Questions fréquentes (FAQ) sur Azure Private Link

Private Link

Que sont Azure Private Endpoint et Azure Private Link ?

• Azure Private Endpoint : Azure Private Endpoint est une interface réseau qui vous permet de vous connecter de façon privée et sécurisée à un service basé sur Azure Private Link. Vous pouvez utiliser des points de terminaison privés pour vous connecter à un service Azure PaaS prenant en charge Private Link ou à votre propre service Private Link.
• Service Azure Private Link : Azure Private Link est un service créé par un fournisseur de services. Le service Private Link peut être attaché à la configuration d’adresse IP front-end d’un équilibreur de charge Standard.

Comment le trafic est envoyé lors de l’utilisation de Private Link ?

Le trafic est envoyé dans le cadre d’une connexion privée à l’aide de l’infrastructure principale Microsoft. Il ne passe pas par Internet. Azure Private Link ne stocke pas les données client.

Quelle est la différence entre des points de terminaison de service et des points de terminaison privés ?

• Les points de terminaison privés accordent un accès réseau à des ressources spécifiques derrière un service donné fournissant une segmentation granulaire. Le trafic peut atteindre la ressource du service à partir d’un emplacement local sans utiliser de points de terminaison publics.
• Un point de terminaison de service reste une adresse IP routable publiquement. Un point de terminaison privé est une adresse IP privée dans l’espace d’adressage du réseau virtuel sur lequel le point de terminaison privé est configuré.

Quel type de relation existe entre Private Endpoint et le service Private Link ?

Plusieurs types de ressources Private Link prennent en charge l’accès via des points de terminaison privés. Les ressources incluent les services Azure PaaS et votre propre service Private Link. Il s’agit d’une relation un-à-plusieurs.

Un service Azure Private Link reçoit des connexions provenant de plusieurs points de terminaison privés. Un point de terminaison privé se connecte à un service Azure Private Link.

Dois-je désactiver les stratégies réseau pour Private Link ?

Yes. Le service Private Link doit désactiver les stratégies réseau pour fonctionner correctement.

Puis-je utiliser pour les itinéraires définis par l’utilisateur uniquement, les groupes de sécurité réseau uniquement ou pour les deux pour Private EndPoint  ?

Yes. Pour utiliser des stratégies telles que les itinéraires définis par les utilisateurs et les groupes de sécurité réseau, vous devez activer les stratégies réseau pour un sous-réseau dans un réseau virtuel pour le point de terminaison privé. Ce paramètre affecte tous les points de terminaison privés du sous-réseau.

Service endpoint

Dans quel ordre faut-il effectuer les opérations pour configurer les points de terminaison d’un service Azure ?

La sécurisation d’une ressource de service Azure avec des points de terminaison de service s’effectue en deux étapes :

1. Activez les points de terminaison du service Azure.
2. Configurez des listes de contrôle d’accès (ACL) au réseau virtuel sur le service Azure.

La première étape s’effectue côté réseau et la deuxième côté ressources de service. Le même administrateur ou des administrateurs différents peuvent effectuer les étapes, en fonction des autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure accordées au rôle Administrateur.

Nous vous recommandons d’activer les points de terminaison de service pour votre réseau virtuel avant de configurer les ACL du réseau virtuel du côté du service Azure. Pour configurer des points de terminaison de service de réseau virtuel, vous devez effectuer les étapes décrites dans la séquence précédente.

Note

Vous devez effectuer les deux opérations précédentes avant de pouvoir limiter l’accès au service Azure au réseau virtuel et au sous-réseau autorisés. La simple activation des points de terminaison du service Azure côté réseau ne vous permet pas de définir un accès limité. Vous devez également configurer les ACL du réseau virtuel du côté du service Azure.

Certains services (comme Azure SQL et Azure Cosmos DB) autorisent des exceptions à la séquence précédente, avec l’indicateur IgnoreMissingVnetServiceEndpoint. Après avoir défini l’indicateur sur True, vous pouvez configurer des listes de contrôle d’accès de réseau virtuel du côté du service Azure avant d’activer les points de terminaison de service côté réseau. Les services Azure fournissent cet indicateur pour aider les clients dans les cas où les pare-feu IP spécifiques sont configurés sur les services Azure.

Activer les points de terminaison de service côté réseau peut causer une perte de connectivité, car l’IP source change d’une adresse IPv4 publique en une adresse privée. La configuration des ACL du réseau virtuel sur le service Azure avant l’activation des points de terminaison de service côté réseau peut éviter une baisse de connectivité.

Note

Si vous activez Point de terminaison de service sur certains services comme « Microsoft.AzureActiveDirectory », vous pouvez voir des connexions d’adresses IPv6 dans les journaux de connexion. Microsoft utilise une plage privée IPv6 interne pour ce type de connexion.

Tous les services Azure résident-ils sur le réseau virtuel Azure fourni par le client ? Comment le point de terminaison de service d’un réseau virtuel fonctionne-t-il avec les services Azure ?

Tous les services Azure ne résident pas sur le réseau virtuel du client. La majorité des services de données Azure, comme le Stockage Azure, Azure SQL et Azure Cosmos DB, sont des services multilocataires accessibles via des adresses IP publiques. Pour plus d’informations, consultez Déployer des services Azure dédiés dans des réseaux virtuels.

Quand vous activez des points de terminaison de service de réseau virtuel du côté réseau et que vous configurez les listes de contrôle d’accès de réseau virtuel appropriées du côté service Azure, l’accès à un service Azure est limité à un réseau virtuel et un sous-réseau autorisés.

Comment les points de terminaison de service de réseau virtuel assurent-ils la sécurité ?

Les points de terminaison de service de réseau virtuel limitent l’accès au service Azure au réseau virtuel et au sous-réseau autorisés. De cette façon, ils fournissent une sécurité au niveau du réseau et une isolation du trafic du service Azure.

Tout le trafic qui utilise des points de terminaison de service de réseau virtuel transite sur le réseau principal Microsoft pour fournir une autre couche d’isolation de l’Internet public. Les clients peuvent choisir de supprimer complètement un accès à l’Internet public aux ressources de service Azure et d’autoriser le trafic uniquement à partir de leur réseau virtuel via une combinaison de pare-feu IP et de liste de contrôle d'accès de réseau virtuel. Supprimer l’accès à Internet permet de protéger les ressources du service Azure contre tout accès non autorisé.

Qu’est-ce que le point de terminaison de service de réseau virtuel protège ? Les ressources de réseau virtuel ou les ressources de service Azure ?

Les points de terminaison de service de réseau virtuel permettent de protéger les ressources de service Azure. Les ressources de réseau virtuel sont protégées par le biais de groupes de sécurité réseau.

Quel est le coût d’utilisation des points de terminaison de service de réseau virtuel ?

No. L’utilisation des points de terminaison de service de réseau virtuel n’est pas plus coûteuse.

Puis-je activer les points de terminaison de service de réseau virtuel et définir des listes de contrôle d’accès de réseau virtuel si le réseau virtuel et les ressources de service Azure appartiennent à différents abonnements ?

Oui, c’est possible. Les réseaux virtuels et les ressources de service Azure peuvent être dans des abonnements identiques ou différents. La seule condition est que le réseau virtuel et les ressources de service Azure se trouvent sous le même locataire Microsoft Entra.

Puis-je activer les points de terminaison de service de réseau virtuel et définir des listes de contrôle d’accès de réseau virtuel si le réseau virtuel et les ressources de service Azure appartiennent à différents locataires Microsoft Entra ?

Oui, c’est possible si vous utilisez des points de terminaison de service pour Stockage Azure et Azure Key Vault. Pour les autres services, les points de terminaison de service de réseau virtuel et les listes de contrôle d’accès de réseau virtuel ne sont pas pris en charge sur différents locataires Microsoft Entra.

L’adresse IP d’un appareil local connecté par le biais de la passerelle ExpressRoute ou d’une passerelle Réseau virtuel Azure (VPN) peut-elle accéder aux services Azure PaaS via des points de terminaison de service de réseau virtuel ?

Par défaut, les ressources du service Azure sécurisées pour des réseaux virtuels ne sont pas accessibles à partir des réseaux locaux. Si vous souhaitez autoriser le trafic depuis un réseau local, vous devez également autoriser les adresses IP publiques (généralement NAT) à partir de vos circuits locaux ou ExpressRoute. Vous pouvez ajouter ces adresses IP via la configuration du pare-feu IP des ressources du service Azure.

Alternatively, you can implement private endpoints for supported services.

Puis-je utiliser des points de terminaison de service de réseau virtuel pour sécuriser des services Azure pour plusieurs sous-réseaux au sein d’un réseau virtuel ou sur plusieurs réseaux virtuels ?

Afin de sécuriser les services Azure pour plusieurs sous-réseaux au sein d’un réseau virtuel ou sur plusieurs réseaux virtuels, activez les points de terminaison de service côté réseau sur chacun des sous-réseaux indépendamment. Ensuite, sécurisez les ressources de service Azure sur tous les sous-réseaux en configurant les listes de contrôle d’accès de réseau virtuel appropriées du côté du service Azure.

Comment puis-je filtrer le trafic sortant d’un réseau virtuel vers les services Azure en continuant d’utiliser les points de terminaison de service ?

Si vous souhaitez inspecter ou filtrer le trafic destiné à un service Azure à partir d’un réseau virtuel, vous pouvez déployer une appliance virtuelle réseau au sein du réseau virtuel. Vous pouvez ensuite appliquer des points de terminaison de service au sous-réseau sur lequel l’appliance virtuelle réseau est déployée et sécuriser les ressources de service Azure uniquement pour ce sous-réseau via des listes de contrôle d’accès de réseau virtuel.

Ce scénario peut également être utile si vous souhaitez restreindre l’accès aux services Azure à partir de votre réseau virtuel uniquement pour des ressources Azure spécifiques, à l’aide du filtrage des appliances virtuelles réseau. Pour plus d’informations, consultez Déployer des appliances virtuelles réseau hautement disponibles.

Que se passe-t-il quand un utilisateur accède à un compte de service Azure qui a une liste de contrôle d’accès de réseau virtuel activée à partir d’un emplacement extérieur au réseau virtuel ?

Le service retourne une erreur HTTP 403 ou HTTP 404.

Les sous-réseaux d’un réseau virtuel créés dans des régions différentes sont-ils autorisés à accéder à un compte de service Azure dans une autre région ?

Yes. Pour la plupart des services Azure, les réseaux virtuels créés dans différentes régions peuvent accéder aux services Azure dans une autre région via les points de terminaison de service de réseau virtuel. Par exemple, si un compte Azure Cosmos DB se trouve dans la région USA Ouest ou USA Est et si les réseaux virtuels se trouvent dans plusieurs régions, le réseau virtuel peut accéder à Azure Cosmos DB.

Azure SQL est une exception et est régional par nature. Le réseau virtuel et le service Azure doivent se trouver dans la même région.

Un service Azure peut-il avoir une liste de contrôle d’accès de réseau virtuel et un pare-feu IP ?

Yes. Une liste de contrôle d’accès de réseau virtuel et un pare-feu IP peuvent coexister. Ces deux fonctionnalités se complètent pour garantir l’isolation et la sécurité.

Que se passe-t-il si l’on supprime un réseau virtuel ou un sous-réseau ayant un point de terminaison de service activé pour les services Azure ?

La suppression de réseaux virtuels et la suppression de sous-réseaux sont des opérations indépendantes. Elles sont prises en charge même lorsque vous activez des points de terminaison de service pour les services Azure.

Si vous configurez des listes de contrôle d’accès de réseau virtuel pour les services Azure, les informations de liste de contrôle d’accès associées à ces services Azure sont désactivées lorsque vous supprimez un réseau virtuel ou un sous-réseau sur lequel des points de terminaison de service de réseau virtuel sont activés.

Que se passe-t-il si je supprime un compte de service Azure sur lequel un point de terminaison de service de réseau virtuel est activé ?

La suppression d’un compte de service Azure est une opération indépendante. Elle est prise en charge même si vous avez activé le point de terminaison de service côté réseau et configuré des listes de contrôle d’accès de réseau virtuel du côté du service Azure.

Qu’arrive-t-il à l’adresse IP source d’une ressource (comme une machine virtuelle sur un sous-réseau) ayant des points de terminaison de service de réseau virtuel activés ?

Quand vous activez des points de terminaison de service de réseau virtuel, les adresses IP sources des ressources du sous-réseau de votre réseau virtuel n’utilisent plus des adresses IPv4 publiques mais des adresses IP privées sur le réseau virtuel Azure pour le trafic vers les services Azure. Ce changement peut entraîner une défaillance des pare-feux IP spécifiques préalablement configurés sur une adresse IPv4 publique sur les services Azure.

La route du point de terminaison de service est-elle toujours prioritaire ?

Les points de terminaison de service ajoutent un itinéraire système prioritaire sur les routes BGP (Border Gateway Protocol) et offrent un routage optimal pour le trafic de point de terminaison de service. Les points de terminaison de service acheminent toujours le trafic de service directement à partir de votre réseau virtuel vers le service sur le réseau principal de Microsoft Azure.

Pour en savoir plus sur la façon dont Azure sélectionne un itinéraire, voir Routage du trafic de réseau virtuel.

Les points de terminaison de service fonctionnent-ils avec le protocole ICMP (Internet Control Message Protocol) ?

No. Le trafic ICMP qui provient d’un sous-réseau dont les points de terminaison de service sont activés ne prend pas le chemin du tunnel de service vers le point de terminaison souhaité. Les points de terminaison de service ne traitent que le trafic TCP. Si vous souhaitez tester la latence ou la connectivité d’un point de terminaison via des points de terminaison de service, des outils tels que ping et tracert ne montrent pas le véritable chemin que les ressources du sous-réseau empruntent.

Comment le groupe de sécurité réseau d’un sous-réseau fonctionne-t-il avec les points de terminaison de service ?

Pour atteindre le service Azure, les groupes de sécurité réseau doivent autoriser la connectivité sortante. Si vos groupes de sécurité réseau sont ouverts à tout le trafic Internet sortant, le trafic de point de terminaison de service doit fonctionner. Vous pouvez également limiter le trafic sortant aux adresses IP de service seules à l’aide des étiquettes de service.

De quelles autorisations ai-je besoin pour configurer des points de terminaison de service ?

Vous pouvez configurer des points de terminaison de service sur un réseau virtuel indépendamment si vous disposez d’un accès en écriture à ce réseau.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Cette autorisation est incluse par défaut dans le rôle d’administrateur de service intégré et peut être modifiée en créant des rôles personnalisés.

Pour plus d’informations sur les rôles intégrés et l’attribution d’autorisations spécifiques à des rôles personnalisés, consultez Rôles personnalisés Azure.

Puis-je filtrer le trafic de réseau virtuel vers les services Azure sur des points de terminaison de service ?

Vous pouvez utiliser des stratégies de points de terminaison de service de réseau virtuel pour filtrer le trafic de réseau virtuel vers les services Azure, en autorisant uniquement des ressources de service Azure spécifiques sur les points de terminaison de service. Les stratégies de points de terminaison fournissent un contrôle d’accès granulaire du trafic de réseau virtuel vers les services Azure.

Pour en savoir plus, consultez Stratégies de point de terminaison de service de réseau virtuel pour Stockage Azure.

Microsoft Entra ID prend-il en charge les points de terminaison de service de réseau virtuel ?

Microsoft Entra ID ne prend pas en charge les points de terminaison de service en mode natif. Pour obtenir la liste complète des services Azure qui prennent en charge les points de terminaison de service de réseau virtuel, consultez Points de terminaison de service de réseau virtuel.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. L’intégration au réseau virtuel dans Data Lake Storage Gen1 fait appel à la sécurité des points de terminaison de service de réseau virtuel entre votre réseau virtuel et Microsoft Entra ID afin de générer des revendications de sécurité supplémentaires dans le jeton d’accès. Ces revendications permettent ensuite d’authentifier votre réseau virtuel à votre compte Data Lake Storage Gen1 et d’y accéder.

Le nombre de points de terminaison de service de réseau virtuel que je peux configurer à partir de mon réseau virtuel est-il limité ?

Il n’existe aucune limite sur le nombre total de points de terminaison de service dans un réseau virtuel. Pour une ressource de service Azure (par exemple, un compte de stockage Azure), les services peuvent appliquer des limites sur le nombre de sous-réseaux que vous utilisez pour sécuriser la ressource. Le tableau suivant présente des exemples des limites qui s’appliquent :

Azure service	Limites sur les règles de réseau virtuel
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Base de données Azure Cosmos DB	64
Hubs d'événements Azure	128
Azure Service Bus (Bus de service Azure)	128

Note

Les limites sont sujettes à modifications à la discrétion des services Azure. Reportez-vous aux documents de service correspondants pour obtenir plus de détails.

Comment le groupe de sécurité réseau d’un sous-réseau fonctionne-t-il avec les points de terminaison de service ?

Pour atteindre le service Azure, les groupes de sécurité réseau doivent autoriser la connectivité sortante. Si vos groupes de sécurité réseau sont ouverts à tout le trafic Internet sortant, le trafic de point de terminaison de service doit fonctionner. Vous pouvez également limiter le trafic sortant aux adresses IP de service seules à l’aide des étiquettes de service.

De quelles autorisations ai-je besoin pour configurer des points de terminaison de service ?

Vous pouvez configurer des points de terminaison de service sur un réseau virtuel indépendamment si vous disposez d’un accès en écriture à ce réseau.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Cette autorisation est incluse par défaut dans le rôle d’administrateur de service intégré et peut être modifiée en créant des rôles personnalisés.

Pour plus d’informations sur les rôles intégrés et l’attribution d’autorisations spécifiques à des rôles personnalisés, consultez Rôles personnalisés Azure.

Puis-je filtrer le trafic de réseau virtuel vers les services Azure sur des points de terminaison de service ?

Vous pouvez utiliser des stratégies de points de terminaison de service de réseau virtuel pour filtrer le trafic de réseau virtuel vers les services Azure, en autorisant uniquement des ressources de service Azure spécifiques sur les points de terminaison de service. Les stratégies de points de terminaison fournissent un contrôle d’accès granulaire du trafic de réseau virtuel vers les services Azure.

Pour en savoir plus, consultez Stratégies de point de terminaison de service de réseau virtuel pour Stockage Azure.

Microsoft Entra ID prend-il en charge les points de terminaison de service de réseau virtuel ?

Microsoft Entra ID ne prend pas en charge les points de terminaison de service en mode natif. Pour obtenir la liste complète des services Azure qui prennent en charge les points de terminaison de service de réseau virtuel, consultez Points de terminaison de service de réseau virtuel.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. L’intégration au réseau virtuel dans Data Lake Storage Gen1 fait appel à la sécurité des points de terminaison de service de réseau virtuel entre votre réseau virtuel et Microsoft Entra ID afin de générer des revendications de sécurité supplémentaires dans le jeton d’accès. Ces revendications permettent ensuite d’authentifier votre réseau virtuel à votre compte Data Lake Storage Gen1 et d’y accéder.

Le nombre de points de terminaison de service de réseau virtuel que je peux configurer à partir de mon réseau virtuel est-il limité ?

Il n’existe aucune limite sur le nombre total de points de terminaison de service dans un réseau virtuel. Pour une ressource de service Azure (par exemple, un compte de stockage Azure), les services peuvent appliquer des limites sur le nombre de sous-réseaux que vous utilisez pour sécuriser la ressource. Le tableau suivant présente des exemples des limites qui s’appliquent :

Azure service	Limites sur les règles de réseau virtuel
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Base de données Azure Cosmos DB	64
Hubs d'événements Azure	128
Azure Service Bus (Bus de service Azure)	128

Note

Les limites sont sujettes à modifications à la discrétion des services Azure. Reportez-vous aux documents de service correspondants pour obtenir plus de détails.

Private Endpoint

Puis-je créer plusieurs points de terminaison privés dans le même réseau virtuel ? Peuvent-ils se connecter à des services différents ?

Yes. Vous pouvez avoir plusieurs points de terminaison privés dans le même réseau virtuel ou sous-réseau. et ceux-ci peuvent se connecter à des services différents.

Est-il possible de lier plusieurs zones DNS privées avec le même nom ?

Non, la création de plusieurs zones portant le même nom pour un seul réseau virtuel n’est pas prise en charge.

Ai-je besoin d’un sous-réseau dédié pour les points de terminaison privés ?

No. Vous n’avez pas besoin d’un sous-réseau dédié pour les points de terminaison privés. Vous pouvez choisir une adresse IP de point de terminaison privé à partir de n’importe quel sous-réseau du réseau virtuel où votre service est déployé.

Un point de terminaison privé peut-il se connecter aux services Private Link sur des locataires Microsoft Entra différents ?

Yes. Les points de terminaison privés peuvent se connecter à des services Private Link ou à un service Azure PaaS se trouvant sur des locataires Microsoft Entra différents. Les points de terminaison privés entre plusieurs locataires nécessitent une approbation manuelle des requêtes.

Private Endpoint peut-il se connecter à des ressources Azure PaaS situées dans une région Azure différente ?

Yes. Les points de terminaison privés peuvent se connecter à des ressources Azure PaaS situées dans une région Azure différente.

Puis-je modifier la carte d’interface réseau (NIC) de mon point de terminaison privé ?

Lors de la création d’un point de terminaison privé, une carte NIC en lecture seule est assignée. La carte réseau n’est pas modifiable. Elle est conservée pendant tout le cycle de vie du point de terminaison privé.

Comment assurer la disponibilité en utilisant des points de terminaison privés en cas de défaillances régionales ?

Les points de terminaison privés sont des ressources hautement disponibles avec un contrat SLA comme d’après SLA pour Azure Private Link. Toutefois, étant donné qu’il s’agit de ressources régionales, toute panne de la région Azure peut affecter la disponibilité. Pour garantir la disponibilité en cas de défaillances régionales, plusieurs points de terminaison privés connectés à la même ressource de destination peuvent être déployés dans différentes régions. De cette façon, si une région tombe en panne, vous pouvez toujours acheminer le trafic de vos scénarios de récupération via le point de terminaison privé dans une autre région pour accéder à la ressource de destination. Pour plus d’informations sur la façon dont les défaillances régionales sont gérées côté service de destination, consultez la documentation de service sur le basculement et la récupération. Le trafic de Private Link suit la résolution de Azure DNS pour le point de terminaison de destination.

Comment assurer la disponibilité en utilisant des points de terminaison privés en cas de défaillances de la zone de disponibilité ?

Les points de terminaison privés sont des ressources hautement disponibles avec un contrat SLA comme d’après SLA pour Azure Private Link. Les points de terminaison privés sont indépendants des zones : l’échec d’une zone de disponibilité dans la région du point de terminaison privé n’a pas d’impact sur la disponibilité du point de terminaison privé.

Les points de terminaison privés prennent-ils en charge le trafic ICMP ?

Le trafic TCP et UDP est pris en charge uniquement pour un point de terminaison privé. Pour plus d’informations, consultez Limitations de Private Link.

Service Liaison privée

Quels sont les prérequis à la création d’un service Private Link ?

Vos back-ends de service doivent se trouver sur un réseau virtuel et derrière un Standard Load Balancer.

Comment mettre à l’échelle mon service Private Link ?

Vous pouvez mettre à l’échelle votre service Private Link de différentes manières :

• Ajoutez des machines virtuelles back-end au pool derrière votre équilibreur de charge Standard.
• Ajoutez une adresse IP au service Private Link. Vous pouvez utiliser jusqu’à 8 adresses IP par service Private Link.
• Ajoutez un nouveau service Private Link à Standard Load Balancer. Vous pouvez utiliser jusqu’à 8 services Private Link par équilibreur de charge standard.

Que représente la configuration IP NAT (Network Address Translation) IP utilisée dans le service Private Link ? Comment effectuer un scale-in en termes de ports et de connexions disponibles ?

• La configuration IP NAT garantit que l’espace d’adressage source (consommateur) et de destination (fournisseur de services) n’ont pas de conflits d’adresses IP. La configuration fournit une NAT source pour le trafic de liaison privée pour la destination. L’adresse IP NAT s’affiche en tant qu’adresse IP source pour tous les paquets reçus par votre service et adresse IP de destination pour tous les paquets envoyés par votre service. L’adresse IP NAT peut être choisie à partir de n’importe quel sous-réseau du réseau virtuel d’un fournisseur de services.
• Chaque adresse IP NAT fournit 64 000 connexions TCP (64 000 ports) par machine virtuelle derrière l’équilibreur de charge standard. Pour mettre à l’échelle et ajouter d’autres connexions, vous pouvez ajouter de nouvelles adresses IP NAT, ou ajouter d’autres machines virtuelles derrière l’équilibreur de charge standard. Cela met à l’échelle la disponibilité des ports et autorise davantage de connexions. Les connexions sont distribuées entre les adresses IP NAT et les machines virtuelles derrière le Standard Load Balancer.

Est-il possible de connecter son service à plusieurs points de terminaison privés ?

Yes. Un service Private Link peut recevoir des connexions provenant de plusieurs points de terminaison privés. En revanche, un point de terminaison privé ne peut se connecter qu’à un seul service Private Link.

Comment contrôler l’exposition de mon service Private Link ?

Vous pouvez contrôler son exposition en configurant la visibilité dans le service Private Link. La visibilité comprend trois paramètres :

• None - Only subscriptions with role based access can locate the service.
• Restrictive - Only subscriptions that are approved and with role based access can locate the service.
• All - Everyone can locate the service.

Est-il possible de créer un service Private Link avec un équilibreur de charge de base ?

No. Il n’est pas possible de créer un service Azure Private Link avec un équilibreur de charge de base.

Est-il nécessaire d’avoir un sous-réseau dédié pour un service Private Link ?

No. Il n’est pas nécessaire d’avoir un sous-réseau dédié pour le service Private Link. Vous pouvez choisir n’importe quel sous-réseau du réseau virtuel où est déployé votre service.

Je suis fournisseur de services et j’utilise Azure Private Link. Dois-je m’assurer que tous mes clients disposent de leur propre espace d’adressage IP afin qu’ils ne chevauchent pas le mien ?

No. Azure Private Link s’en charge à votre place. Vous n’êtes pas obligé d’avoir un espace d’adressage qui ne chevauche pas celui de vos clients.

Next steps

• En savoir plus sur Azure Private Link

• Azure Private Endpoint : Azure Private Endpoint est une interface réseau qui vous permet de vous connecter de façon privée et sécurisée à un service basé sur Azure Private Link. Vous pouvez utiliser des points de terminaison privés pour vous connecter à un service Azure PaaS prenant en charge Private Link ou à votre propre service Private Link.
• Service Azure Private Link : Azure Private Link est un service créé par un fournisseur de services. Le service Private Link peut être attaché à la configuration d’adresse IP front-end d’un équilibreur de charge Standard.

Le trafic est envoyé dans le cadre d’une connexion privée à l’aide de l’infrastructure principale Microsoft. Il ne passe pas par Internet. Azure Private Link ne stocke pas les données client.

• Les points de terminaison privés accordent un accès réseau à des ressources spécifiques derrière un service donné fournissant une segmentation granulaire. Le trafic peut atteindre la ressource du service à partir d’un emplacement local sans utiliser de points de terminaison publics.
• Un point de terminaison de service reste une adresse IP routable publiquement. Un point de terminaison privé est une adresse IP privée dans l’espace d’adressage du réseau virtuel sur lequel le point de terminaison privé est configuré.

Plusieurs types de ressources Private Link prennent en charge l’accès via des points de terminaison privés. Les ressources incluent les services Azure PaaS et votre propre service Private Link. Il s’agit d’une relation un-à-plusieurs.

Un service Azure Private Link reçoit des connexions provenant de plusieurs points de terminaison privés. Un point de terminaison privé se connecte à un service Azure Private Link.

Yes. Le service Private Link doit désactiver les stratégies réseau pour fonctionner correctement.

Yes. Pour utiliser des stratégies telles que les itinéraires définis par les utilisateurs et les groupes de sécurité réseau, vous devez activer les stratégies réseau pour un sous-réseau dans un réseau virtuel pour le point de terminaison privé. Ce paramètre affecte tous les points de terminaison privés du sous-réseau.

La sécurisation d’une ressource de service Azure avec des points de terminaison de service s’effectue en deux étapes :

1. Activez les points de terminaison du service Azure.
2. Configurez des listes de contrôle d’accès (ACL) au réseau virtuel sur le service Azure.

La première étape s’effectue côté réseau et la deuxième côté ressources de service. Le même administrateur ou des administrateurs différents peuvent effectuer les étapes, en fonction des autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure accordées au rôle Administrateur.

Nous vous recommandons d’activer les points de terminaison de service pour votre réseau virtuel avant de configurer les ACL du réseau virtuel du côté du service Azure. Pour configurer des points de terminaison de service de réseau virtuel, vous devez effectuer les étapes décrites dans la séquence précédente.

Note

Vous devez effectuer les deux opérations précédentes avant de pouvoir limiter l’accès au service Azure au réseau virtuel et au sous-réseau autorisés. La simple activation des points de terminaison du service Azure côté réseau ne vous permet pas de définir un accès limité. Vous devez également configurer les ACL du réseau virtuel du côté du service Azure.

Certains services (comme Azure SQL et Azure Cosmos DB) autorisent des exceptions à la séquence précédente, avec l’indicateur IgnoreMissingVnetServiceEndpoint. Après avoir défini l’indicateur sur True, vous pouvez configurer des listes de contrôle d’accès de réseau virtuel du côté du service Azure avant d’activer les points de terminaison de service côté réseau. Les services Azure fournissent cet indicateur pour aider les clients dans les cas où les pare-feu IP spécifiques sont configurés sur les services Azure.

Activer les points de terminaison de service côté réseau peut causer une perte de connectivité, car l’IP source change d’une adresse IPv4 publique en une adresse privée. La configuration des ACL du réseau virtuel sur le service Azure avant l’activation des points de terminaison de service côté réseau peut éviter une baisse de connectivité.

Note

Si vous activez Point de terminaison de service sur certains services comme « Microsoft.AzureActiveDirectory », vous pouvez voir des connexions d’adresses IPv6 dans les journaux de connexion. Microsoft utilise une plage privée IPv6 interne pour ce type de connexion.

Tous les services Azure ne résident pas sur le réseau virtuel du client. La majorité des services de données Azure, comme le Stockage Azure, Azure SQL et Azure Cosmos DB, sont des services multilocataires accessibles via des adresses IP publiques. Pour plus d’informations, consultez Déployer des services Azure dédiés dans des réseaux virtuels.

Quand vous activez des points de terminaison de service de réseau virtuel du côté réseau et que vous configurez les listes de contrôle d’accès de réseau virtuel appropriées du côté service Azure, l’accès à un service Azure est limité à un réseau virtuel et un sous-réseau autorisés.

Les points de terminaison de service de réseau virtuel limitent l’accès au service Azure au réseau virtuel et au sous-réseau autorisés. De cette façon, ils fournissent une sécurité au niveau du réseau et une isolation du trafic du service Azure.

Tout le trafic qui utilise des points de terminaison de service de réseau virtuel transite sur le réseau principal Microsoft pour fournir une autre couche d’isolation de l’Internet public. Les clients peuvent choisir de supprimer complètement un accès à l’Internet public aux ressources de service Azure et d’autoriser le trafic uniquement à partir de leur réseau virtuel via une combinaison de pare-feu IP et de liste de contrôle d'accès de réseau virtuel. Supprimer l’accès à Internet permet de protéger les ressources du service Azure contre tout accès non autorisé.

Les points de terminaison de service de réseau virtuel permettent de protéger les ressources de service Azure. Les ressources de réseau virtuel sont protégées par le biais de groupes de sécurité réseau.

No. L’utilisation des points de terminaison de service de réseau virtuel n’est pas plus coûteuse.

Oui, c’est possible. Les réseaux virtuels et les ressources de service Azure peuvent être dans des abonnements identiques ou différents. La seule condition est que le réseau virtuel et les ressources de service Azure se trouvent sous le même locataire Microsoft Entra.

Oui, c’est possible si vous utilisez des points de terminaison de service pour Stockage Azure et Azure Key Vault. Pour les autres services, les points de terminaison de service de réseau virtuel et les listes de contrôle d’accès de réseau virtuel ne sont pas pris en charge sur différents locataires Microsoft Entra.

Par défaut, les ressources du service Azure sécurisées pour des réseaux virtuels ne sont pas accessibles à partir des réseaux locaux. Si vous souhaitez autoriser le trafic depuis un réseau local, vous devez également autoriser les adresses IP publiques (généralement NAT) à partir de vos circuits locaux ou ExpressRoute. Vous pouvez ajouter ces adresses IP via la configuration du pare-feu IP des ressources du service Azure.

Alternatively, you can implement private endpoints for supported services.

Afin de sécuriser les services Azure pour plusieurs sous-réseaux au sein d’un réseau virtuel ou sur plusieurs réseaux virtuels, activez les points de terminaison de service côté réseau sur chacun des sous-réseaux indépendamment. Ensuite, sécurisez les ressources de service Azure sur tous les sous-réseaux en configurant les listes de contrôle d’accès de réseau virtuel appropriées du côté du service Azure.

Si vous souhaitez inspecter ou filtrer le trafic destiné à un service Azure à partir d’un réseau virtuel, vous pouvez déployer une appliance virtuelle réseau au sein du réseau virtuel. Vous pouvez ensuite appliquer des points de terminaison de service au sous-réseau sur lequel l’appliance virtuelle réseau est déployée et sécuriser les ressources de service Azure uniquement pour ce sous-réseau via des listes de contrôle d’accès de réseau virtuel.

Ce scénario peut également être utile si vous souhaitez restreindre l’accès aux services Azure à partir de votre réseau virtuel uniquement pour des ressources Azure spécifiques, à l’aide du filtrage des appliances virtuelles réseau. Pour plus d’informations, consultez Déployer des appliances virtuelles réseau hautement disponibles.

Le service retourne une erreur HTTP 403 ou HTTP 404.

Yes. Pour la plupart des services Azure, les réseaux virtuels créés dans différentes régions peuvent accéder aux services Azure dans une autre région via les points de terminaison de service de réseau virtuel. Par exemple, si un compte Azure Cosmos DB se trouve dans la région USA Ouest ou USA Est et si les réseaux virtuels se trouvent dans plusieurs régions, le réseau virtuel peut accéder à Azure Cosmos DB.

Azure SQL est une exception et est régional par nature. Le réseau virtuel et le service Azure doivent se trouver dans la même région.

Yes. Une liste de contrôle d’accès de réseau virtuel et un pare-feu IP peuvent coexister. Ces deux fonctionnalités se complètent pour garantir l’isolation et la sécurité.

La suppression de réseaux virtuels et la suppression de sous-réseaux sont des opérations indépendantes. Elles sont prises en charge même lorsque vous activez des points de terminaison de service pour les services Azure.

Si vous configurez des listes de contrôle d’accès de réseau virtuel pour les services Azure, les informations de liste de contrôle d’accès associées à ces services Azure sont désactivées lorsque vous supprimez un réseau virtuel ou un sous-réseau sur lequel des points de terminaison de service de réseau virtuel sont activés.

La suppression d’un compte de service Azure est une opération indépendante. Elle est prise en charge même si vous avez activé le point de terminaison de service côté réseau et configuré des listes de contrôle d’accès de réseau virtuel du côté du service Azure.

Quand vous activez des points de terminaison de service de réseau virtuel, les adresses IP sources des ressources du sous-réseau de votre réseau virtuel n’utilisent plus des adresses IPv4 publiques mais des adresses IP privées sur le réseau virtuel Azure pour le trafic vers les services Azure. Ce changement peut entraîner une défaillance des pare-feux IP spécifiques préalablement configurés sur une adresse IPv4 publique sur les services Azure.

Les points de terminaison de service ajoutent un itinéraire système prioritaire sur les routes BGP (Border Gateway Protocol) et offrent un routage optimal pour le trafic de point de terminaison de service. Les points de terminaison de service acheminent toujours le trafic de service directement à partir de votre réseau virtuel vers le service sur le réseau principal de Microsoft Azure.

Pour en savoir plus sur la façon dont Azure sélectionne un itinéraire, voir Routage du trafic de réseau virtuel.

No. Le trafic ICMP qui provient d’un sous-réseau dont les points de terminaison de service sont activés ne prend pas le chemin du tunnel de service vers le point de terminaison souhaité. Les points de terminaison de service ne traitent que le trafic TCP. Si vous souhaitez tester la latence ou la connectivité d’un point de terminaison via des points de terminaison de service, des outils tels que ping et tracert ne montrent pas le véritable chemin que les ressources du sous-réseau empruntent.

Pour atteindre le service Azure, les groupes de sécurité réseau doivent autoriser la connectivité sortante. Si vos groupes de sécurité réseau sont ouverts à tout le trafic Internet sortant, le trafic de point de terminaison de service doit fonctionner. Vous pouvez également limiter le trafic sortant aux adresses IP de service seules à l’aide des étiquettes de service.

Vous pouvez configurer des points de terminaison de service sur un réseau virtuel indépendamment si vous disposez d’un accès en écriture à ce réseau.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Cette autorisation est incluse par défaut dans le rôle d’administrateur de service intégré et peut être modifiée en créant des rôles personnalisés.

Pour plus d’informations sur les rôles intégrés et l’attribution d’autorisations spécifiques à des rôles personnalisés, consultez Rôles personnalisés Azure.

Vous pouvez utiliser des stratégies de points de terminaison de service de réseau virtuel pour filtrer le trafic de réseau virtuel vers les services Azure, en autorisant uniquement des ressources de service Azure spécifiques sur les points de terminaison de service. Les stratégies de points de terminaison fournissent un contrôle d’accès granulaire du trafic de réseau virtuel vers les services Azure.

Pour en savoir plus, consultez Stratégies de point de terminaison de service de réseau virtuel pour Stockage Azure.

Microsoft Entra ID ne prend pas en charge les points de terminaison de service en mode natif. Pour obtenir la liste complète des services Azure qui prennent en charge les points de terminaison de service de réseau virtuel, consultez Points de terminaison de service de réseau virtuel.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. L’intégration au réseau virtuel dans Data Lake Storage Gen1 fait appel à la sécurité des points de terminaison de service de réseau virtuel entre votre réseau virtuel et Microsoft Entra ID afin de générer des revendications de sécurité supplémentaires dans le jeton d’accès. Ces revendications permettent ensuite d’authentifier votre réseau virtuel à votre compte Data Lake Storage Gen1 et d’y accéder.

Il n’existe aucune limite sur le nombre total de points de terminaison de service dans un réseau virtuel. Pour une ressource de service Azure (par exemple, un compte de stockage Azure), les services peuvent appliquer des limites sur le nombre de sous-réseaux que vous utilisez pour sécuriser la ressource. Le tableau suivant présente des exemples des limites qui s’appliquent :

Azure service	Limites sur les règles de réseau virtuel
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Base de données Azure Cosmos DB	64
Hubs d'événements Azure	128
Azure Service Bus (Bus de service Azure)	128

Note

Les limites sont sujettes à modifications à la discrétion des services Azure. Reportez-vous aux documents de service correspondants pour obtenir plus de détails.

Pour atteindre le service Azure, les groupes de sécurité réseau doivent autoriser la connectivité sortante. Si vos groupes de sécurité réseau sont ouverts à tout le trafic Internet sortant, le trafic de point de terminaison de service doit fonctionner. Vous pouvez également limiter le trafic sortant aux adresses IP de service seules à l’aide des étiquettes de service.

Vous pouvez configurer des points de terminaison de service sur un réseau virtuel indépendamment si vous disposez d’un accès en écriture à ce réseau.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Cette autorisation est incluse par défaut dans le rôle d’administrateur de service intégré et peut être modifiée en créant des rôles personnalisés.

Pour plus d’informations sur les rôles intégrés et l’attribution d’autorisations spécifiques à des rôles personnalisés, consultez Rôles personnalisés Azure.

Vous pouvez utiliser des stratégies de points de terminaison de service de réseau virtuel pour filtrer le trafic de réseau virtuel vers les services Azure, en autorisant uniquement des ressources de service Azure spécifiques sur les points de terminaison de service. Les stratégies de points de terminaison fournissent un contrôle d’accès granulaire du trafic de réseau virtuel vers les services Azure.

Pour en savoir plus, consultez Stratégies de point de terminaison de service de réseau virtuel pour Stockage Azure.

Microsoft Entra ID ne prend pas en charge les points de terminaison de service en mode natif. Pour obtenir la liste complète des services Azure qui prennent en charge les points de terminaison de service de réseau virtuel, consultez Points de terminaison de service de réseau virtuel.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. L’intégration au réseau virtuel dans Data Lake Storage Gen1 fait appel à la sécurité des points de terminaison de service de réseau virtuel entre votre réseau virtuel et Microsoft Entra ID afin de générer des revendications de sécurité supplémentaires dans le jeton d’accès. Ces revendications permettent ensuite d’authentifier votre réseau virtuel à votre compte Data Lake Storage Gen1 et d’y accéder.

Il n’existe aucune limite sur le nombre total de points de terminaison de service dans un réseau virtuel. Pour une ressource de service Azure (par exemple, un compte de stockage Azure), les services peuvent appliquer des limites sur le nombre de sous-réseaux que vous utilisez pour sécuriser la ressource. Le tableau suivant présente des exemples des limites qui s’appliquent :

Azure service	Limites sur les règles de réseau virtuel
Azure Storage	200
Azure SQL	128
Azure Synapse Analytics	128
Azure Key Vault	200
Base de données Azure Cosmos DB	64
Hubs d'événements Azure	128
Azure Service Bus (Bus de service Azure)	128

Note

Les limites sont sujettes à modifications à la discrétion des services Azure. Reportez-vous aux documents de service correspondants pour obtenir plus de détails.

Yes. Vous pouvez avoir plusieurs points de terminaison privés dans le même réseau virtuel ou sous-réseau. et ceux-ci peuvent se connecter à des services différents.

Non, la création de plusieurs zones portant le même nom pour un seul réseau virtuel n’est pas prise en charge.

No. Vous n’avez pas besoin d’un sous-réseau dédié pour les points de terminaison privés. Vous pouvez choisir une adresse IP de point de terminaison privé à partir de n’importe quel sous-réseau du réseau virtuel où votre service est déployé.

Yes. Les points de terminaison privés peuvent se connecter à des services Private Link ou à un service Azure PaaS se trouvant sur des locataires Microsoft Entra différents. Les points de terminaison privés entre plusieurs locataires nécessitent une approbation manuelle des requêtes.

Yes. Les points de terminaison privés peuvent se connecter à des ressources Azure PaaS situées dans une région Azure différente.

Lors de la création d’un point de terminaison privé, une carte NIC en lecture seule est assignée. La carte réseau n’est pas modifiable. Elle est conservée pendant tout le cycle de vie du point de terminaison privé.

Les points de terminaison privés sont des ressources hautement disponibles avec un contrat SLA comme d’après SLA pour Azure Private Link. Toutefois, étant donné qu’il s’agit de ressources régionales, toute panne de la région Azure peut affecter la disponibilité. Pour garantir la disponibilité en cas de défaillances régionales, plusieurs points de terminaison privés connectés à la même ressource de destination peuvent être déployés dans différentes régions. De cette façon, si une région tombe en panne, vous pouvez toujours acheminer le trafic de vos scénarios de récupération via le point de terminaison privé dans une autre région pour accéder à la ressource de destination. Pour plus d’informations sur la façon dont les défaillances régionales sont gérées côté service de destination, consultez la documentation de service sur le basculement et la récupération. Le trafic de Private Link suit la résolution de Azure DNS pour le point de terminaison de destination.

Les points de terminaison privés sont des ressources hautement disponibles avec un contrat SLA comme d’après SLA pour Azure Private Link. Les points de terminaison privés sont indépendants des zones : l’échec d’une zone de disponibilité dans la région du point de terminaison privé n’a pas d’impact sur la disponibilité du point de terminaison privé.

Le trafic TCP et UDP est pris en charge uniquement pour un point de terminaison privé. Pour plus d’informations, consultez Limitations de Private Link.

Vos back-ends de service doivent se trouver sur un réseau virtuel et derrière un Standard Load Balancer.

Vous pouvez mettre à l’échelle votre service Private Link de différentes manières :

• Ajoutez des machines virtuelles back-end au pool derrière votre équilibreur de charge Standard.
• Ajoutez une adresse IP au service Private Link. Vous pouvez utiliser jusqu’à 8 adresses IP par service Private Link.
• Ajoutez un nouveau service Private Link à Standard Load Balancer. Vous pouvez utiliser jusqu’à 8 services Private Link par équilibreur de charge standard.

• La configuration IP NAT garantit que l’espace d’adressage source (consommateur) et de destination (fournisseur de services) n’ont pas de conflits d’adresses IP. La configuration fournit une NAT source pour le trafic de liaison privée pour la destination. L’adresse IP NAT s’affiche en tant qu’adresse IP source pour tous les paquets reçus par votre service et adresse IP de destination pour tous les paquets envoyés par votre service. L’adresse IP NAT peut être choisie à partir de n’importe quel sous-réseau du réseau virtuel d’un fournisseur de services.
• Chaque adresse IP NAT fournit 64 000 connexions TCP (64 000 ports) par machine virtuelle derrière l’équilibreur de charge standard. Pour mettre à l’échelle et ajouter d’autres connexions, vous pouvez ajouter de nouvelles adresses IP NAT, ou ajouter d’autres machines virtuelles derrière l’équilibreur de charge standard. Cela met à l’échelle la disponibilité des ports et autorise davantage de connexions. Les connexions sont distribuées entre les adresses IP NAT et les machines virtuelles derrière le Standard Load Balancer.

Yes. Un service Private Link peut recevoir des connexions provenant de plusieurs points de terminaison privés. En revanche, un point de terminaison privé ne peut se connecter qu’à un seul service Private Link.

Vous pouvez contrôler son exposition en configurant la visibilité dans le service Private Link. La visibilité comprend trois paramètres :

• None - Only subscriptions with role based access can locate the service.
• Restrictive - Only subscriptions that are approved and with role based access can locate the service.
• All - Everyone can locate the service.

No. Il n’est pas possible de créer un service Azure Private Link avec un équilibreur de charge de base.

No. Il n’est pas nécessaire d’avoir un sous-réseau dédié pour le service Private Link. Vous pouvez choisir n’importe quel sous-réseau du réseau virtuel où est déployé votre service.

No. Azure Private Link s’en charge à votre place. Vous n’êtes pas obligé d’avoir un espace d’adressage qui ne chevauche pas celui de vos clients.

Next steps

• En savoir plus sur Azure Private Link