Networking | The .NET Bloghttps://thedotnetblog.com/zh/tags/networking/Articles, tutorials and insights from the .NET community.Hugozh@thedotnetblog (The .NET Blog)@thedotnetblogTue, 19 May 2026 00:00:00 +0000私有端点、VNet、NSG — Aspire 现在接管网络管理https://thedotnetblog.com/zh/news/emiliano-montesdeoca/aspire-azure-enterprise-networking-private-endpoints/Tue, 19 May 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/zh/news/emiliano-montesdeoca/aspire-azure-enterprise-networking-private-endpoints/Aspire 新的 Azure 企业网络支持让你可以直接在 AppHost 中建模 VNet、私有端点、NAT 网关、NSG 和网络安全边界,无需基础设施漂移。<p>我见过这个场景太多次了。应用程序已经完成。演示很棒。然后安全清单出现了:将存储从公共互联网移除、在 VNet 内运行、为合作伙伴允许列表提供出站 IP、证明只有正确的子网与正确的服务通信。</p> <p>此时应用程序模型和基础设施模型开始以令人痛苦的方式分离。</p> <p>Aspire 新的 Azure 企业网络支持直接解决了这个问题。你在 AppHost 中将网络形态描述在使用它的资源旁边。</p> <h2 id="构建块">构建块</h2> <p>每个 Azure 网络概念的用途,提炼如下:</p> <table> <thead> <tr> <th>功能</th> <th>使用时机</th> <th>为何重要</th> </tr> </thead> <tbody> <tr> <td>虚拟网络</td> <td>需要私有地址空间时</td> <td>子网、私有端点和路由的网络边界</td> </tr> <tr> <td>子网</td> <td>需要在 VNet 内分离工作负载时</td> <td>系统的每个部分获得自己的地址范围和策略面</td> </tr> <tr> <td>委托子网</td> <td>平台服务(如 ACA)需要管理子网时</td> <td>允许服务安全地在 VNet 中放置受管基础设施</td> </tr> <tr> <td>NAT 网关</td> <td>需要可预测的出站公共 IP 时</td> <td>用于允许列表和审计的稳定地址</td> </tr> <tr> <td>私有端点</td> <td>希望 PaaS 资源可私密访问时</td> <td>在 VNet 内放置该服务的私有 IP,消除公共暴露</td> </tr> <tr> <td>NSG</td> <td>需要子网级流量规则时</td> <td>每个子网的入站和出站流量显式允许/拒绝</td> </tr> </tbody> </table> <h2 id="在-apphost-中描述它">在 AppHost 中描述它</h2> <p>这里的关键转变是你将网络与使用它的资源<em>一起</em>建模,而不是在随时间与应用模型产生偏离的单独 Bicep 文件中。</p> <p>从 AppHost,你可以:</p> <ul> <li>使用 <code>AddVirtualNetwork()</code> 和 <code>AddSubnet()</code> 创建 VNet 和子网</li> <li>为子网附加 NAT 网关以获得稳定的出站 IP</li> <li>为存储、Key Vault、SQL 和其他 PaaS 服务创建私有端点</li> <li>使用入站和出站安全规则定义 NSG</li> <li>配置网络安全边界以实现跨资源策略</li> </ul> <p>结果是当你运行 <code>azd up</code> 时,基础设施与应用模型所说需要的内容相匹配。而不是手动维护的模板所说的。</p> <h2 id="为何对实际应用程序重要">为何对实际应用程序重要</h2> <p>一旦在 Aspire 中建模了网络,一些事情就会变得容易很多:</p> <p><strong>Key Vault 和存储的私有端点</strong> — 你在这些资源上描述 <code>WithPrivateEndpoint()</code>,Aspire 处理 DNS 区域配置和端点附加。应用程序永远不会改变。</p> <p><strong>一致的出站 IP</strong> — 向相关子网添加 NAT 网关,应用程序的每个出站请求都通过一个已知的稳定 IP。合作伙伴可以将其加入允许列表。审计人员可以追踪它。</p> <p><strong>代码中的 NSG 规则</strong> — 不再需要在门户中点击或维护 Bicep 代码段,你的安全规则与它们保护的资源一起存在于 AppHost 中。</p> <p>这是不会让演示令人兴奋但会让生产系统可维护的集成类型。</p> <h2 id="总结">总结</h2> <p>如果从一开始就与应用程序一起建模,网络安全在项目生命周期后期出现是一个已解决的问题。Aspire 的企业网络支持使这成为可能,而无需单独的基础设施轨道。</p> <p>完整详情请参阅原始文章:<a href="https://devblogs.microsoft.com/aspire/aspire-azure-enterprise-networking/">Securing Azure apps with Aspire enterprise networking</a></p>