Koncové body služby pro virtuální síť

Koncový bod služby pro virtuální síť poskytuje zabezpečené a přímé připojení ke službám Azure přes optimalizovanou trasu přes páteřní síť Azure. Koncové body umožňují svázat vaše důležité prostředky služeb Azure pouze s vašimi virtuálními sítěmi. Koncové body služby umožňují privátním IP adresám ve virtuální síti získat přístup ke koncovému bodu služby Azure bez nutnosti veřejné IP adresy ve virtuální síti.

Poznámka:

Microsoft doporučuje používat Privátní propojení Azure a privátní koncové body pro zabezpečený a privátní přístup ke službám hostovaným na platformě Azure. Azure Private Link nasadí síťové rozhraní do virtuální sítě podle vašeho výběru pro služby Azure, jako je Azure Storage nebo Azure SQL. Další informace najdete v tématu Azure Private Link a Co je privátní koncový bod?

Koncové body služby jsou k dispozici pro následující služby a oblasti Azure. Prostředek Microsoft.* je v závorkách. Povolte tento prostředek ze strany podsítě při konfiguraci koncových bodů služby pro vaši službu.

Obecná dostupnost

• Azure Storage (Microsoft.Storage): Obecně dostupné ve všech oblastech Azure.

• Koncové body služby Azure Storage mezi oblastmi (Microsoft.Storage.Global): Obecně dostupné ve všech oblastech Azure.

• Azure SQL Database (Microsoft.Sql): Obecně dostupné ve všech oblastech Azure.

• Azure Synapse Analytics (Microsoft.Sql): Obecně dostupné ve všech oblastech Azure pro vyhrazené fondy SQL (dříve SQL DW).

• Azure Database for MariaDB (Microsoft.Sql): Obecně dostupné v oblastech Azure, kde je dostupná databázová služba.

• Azure Cosmos DB (Microsoft.AzureCosmosDB): Obecně dostupné ve všech oblastech Azure.

• Azure Key Vault (Microsoft.KeyVault): Obecně dostupné ve všech oblastech Azure.

• Azure Service Bus (Microsoft.ServiceBus): Obecně dostupné ve všech oblastech Azure.

• Azure Event Hubs (Microsoft.EventHub): Obecně dostupné ve všech oblastech Azure.

• služba Azure App Service (Microsoft.Web): Obecně dostupná ve všech regionech Azure, kde je služba App Service dostupná.

• Azure Cognitive Services (Microsoft.CognitiveServices): Obecně dostupné ve všech oblastech Azure, kde jsou dostupné služby Azure AI.

Public Preview

• Azure Container Registry (Microsoft.ContainerRegistry): Verze Preview dostupná v omezených oblastech Azure, kde je služba Azure Container Registry dostupná.

Nejaktuálnější oznámení najdete na stránce Aktualizace služby Azure Virtual Network.

Klíčové výhody

Koncové body služby poskytují následující výhody:

• Vylepšené zabezpečení prostředků služeb Azure: Privátní adresní prostory virtuální sítě se můžou překrývat. Překrývající se mezery nemůžete použít k jednoznačné identifikaci provozu pocházejícího z vaší virtuální sítě. Koncové body služby umožňují zabezpečení prostředků služeb Azure do vaší virtuální sítě rozšířením identity virtuální sítě do služby. Jakmile ve virtuální síti povolíte koncové body služby, můžete přidat pravidlo virtuální sítě pro zabezpečení prostředků služby Azure do vaší virtuální sítě. Přidání pravidla poskytuje lepší zabezpečení tím, že plně odebere veřejný přístup k internetu k prostředkům a povolí provoz jenom z vaší virtuální sítě.

• Optimální směrování provozu služeb Azure z vaší virtuální sítě: Dnes všechny trasy ve vaší virtuální síti, které vynucují internetový provoz do místních a/nebo virtuálních zařízení, také vynucují provoz služeb Azure tak, aby se provoz služeb Azure směroval stejným způsobem jako internetový provoz. Koncové body služby poskytují optimální směrování provozu Azure.

  Koncové body vždy směrují provoz služby přímo z vaší virtuální sítě do služby v páteřní síti Microsoft Azure. Udržování provozu na páteřní síti Azure umožňuje pokračovat v auditování a monitorování odchozího internetového provozu z vašich virtuálních sítí prostřednictvím vynuceného tunelování, aniž by to mělo vliv na provoz služby. Další informace o trasách definovaných uživatelem a vynuceném tunelování najdete v tématu Směrování provozu virtuální sítě Azure.

• Snadné nastavení a méně režie na správu: Ve virtuálních sítích už nepotřebujete vyhrazené veřejné IP adresy pro zabezpečení prostředků Azure prostřednictvím brány firewall protokolu IP. K nastavení koncových bodů služby se nevyžaduje překlad síťových adres (NAT) ani zařízení brány. Koncové body služby můžete nakonfigurovat prostřednictvím jediného výběru v podsíti. Při údržbě koncových bodů nejsou žádné další režijní náklady.

Omezení

• Tato funkce je dostupná pouze pro virtuální sítě nasazené pomocí modelu nasazení Azure Resource Manager.

• Koncové body jsou povolené na podsítích nakonfigurovaných ve virtuálních sítích Azure. Koncové body nelze použít pro směrování provozu z vašich místních služeb do služeb Azure. Další informace najdete v tématu Zabezpečení přístupu ke službě Azure z místního prostředí.

• Pro Azure SQL se koncový bod služby vztahuje jenom na provoz služeb Azure v rámci oblasti virtuální sítě.

• Pro Azure Data Lake Storage (ADLS) Gen1 je funkce integrace virtuální sítě dostupná jenom pro virtuální sítě ve stejné oblasti. Integrace virtuální sítě pro ADLS Gen1 používá zabezpečení koncového bodu služby virtuální sítě mezi vaší virtuální sítí a ID Microsoft Entra k vygenerování dalších deklarací zabezpečení v přístupovém tokenu. Tyto deklarace identity pak slouží k ověření vaší virtuální sítě v účtu Data Lake Storage Gen1 a povolení přístupu. Značka Microsoft.AzureActiveDirectory uvedená v části služeb podporující koncové body služby se používá pouze pro podporu koncových bodů služeb do ADLS Gen1. ID Microsoft Entra nativně nepodporuje koncové body služeb. Další informace o integraci virtuální sítě Azure Data Lake Store Gen1 najdete v tématu Zabezpečení sítě v Azure Data Lake Storage Gen1.

• Virtuální síť může být přidružená až k 200 různým předplatným a oblastem každé podporované služby s nakonfigurovanými aktivními pravidly virtuální sítě.

Zabezpečení služeb Azure s virtuálními sítěmi

• Koncový bod služby pro virtuální síť poskytuje službě Azure identitu vaší virtuální sítě. Jakmile ve virtuální síti povolíte koncové body služby, můžete přidat pravidlo virtuální sítě pro zabezpečení prostředků služby Azure do vaší virtuální sítě.

• Provoz služby Azure z virtuální sítě v současné době používá jako zdrojové IP adresy veřejné IP adresy. Při použití koncových bodů služby se provoz služby při přístupu ke službě Azure z virtuální sítě přepne na používání privátních adres této virtuální sítě jako zdrojových IP adres. Toto nastavení umožňuje přistupovat ke službám bez nutnosti vyhrazených veřejných IP adres, které se používají ve firewallech protokolu IP.

  Poznámka:

  S koncovými body služby se zdrojové IP adresy virtuálních počítačů v podsíti pro obsluhu provozu přepnou z používání veřejných IPv4 adres na privátní IPv4 adresy. Stávající pravidla brány firewall služby Azure využívající veřejné IP adresy Azure přestanou s tímto přepínačem fungovat. Před nastavením koncových bodů služby se ujistěte, že pravidla brány firewall služby Azure umožňují tento přepínač. Při konfiguraci koncových bodů služby můžete také zaznamenat dočasné přerušení provozu služby z této podsítě.

Zabezpečení přístupu ke službě Azure z místního prostředí

Ve výchozím nastavení nejsou prostředky služeb Azure zabezpečené pro virtuální sítě dostupné z místních sítí. Pokud chcete povolit provoz z místního prostředí, musíte také povolit veřejné IP adresy (obvykle NAT) z vašeho místního prostředí nebo prostřednictvím ExpressRoute. Tyto IP adresy můžete přidat prostřednictvím konfigurace IP brány firewall pro prostředky služeb Azure.

ExpressRoute: Pokud používáte ExpressRoute pro propojení s Microsoftem z vaší sítě, identifikujte IP adresy NAT, které používáte. IP adresy překladu adres (NAT) jsou buď poskytovány zákazníkem, nebo poskytovatelem služeb. Pokud chcete povolit přístup k prostředkům služby, musíte tyto veřejné IP adresy povolit v nastavení IP brány firewall prostředku. Další informace o překladu adres (NAT) pro propojování Microsoftu ExpressRoute najdete v tématu Požadavky na překlad adres (NAT) ExpressRoute.

Konfigurace

• Nakonfigurujte koncové body služby v podsíti ve virtuální síti. Koncové body fungují s jakýmkoli typem výpočetních instancí spuštěných v rámci této podsítě.

• Pro všechny podporované služby Azure (například Azure Storage nebo Azure SQL Database) v podsíti můžete nakonfigurovat několik koncových bodů služby.

• Pro Azure SQL Database musí být virtuální sítě ve stejné oblasti jako prostředek služby Azure. Pro všechny ostatní služby můžete zabezpečit prostředky Azure ke virtuálním sítím v libovolné oblasti.

• Virtuální síť, ve které je koncový bod nakonfigurovaný, může být ve stejném předplatném jako prostředek služby Azure nebo v jiném předplatném. Další informace o oprávněních požadovaných pro nastavení koncových bodů a zabezpečení služeb Azure najdete v části Zřizování.

• U podporovaných služeb můžete pomocí koncových bodů služby svázat s virtuálními sítěmi nové nebo existující prostředky.

Úvahy

• Po nasazení koncového bodu služby se zdrojové IP adresy při komunikaci se službou z této podsítě přepnou z použití veřejných IPv4 adres na použití jejich privátní IPv4 adresy. Během tohoto přepnutí se ukončí všechna existující otevřená připojení TCP ke službě. Při povolování nebo zakazování koncového bodu služby pro podsíť se ujistěte, že nejsou spuštěné žádné důležité úlohy. Také se ujistěte, že se vaše aplikace můžou po přepnutí IP adres automaticky připojit ke službám Azure.

  Přepnutí IP adres ovlivní pouze provoz služeb z vaší virtuální sítě. Nemá žádný vliv na jiný provoz směřující na nebo z veřejných IPv4 adres přiřazených k vašim virtuálním počítačům. Pokud máte pro služby Azure existující pravidla brány firewall používající veřejné IP adresy Azure, tato pravidla s přepnutím na privátní adresy virtuální sítě přestanou fungovat.

• U koncových bodů služby zůstanou položky DNS pro služby Azure beze změny a nadále odkazují na veřejné IP adresy přiřazené ke službě Azure.

• Skupiny zabezpečení sítě (NSG) s koncovými body služby:

  • Skupiny zabezpečení sítě ve výchozím nastavení povolují odchozí internetový provoz a také povolují provoz z vaší virtuální sítě do služeb Azure. Tento provoz nadále funguje s koncovými body služby tak, jak je.

  • Pokud chcete zakázat veškerý odchozí internetový provoz a povolit jenom provoz do konkrétních služeb Azure, můžete to udělat pomocí značek služeb ve skupině zabezpečení sítě. Podporované služby Azure můžete zadat jako cíl v pravidlech NSG a Azure také zajišťuje údržbu IP adres podkladových každé značky. Další informace najdete v tématu Značky služeb Azure pro skupiny zabezpečení sítě.

Scénáře

• Partnerské, připojené nebo více virtuálních sítí: Pokud chcete zabezpečit služby Azure do více podsítí v rámci virtuální sítě nebo napříč několika virtuálními sítěmi, povolte koncové body služby v každé podsíti nezávisle. Tento postup zabezpečuje prostředky služeb Azure pro všechny podsítě.

• Filtrování odchozího provozu z virtuální sítě do služeb Azure: Pokud chcete zkontrolovat nebo filtrovat provoz odesílaný do služby Azure z virtuální sítě, můžete do virtuální sítě nasadit síťové virtuální zařízení. Potom můžete na podsíť s nasazeným síťovým virtuálním zařízením použít koncové body služby a svázat prostředky služby Azure pouze s touto podsítí. Tento scénář může být užitečný, pokud chcete použít filtrování síťových virtuálních zařízení k omezení přístupu ke službě Azure z vaší virtuální sítě jenom na konkrétní prostředky Azure. Další informace najdete v popisu odchozího provozu se síťovými virtuálními zařízeními.

• Zabezpečení prostředků Azure pro služby přímo nasazené do virtuálních sítí: Různé služby Azure můžete nasadit přímo do konkrétních podsítí ve virtuální síti. Prostředky služby Azure můžete svázat s podsítěmi spravované služby nastavením koncového bodu služby v podsíti spravované služby.

• Diskový provoz z virtuálního počítače Azure: Změny směrování koncových bodů služeb pro Azure Storage nemají vliv na diskový provoz virtuálního počítače pro spravované a nespravované disky. Tento provoz zahrnuje vstupně-výstupní operace disku a operace připojení a odpojení. Pomocí koncových bodů služeb a pravidel sítě Azure Storage můžete omezit přístup REST k objektům blob stránky na konkrétní sítě.

Protokolování a řešení potíží

Jakmile nakonfigurujete koncové body služby pro konkrétní službu, ověřte, že trasa koncového bodu služby platí takto:

• Ověření zdrojové IP adresy každé žádosti o služby v diagnostice služby. U všech nových žádostí pomocí koncových bodů služby se jako zdrojová IP adresa žádosti zobrazí privátní IP adresa virtuální sítě, která je přiřazená klientovi provádějícímu žádost z vaší virtuální sítě. Bez koncového bodu je tato adresa veřejnou IP adresou Azure.

• Zobrazení efektivních tras na všech síťových rozhraních v podsíti. Trasa ke službě:

  • Ukazuje konkrétnější implicitní trasu pro rozsahy předpon adres každé služby.

  • Má typ dalšího směrování VirtualNetworkServiceEndpoint.

  • Naznačuje, že ve srovnání s jakýmikoli trasami vynuceného tunelování je navázáno přímější připojení ke službě.

Poznámka:

Trasy koncových bodů služby přepíší všechny trasy protokolu BGP nebo trasy definované uživatelem, pokud se shodují s předponou adresy služby Azure. Další informace najdete v tématu o řešení potíží s platnými trasami.

Zajišťování zdrojů

Uživatelé s přístupem k zápisu do virtuální sítě můžou nezávisle konfigurovat koncové body služby ve virtuálních sítích. Aby uživatelé mohli zabezpečit prostředky služeb Azure pro virtuální síť, musí mít pro přidané podsítě oprávnění Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action . Předdefinované role správce služeb zahrnují toto oprávnění ve výchozím nastavení, ale můžete ho upravit vytvořením vlastních rolí.

Další informace o předdefinovaných rolích najdete v tématu Předdefinované role Azure. Další informace o přiřazování konkrétních oprávnění k vlastním rolím najdete v tématu Vlastní role Azure.

Virtuální sítě a prostředky služeb Azure můžou být ve stejném předplatném nebo v různých předplatných. Některé služby Azure (ne všechny) jako Azure Storage a Azure Key Vault také podporují koncové body služeb v různých tenantech Microsoft Entra ID. Virtuální síť a prostředek služby Azure můžou být v různých tenantech Microsoft Entra ID. Další podrobnosti najdete v dokumentaci k jednotlivým službám.

Ceny a omezení

Za používání koncových bodů služby se neúčtují žádné další poplatky. Aktuální cenový model pro služby Azure (Azure Storage, Azure SQL Database atd.) platí, jak je to dnes.

Celkový počet koncových bodů služby ve virtuální síti není nijak omezený.

Některé služby Azure, jako jsou účty Azure Storage, můžou vynucovat omezení počtu podsítí používaných k zabezpečení prostředku. Podrobnosti najdete v dokumentaci k různým službám v části Další kroky .

Zásady koncového bodu služby pro virtuální síť

Zásady koncového bodu služby virtuální sítě umožňují filtrovat provoz virtuální sítě do služeb Azure. Tento filtr umožňuje pouze konkrétní zdroje služby Azure přes koncové body služeb. Zásady koncového bodu služby poskytují podrobné řízení přístupu pro provoz virtuální sítě do služeb Azure. Další informace najdete v tématu Zásady koncového bodu služby pro virtuální síť.

Nejčastější dotazy

Nejčastější dotazy najdete v tématu Nejčastější dotazy ke koncovému bodu služby pro virtuální síť.

Další kroky

• Konfigurace koncových bodů služby pro virtuální síť

• Zabezpečte účet služby Azure Storage k virtuální síti

• Zabezpečení služby Azure SQL Database k virtuální síti

• Zabezpečte Azure Synapse Analytics ve virtuální síti

• Porovnání privátních koncových bodů a koncových bodů služby

• Zásady koncového bodu služby pro virtuální síť

• Šablona Azure Resource Manageru