https://thedotnetblog.com/ru/tags/networking/Articles, tutorials and insights from the .NET community.Hugoru@thedotnetblog (The .NET Blog)@thedotnetblogTue, 19 May 2026 00:00:00 +0000https://thedotnetblog.com/ru/news/emiliano-montesdeoca/aspire-azure-enterprise-networking-private-endpoints/Tue, 19 May 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/ru/news/emiliano-montesdeoca/aspire-azure-enterprise-networking-private-endpoints/Новая поддержка корпоративных сетей Azure для Aspire позволяет моделировать VNet, частные endpoints, NAT-шлюзы, NSG и периметры сетевой безопасности прямо в AppHost — без дрейфа инфраструктуры.<p>Я видел этот сценарий слишком много раз. Приложение готово. Демонстрация великолепна. Затем появляется чеклист безопасности: убрать хранилище из публичного интернета, запустить внутри VNet, предоставить исходящие IP для allowlist партнёра, доказать, что только правильные подсети общаются с правильными сервисами.</p> <p>В этот момент модель приложения и модель инфраструктуры начинают расходиться способами, которые болезненно поддерживать.</p> <p>Новая поддержка корпоративных сетей Azure для Aspire решает это напрямую. Вы описываете форму сети рядом с ресурсами, которые её используют, в вашем AppHost.</p> <h2 id="строительные-блоки">Строительные блоки</h2> <p>Вот для чего предназначена каждая концепция сети Azure, в кратком изложении:</p> <table> <thead> <tr> <th>Функция</th> <th>Используйте когда</th> <th>Почему это важно</th> </tr> </thead> <tbody> <tr> <td>Виртуальная сеть</td> <td>Вам нужно частное адресное пространство</td> <td>Сетевая граница для подсетей, частных endpoints и маршрутизации</td> </tr> <tr> <td>Подсеть</td> <td>Вам нужно разделить рабочие нагрузки внутри VNet</td> <td>Каждая часть системы получает свой собственный диапазон адресов и поверхность политики</td> </tr> <tr> <td>Делегированная подсеть</td> <td>Платформенный сервис (например, ACA) должен управлять подсетью</td> <td>Позволяет сервису безопасно размещать управляемую инфраструктуру в вашей VNet</td> </tr> <tr> <td>NAT-шлюз</td> <td>Вам нужны предсказуемые исходящие публичные IP</td> <td>Стабильный адрес для allowlist и аудита</td> </tr> <tr> <td>Частный endpoint</td> <td>Вы хотите, чтобы ресурс PaaS был доступен приватно</td> <td>Помещает частный IP для этого сервиса внутри вашей VNet, убирает публичную экспозицию</td> </tr> <tr> <td>NSG</td> <td>Вам нужны правила трафика на уровне подсети</td> <td>Явное разрешение/запрет для входящего и исходящего трафика на подсеть</td> </tr> </tbody> </table> <h2 id="описание-в-apphost">Описание в AppHost</h2> <p>Ключевое изменение здесь состоит в том, что вы моделируете сеть <em>вместе</em> с ресурсами, которые её используют, а не в отдельном файле Bicep, который со временем расходится с моделью приложения.</p> <p>Из AppHost вы можете:</p> <ul> <li>Создавать VNet и подсети с <code>AddVirtualNetwork()</code> и <code>AddSubnet()</code></li> <li>Прикреплять NAT-шлюз к подсетям для стабильных исходящих IP</li> <li>Создавать частные endpoints для хранилища, Key Vault, SQL и других PaaS-сервисов</li> <li>Определять NSG с правилами входящей и исходящей безопасности</li> <li>Настраивать периметры сетевой безопасности для межресурсных политик</li> </ul> <p>В результате когда вы запускаете <code>azd up</code>, инфраструктура соответствует тому, что модель приложения говорит, что ей нужно. Не то, что говорит вручную поддерживаемый шаблон.</p> <h2 id="почему-это-важно-для-реальных-приложений">Почему Это Важно для Реальных Приложений</h2> <p>Несколько вещей, которые становятся значительно проще, как только сеть смоделирована в Aspire:</p> <p><strong>Частные endpoints для Key Vault и хранилища</strong> — вы описываете <code>WithPrivateEndpoint()</code> на этих ресурсах, и Aspire берёт на себя настройку DNS-зон и присоединение endpoints. Приложение никогда не меняется.</p> <p><strong>Стабильные исходящие IP</strong> — добавьте NAT-шлюз к соответствующей подсети, и каждый исходящий запрос вашего приложения проходит через известный, стабильный IP. Партнёры могут добавить его в allowlist. Аудиторы могут его отследить.</p> <p><strong>Правила NSG из кода</strong> — вместо того чтобы кликать по порталу или поддерживать фрагмент Bicep, ваши правила безопасности живут в AppHost рядом с ресурсами, которые они защищают.</p> <p>Это тот тип интеграции, который не делает демонстрации захватывающими, но делает производственные системы обслуживаемыми.</p> <h2 id="итог">Итог</h2> <p>Сетевая безопасность, появляющаяся поздно в жизненном цикле проекта, — решённая проблема, если вы моделируете её вместе с приложением с самого начала. Поддержка корпоративных сетей Aspire делает это возможным без необходимости отдельного инфраструктурного трека.</p> <p>Полные подробности в оригинальном посте: <a href="https://devblogs.microsoft.com/aspire/aspire-azure-enterprise-networking/">Securing Azure apps with Aspire enterprise networking</a></p>