ShreyasKatta/azure-storage-airlock

# 🛡️ 隔离云基础设施：“安全存储气闸” ## 🎥 项目演示（网络验证） **你正在观看的内容：** 这是一个网络隔离的实时演示。我试图从公共互联网解析该存储账户，并收到了一个标准的公共 IP。然后，我通过 Azure Bastion 安全地隧道连接到隔离的 Spoke 网络。从内部的 Linux 终端中，完全相同的 DNS 查询成功解析为一个高度安全的私有 `10.1.2.x` IP 地址，证明了公共入口已被完全锁定。 点击下方图片观看安全存储气闸的实时演示 ⬇️ ## [](https://youtu.be/rU2i18slCFk) ## 🏗️ 架构与工作流 **安全路由流程：** `公共互联网` ➡️ `Azure Bastion (Hub)` ➡️ `VNet Peering` ➡️ `Ubuntu Jumpbox (Spoke)` ➡️ `Private Endpoint` ➡️ `Azure Storage` ### 🧠 工作原理（“银行金库”类比） 把这个 Hub-and-Spoke 架构想象成一个高度安全的地下银行金库。 1. 🏦 **前厅（Hub Network）：** 你不能直接从街道走进金库。你必须进入主厅，并向保安（**Azure Bastion**）验证身份。 2. 🌉 **安全走廊（VNet Peering）：** 验证通过后，保安会护送你穿过一条连接前厅和后台区域的私有内部员工走廊。 3. 🚪 **控制室（Spoke Jumpbox）：** 你到达一个安全的、无窗的控制室（**Ubuntu Linux VM**）。这个房间没有公共门或外部互联网访问权限。 4. 🗄️ **金库（Private Endpoint & Storage）：** 从这个安全的房间，你可以访问最终的金库（**Azure Storage**）。因为我们安装了 **Private Endpoint**，金库只接受源自这座特定建筑内部的连接。任何试图从外部街道闯入的人都会被混凝土墙瞬间阻挡。 ## 📄 网络验证（工件） 在云安全中，你不能仅仅假设资源是私有的；你必须通过 DNS 解析来证明这一点。 在录制的测试过程中，我利用标准的网络工程命令（`nslookup`）验证了流量路由行为： * 🛑 **公共互联网查询：** 解析为 `52.239.x.x`（标准 Microsoft 公共 IP）。访问被 Azure Firewall 规则明确**拒绝**。 * ✅ **内部 Bastion 查询：** 解析为 `10.1.2.4`（内部 Spoke 子网 IP）。访问通过 Private Link 和 Private DNS Zone 无缝**授予**。

标签：Azure Bastion, Azure云安全, Hub-Spoke架构, Microsoft Azure, PE 加载器, Ubuntu Linux, VNet Peering, 云架构, 安全存储, 安全通道, 操作系统检测, 数据保险箱, 私有端点, 私有链接, 网络安全, 网络隔离, 虚拟网络, 跳板机, 隐私保护, 零信任架构