应该迁移到给定数据相对质量的数据的理论。也就是说，当您考虑以TB或PB为单位运行数据时，流程相当轻便。...以下是一些其他的最佳实践建议：限制可以与数据中心建立安全连接的端点数目限制在公共云中的互联网服务器（Internet-enabled servers）的访问从公共云上离开安全区域的流量应该通过网络地址...这些修改具有减少延迟的效果，对用户交互更加敏感，并且限制了需要传回私人端的数据量。规则6：不要把公共云看作另一个数据中心回归到我们所知道的未知或未知的领域是人类的天性。

3.3K7 1

通过“服务镜像”实现多集群Kubernetes

路由：服务网格可以使一个集群中的应用程序与另一个集群中的应用程序进行通信变得可能和“容易”。...此时，在伦敦发出的请求将解析到bar-paris的集群IP，并被重写到巴黎网关服务的公共IP地址。如果网关服务的选择器目标是与bar相同的pod，那么此时一切都可以正常工作。...当pod查询DNS时，它将接收在伦敦的服务的集群IP。在连接时，集群IP将被重写为Paris网关服务的公共IP地址。然后，伦敦的pod将连接到这个IP地址，并将其请求转发给在巴黎的入口控制器。...折衷之处在于，多集群通信并不是特殊情况，服务就像第三方服务一样暴露，而且内部和外部服务之间的工具是相同的。由于本例中没有私有网络，数据将通过公共internet。...任意基于TCP的协议将不包含网关将请求转发到正确目的地所需的信息。网关负载均衡器可以映射TCP端口，为每个内部服务保留一个端口。在管理服务和端点时，可以在不需要客户端或服务的情况下进行端口重写。

1.1K2 0

Spring Security OAuth 2开发者指南译

请注意以下事项：当创建访问令牌时，必须存储身份验证，以便接受访问令牌的资源可以稍后引用。访问令牌用于加载用于授权其创建的认证。...确保@EnableTransactionManagement在创建令牌时，防止在竞争相同行的客户端应用程序之间发生冲突。...资源服务器还需要能够对令牌进行解码，因此它JwtTokenStore具有依赖性JwtAccessTokenConverter，并且授权服务器和资源服务器都需要相同的实现。...默认情况下，令牌被签名，资源服务器还必须能够验证签名，因此它需要与授权服务器（共享密钥或对称密钥）相同的对称（签名）密钥，或者需要公共密钥（验证者密钥），其与授权服务器中的私钥（签名密钥）匹配（公私属或非对称密钥...资源服务器配置资源服务器（可以与授权服务器或单独的应用程序相同）提供受OAuth2令牌保护的资源。Spring OAuth提供了实现此保护的Spring Security认证过滤器。

2.1K1 0

什么是REST API

API（应用程序接口）通过为系统之间的对话提供接口来帮助这种类型的通信。REST只是一种被广泛采纳的API风格，我们用它来与内部和外部以一种一致的和可预测的方式进行沟通。...在某个时间段特定于某个用户的私人数据通常不会被缓存。「分层」（Layered）：请求的客户端不需要知道它是否在与实际的服务器、代理或任何其他中间人进行通信。...这对于访问私有数据或允许更新和删除请求的API是不可行的。与RESTful API处于同域的客户端应用程序将像其他HTTP请求一样发送和接收cookies。...API身份验证将根据使用上下文而有所不同：在某些情况下，第三方应用程序被视为像任何其他具有特定权利和权限的登录用户。例如，一个地图API可以将两点之间的方向返回给调用的应用程序。...它必须确认该应用程序是一个有效的客户端，但不需要检查用户凭证。在其他情况下，第三方应用程序正在请求用户的私有数据，如电子邮件内容。

4.3K2 0

Spring Security OAuth 2开发者指南

请注意以下事项：当创建访问令牌时，必须存储身份验证，以便接受访问令牌的资源可以稍后引用。访问令牌用于加载用于授权其创建的认证。...资源服务器还需要能够对令牌进行解码，因此它JwtTokenStore具有依赖性JwtAccessTokenConverter，并且授权服务器和资源服务器都需要相同的实现。...令牌是默认签名的，资源服务器还必须能够验证签名，因此它需要与授权服务器（共享密钥或对称密钥）相同的对称（签名）密钥，或者需要公共密钥（验证者密钥）匹配授权服务器（公私属或非对称密钥）中的私钥（签名密钥）...资源服务器配置资源服务器（可以与授权服务器或单独的应用程序相同）提供受OAuth2令牌保护的资源。Spring OAuth提供实现此保护的Spring Security认证过滤器。...具有相同名称）。

1.9K2 0

OAuth 2.0身份验证

OAuth广泛用于集成第三方功能，这些功能需要访问用户帐户中的某些数据，例如，一个应用程序可能使用OAuth来请求访问您的电子邮件联系人列表，以便人们与之联系，但是相同的机制也用于提供第三方身份验证服务...：客户端应用程序——要访问用户数据的网站或Web应用程序资源所有者——客户端应用程序要访问其数据的用户 OAuth服务提供商——控制用户数据及其访问的网站或应用程序，它们通过提供用于与授权服务器和资源服务器进行交互的...image.png 1、Authorization request 客户机应用程序向OAuth服务的/授权端点发送请求，请求获得访问特定用户数据的权限，请注意，端点映射可能因提供者而异—我们的实验室为此使用的端点是...，只要用户仍然与OAuth服务有一个有效的会话，这个步骤就会自动完成，换句话说，用户第一次选择"Log in with social media(使用社交媒体登录)"时，需要手动登录并给予同意，但如果以后重新访问客户端应用程序...请注意，使用状态或nonce保护不一定能防止这些攻击，因为攻击者可以从自己的浏览器生成新值，而更安全的授权服务器也需要在交换代码时发送重定向uri参数，然后服务器可以检查这是否与它在初始授权请求中收到的匹配

3.5K1 0

Cilium 1.11：服务网格的未来已来

更广泛地说，我们需要根据拓扑结构定义 service 端点的位置，例如，服务流量应该在同一节点（node）、同一机架（rack）、同一故障分区（zone）、同一故障地区（region）、同云提供商的端点之间进行负载均衡...托管 IPv4/IPv6 邻居发现当 Cilium 启用 eBPF 替代 kube-proxy 时，Cilium 会执行集群节点的邻居发现，以收集网络中直接邻居或下一跳的 L2 地址。...随着最近 Cilium 版本的优化，如在 XDP 层的 kube-proxy 替代或独立负载均衡器，我们从用户那里经常收到的一个问题是 XDP 加速是否可以与 bond 网络设备结合使用。...当一个 service 端点被终止时，Kubernetes 为该端点设置 terminating 状态。...但现实世界情况并非总是如此，例如：私有部署的一些应用程序没有被容器化，Kubernetes 应用程序需要与集群外的服务进行通信。这些传统服务通常配置的是静态 IP，并受到防火墙规则的保护。

2891 0

HugggingFace 推理 API、推理端点和推理空间使用介绍

HuggingFace 推理 API 在 HuggingFace 托管的模型中，有些模型托管之后会提供推理 API，如果我们想快速验证模型是否可以满足我们的需求，可以使用这些 API 进行测试，下面以这个模型为例...如果想要在生产环境部署一个专属的推理 API 服务，我们可以使用 HuggingFace 的推理端点（Endpoint）。...Privacy：推理端点运行在私有的 HuggingFace 子网，不能通过互联网访问，只能通过你的 AWS 或 Azure 账户中的一个私有连接来使用，可以满足最严格的合规要求。...因为推理端点部署是收费的，所以在部署之前需要在 HuggginFace 中添加付款方法，一般使用国内的 Visa 或 Master 卡就可以了。...服务，但是如果我们想要分享自己的模型，让别人可以直接在浏览器中使用模型的功能，这时候就需要使用 HuggingFace 的模型空间（Space）了。

2.8K4 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭