Virtuális hálózati szolgáltatásvégpontok

Virtual Network (VNet) szolgáltatásvégpont biztonságos és közvetlen kapcsolatot biztosít az Azure-szolgáltatásokhoz egy optimalizált útvonalon keresztül az Azure gerinchálózatán. A végpontok segítségével biztosíthatja, hogy kritikus fontosságú Azure-szolgáltatási erőforrásai csak a virtuális hálózatain legyenek elérhetőek. A szolgáltatásvégpontok lehetővé teszik, hogy a virtuális hálózat privát IP-címei elérjék az Azure-szolgáltatás végpontját anélkül, hogy a virtuális hálózaton nyilvános IP-címre kellene szükségük.

Megjegyzés

A Microsoft a Azure Private Link használatát javasolja az Azure platformon üzemeltetett szolgáltatásokhoz való biztonságos és privát hozzáféréshez. További információ: Azure Private Link.

A szolgáltatásvégpontok az alábbi Azure-szolgáltatásokhoz és -régiókhoz érhetők el. A Microsoft.* erőforrás zárójelben van. Engedélyezze ezt az erőforrást az alhálózati oldalról, miközben konfigurálja a szolgáltatásvégpontokat a szolgáltatáshoz:

Általánosan elérhető

  • Azure Storage (Microsoft.Storage): Általánosan elérhető az összes Azure-régióban.
  • Azure SQL Database (Microsoft.Sql): Általánosan elérhető az összes Azure-régióban.
  • Azure Synapse Analytics (Microsoft.Sql): Általánosan elérhető minden Azure-régióban dedikált SQL készletekhez (korábban SQL DW).
  • Azure Database for PostgreSQL kiszolgáló (Microsoft.Sql): Általánosan elérhető azokban az Azure-régiókban, ahol az adatbázis-szolgáltatás elérhető.
  • Azure Database for MySQL kiszolgáló (Microsoft.Sql): Általánosan elérhető azokban az Azure-régiókban, ahol az adatbázis-szolgáltatás elérhető.
  • Azure Database for MariaDB (Microsoft.Sql): Általánosan elérhető azokban az Azure-régiókban, ahol az adatbázis-szolgáltatás elérhető.
  • Azure Cosmos DB (Microsoft.AzureCosmosDB): Általánosan elérhető az összes Azure-régióban.
  • Azure Key Vault (Microsoft.KeyVault): Általánosan elérhető az összes Azure-régióban.
  • Azure Service Bus (Microsoft.ServiceBus): Általánosan elérhető az összes Azure-régióban.
  • Azure Event Hubs (Microsoft.EventHub): Általánosan elérhető az összes Azure-régióban.
  • Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory): Általánosan elérhető minden olyan Azure-régióban, ahol az ADLS Gen1 elérhető.
  • Azure App Service (Microsoft.Web): Általánosan elérhető minden Olyan Azure-régióban, ahol az App Service elérhető.
  • Azure Cognitive Services (Microsoft.CognitiveServices): Általánosan elérhető minden olyan Azure-régióban, ahol a Cognitive Services elérhető.

Nyilvános előzetes verzió

  • Azure Container Registry (Microsoft.ContainerRegistry): Előzetes verzió elérhető korlátozott Azure-régiókban, ahol Azure Container Registry érhető el.

A legfrissebb értesítésekért tekintse meg az Azure-beli virtuális hálózatok frissítéseinek oldalát.

Főbb előnyök

A szolgáltatásvégpontok az alábbi előnyöket nyújtják:

  • Az Azure-szolgáltatás erőforrásainak fokozott biztonsága: A virtuális hálózat privát címterei átfedésben lehetnek. Egymást átfedő szóközök nem használhatók a virtuális hálózatról érkező forgalom egyedi azonosítására. A szolgáltatásvégpontok lehetővé teszik az Azure-szolgáltatás erőforrásainak védelmét a virtuális hálózat számára a virtuális hálózati identitás szolgáltatásra való kiterjesztésével. Miután engedélyezte a szolgáltatásvégpontokat a virtuális hálózaton, hozzáadhat egy virtuális hálózati szabályt az Azure-szolgáltatás erőforrásainak védelméhez a virtuális hálózathoz. A szabály hozzáadása nagyobb biztonságot nyújt azáltal, hogy teljesen eltávolítja a nyilvános internet-hozzáférést az erőforrásokhoz, és csak a virtuális hálózatról engedélyezi a forgalmat.

  • Optimális útválasztás a virtuális hálózat azure-beli szolgáltatás forgalmához: Ma a virtuális hálózat minden olyan útvonala, amely a helyszíni és/vagy virtuális berendezésekre irányuló internetes forgalmat kényszeríti, az Azure-szolgáltatás forgalmát is arra kényszeríti, hogy ugyanazt az útvonalat használja, mint az internetes forgalom. A szolgáltatásvégpontok optimális útválasztást biztosítanak az Azure-forgalom számára.

    A végpontok a szolgáltatás forgalmát a virtuális hálózatról közvetlenül az Azure-szolgáltatásra vezetik a Microsoft Azure gerinchálózatán át. Ha az Azure gerinchálózatán tartja az adatforgalmat, továbbra is naplózhatja és monitorozhatja a virtuális hálózatok kimenő internetforgalmát a kényszerített bújtatáson keresztül anélkül, hogy ez kihatna a szolgáltatás forgalmára. A felhasználó által megadott útvonalakkal és kényszerített bújtatással kapcsolatos további információkért lásd az Azure-beli virtuális hálózati forgalom útválasztását.

  • Egyszerű beállítás kevesebb felügyeleti igénnyel: Többé nincs szükség lefoglalt nyilvános IP-címekre a virtuális hálózatokban az Azure-erőforrások IP-tűzfalon keresztül végzett biztosításához. A szolgáltatásvégpontok beállításához nincs szükség hálózati címfordításra (NAT) vagy átjáróeszközre. A szolgáltatásvégpontokat egy alhálózatra való egyszerű kattintással konfigurálhatja. A végpontok karbantartása nem jár többletterheléssel.

Korlátozások

  • A szolgáltatás csak az Azure Resource Manager-alapú üzemi modellel üzembe helyezett virtuális hálózatokon érhető el.
  • A végpontok az Azure-beli virtuális hálózatokon konfigurált alhálózatokon vannak engedélyezve. A végpontok nem használhatók a helyszínről az Azure-szolgáltatásokba irányuló forgalomhoz. További információ: Biztonságos Azure-szolgáltatáshozzáférés a helyszíni környezetből
  • Az Azure SQL esetében a szolgáltatásvégpontok csak az adott virtuális hálózat régióján belül vannak hatással az Azure-szolgáltatások forgalmára. Az Azure Storage esetében előzetes verzióban engedélyezheti a hozzáférést más régiókban lévő virtuális hálózatokhoz.
  • Az 1. generációs Azure Data Lake Storage (ADLS) esetében a VNet-integrációs képesség csak az azonos régión belüli virtuális hálózatokhoz érhető el. Azt is vegye figyelembe, hogy az ADLS Gen1 virtuális hálózati integrációja a virtuális hálózat és a Azure Active Directory (Azure AD) közötti virtuális hálózati szolgáltatásvégpont-biztonságot használja további biztonsági jogcímek létrehozására a hozzáférési jogkivonatban. Ezután e jogcímek használatával hitelesíti a virtuális hálózatot az 1. generációs Data Lake Storage-fiókkal, és engedélyezi a hozzáférést. A Szolgáltatásvégpontok szolgáltatást támogató szolgáltatások alatt felsorolt Microsoft.AzureActiveDirectory címke csak az ADLS Gen 1 szolgáltatásvégpontjainak támogatásához használható. Azure AD nem támogatja natív módon a szolgáltatásvégpontokat. Az Azure Data Lake Store Gen 1 virtuális hálózat integrációjával kapcsolatos további információkért lásd: Hálózati biztonság az Azure Data Lake Storage Gen1-ben.

Azure-szolgáltatások védelme virtuális hálózatokhoz

  • A virtuális hálózatok szolgáltatásvégpontjai adják meg a virtuális hálózatok identitását az Azure-szolgáltatás felé. Miután engedélyezte a szolgáltatásvégpontokat a virtuális hálózaton, hozzáadhat egy virtuális hálózati szabályt az Azure-szolgáltatás erőforrásainak védelméhez a virtuális hálózathoz.

  • Manapság az Azure-szolgáltatások virtuális hálózatokról induló forgalma nyilvános IP-címeket használ forrás IP-ként. A szolgáltatásvégpontok használatakor a szolgáltatások forgalma átvált a virtuális hálózatok privát címeinek forrás IP-címekként való használatára a virtuális hálózatról az Azure-szolgáltatás felé irányuló forgalom esetén. Ez a váltás lehetővé teszi a szolgáltatások elérését anélkül, hogy szükség lenne az IP-tűzfalakban használt lefoglalt, nyilvános IP-címekre.

    Megjegyzés

    A szolgáltatásvégpontokkal a szolgáltatásforgalom alhálózatán lévő virtuális gépek forrás IP-címei a nyilvános IPv4-címek használatáról átváltanak magánhálózati IPv4-címek használatára. Az Azure-beli nyilvános IP-címeket használó Azure-szolgáltatáshoz tartozó meglévő tűzfalszabályok a váltás után nem fognak működni. A szolgáltatásvégpontok beállítása előtt győződjön meg arról, hogy az Azure-szolgáltatásokhoz tartozó tűzfalszabályok engedélyezik ezt a váltást. A szolgáltatásvégpontok konfigurálása során az alhálózatról érkező szolgáltatásforgalom átmenetileg megszakadhat.

Azure-szolgáltatások helyszíni hozzáférésének védelme

Alapértelmezés szerint a virtuális hálózatokhoz biztosított Azure-szolgáltatási erőforrások nem érhetőek el a helyszíni hálózatokról. Ha engedélyezni szeretné a helyszíni forgalom számára, engedélyeznie kell a helyszíni vagy expressroute-beli nyilvános (általában NAT- vagy NAT-) IP-címeket is. Ezeket az IP-címeket az Azure-szolgáltatás erőforrásainak IP-tűzfal-konfigurációja segítségével adhatja hozzá.

ExpressRoute: Ha nyilvános társviszony-létesítéshez vagy Microsoft-társviszony-létesítéshez használja az ExpressRoute-ot a helyszínről, azonosítania kell a használt NAT IP-címeket. Nyilvános társviszony-létesítés esetén minden ExpressRoute-kapcsolatcsoport alapértelmezés szerint két NAT IP-címet használ az Azure-szolgáltatás forgalmára, amikor a forgalom belép a Microsoft Azure hálózati gerinchálózatba. Microsoft-társviszony-létesítés esetén a NAT IP-címeket az ügyfél adja meg, vagy a szolgáltató adja meg. A szolgáltatási erőforrások hozzáférésének engedélyezéséhez engedélyeznie kell ezeket a nyilvános IP-címeket az erőforrás IP-tűzfalának beállításai között. A nyilvános társviszony-létesítési ExpressRoute-kapcsolatcsoport IP-címeinek megkereséséhez hozzon létre egy támogatási jegyet az ExpressRoute-tal az Azure Portalon. A nyilvános ExpressRoute-alapú NAT-ról és a Microsoft társviszony-létesítésről további információt az ExpressRoute NAT-követelményei között talál.

Securing Azure services to virtual networks

Konfiguráció

  • Szolgáltatásvégpontok konfigurálása egy virtuális hálózat alhálózatán. A végpontok bármilyen típusú számítási példányokkal működnek, ha azok az adott alhálózaton belül futnak.
  • Egy alhálózaton több szolgáltatásvégpontot is konfigurálhat az összes támogatott Azure-szolgáltatáshoz (például Az Azure Storage vagy Azure SQL Database).
  • Az Azure SQL Database esetében a virtuális hálózatoknak és az Azure-szolgáltatási erőforrásnak ugyanabban a régióban kell lenniük. Az Azure Storage esetében előzetes verzióban engedélyezheti a hozzáférést más régiókban lévő virtuális hálózatokhoz. Az összes többi szolgáltatás esetében bármely régióban biztonságossá teheti az Azure-szolgáltatás erőforrásait a virtuális hálózatok számára.
  • Az a virtuális hálózat, ahol a végpont konfigurálva van, lehet az Azure-szolgáltatási erőforrással egyazon előfizetésben, de egy másikban is. A végpontok beállításához és az Azure-szolgáltatások biztosításához szükséges engedélyekkel kapcsolatos további információkért lásd a kiépítést ismertető szakaszt.
  • A támogatott szolgáltatások esetében a szolgáltatásvégpontokat használó virtuális hálózatokhoz biztosíthat új vagy meglévő erőforrásokat is.

Megfontolandó szempontok

  • A szolgáltatásvégpont engedélyezése után a forrás IP-címek a nyilvános IPv4-címekről a privát IPv4-cím használatára váltanak, amikor az adott alhálózatról kommunikálnak a szolgáltatással. A váltás során bármilyen, a szolgáltatás felé nyitott fennálló TCP-kapcsolat bezárul. Győződjön meg arról, hogy semmilyen kritikus feladat nem fut, amikor egy alhálózaton engedélyez vagy letilt egy szolgáltatáshoz vezető szolgáltatásvégpontot. Továbbá győződjön meg arról is, hogy az alkalmazásai képesek automatikusan csatlakozni az Azure-szolgáltatásokhoz az IP-címváltást követően.

    Az IP-címváltás csak a virtuális hálózatról kimenő szolgáltatásforgalomra van hatással. Nincs hatással a virtuális gépekhez rendelt nyilvános IPv4-címekre vagy azok felől érkező egyéb forgalomra. Azure-szolgáltatások esetében, ha a meglévő tűzfalszabályok az Azure nyilvános IP-címeit használják, akkor a virtuális hálózat privát címeire történő váltást követően a szabályok nem működnek tovább.

  • A szolgáltatásvégpontok esetében az Azure-szolgáltatások DNS-bejegyzései a mai napig változatlanok maradnak, és továbbra is feloldhatók az Azure-szolgáltatáshoz rendelt nyilvános IP-címekre.

  • Hálózati biztonsági csoportok (NSG-k) szolgáltatásvégpontokkal:

    • Alapértelmezés szerint az NSG-k engedélyezik a kimenő internetes forgalmat, és engedélyezik a virtuális hálózatról az Azure-szolgáltatások felé irányuló forgalmat is. Ez a forgalom továbbra is ugyanúgy működik a szolgáltatásvégpontokkal.
    • Ha le szeretné tiltani az összes kimenő internetes forgalmat, és csak az adott Azure-szolgáltatások felé irányuló forgalmat szeretné engedélyezni, ezt szolgáltatáscímkék használatával teheti meg az NSG-kben. Az NSG-szabályokban célként megadhatja a támogatott Azure-szolgáltatásokat, és az Azure biztosítja az egyes címkék alapjául szolgáló IP-címek karbantartását is. További információért lásd az NSG-khez elérhető Azure-szolgáltatáscímkéket ismertető szakaszt.

Forgatókönyvek

  • Társviszonyban álló, csatlakoztatott vagy többszörös virtuális hálózatok: Ha egy vagy több virtuális hálózaton belüli több alhálózaton is szeretné biztosítani az Azure-szolgáltatásokat, akkor engedélyezze a szolgáltatásvégpontokat külön-külön mindegyik alhálózaton, hogy mindegyik számára biztosíthassa az Azure-szolgáltatások erőforrásait.
  • Egy virtuális hálózatból az Azure-szolgáltatásokba irányuló kimenő forgalom szűrése: Ha meg szeretné vizsgálni vagy szűrni szeretné a virtuális hálózatról egy Azure-szolgáltatásnak küldött forgalmat, üzembe helyezhet egy hálózati virtuális berendezést a virtuális hálózaton belül. Ezután szolgáltatásvégpontokat alkalmazhat azon az alhálózaton, ahol a hálózati virtuális készülék üzemel, hogy csak ennek az alhálózatnak biztosítsa az Azure-szolgáltatási erőforrásokat. Ez a forgatókönyv akkor lehet hasznos, ha a hálózati virtuális berendezések szűrésével csak bizonyos Azure-erőforrásokra szeretné korlátozni az Azure-szolgáltatások hozzáférését a virtuális hálózatról. További információkért lásd a kimenő forgalommal és a hálózati virtuális berendezésekkel foglalkozó témakört.
  • Azure-erőforrások védelme a közvetlenül a virtuális hálózatokon üzembe helyezett szolgáltatások számára: A különböző Azure-szolgáltatásokat közvetlenül üzembe helyezheti egy virtuális hálózat adott alhálózataiban. Az Azure-szolgáltatási erőforrások a felügyelt szolgáltatási alhálózatokon egy szolgáltatásvégpont beállításával biztosíthatók.
  • Azure-beli virtuális gépről érkező lemezforgalom: A felügyelt és nem felügyelt lemezek lemezforgalmát nem érintik az Azure Storage szolgáltatásvégpontok útválasztási változásai. Ez a forgalom magában foglalja a diskIO-t, valamint a csatlakoztatást és a leválasztásokat. A lapblobokhoz való REST-hozzáférést szolgáltatásvégpontokon és Azure Storage hálózati szabályokon keresztül korlátozhatja a hálózatok kiválasztására.

Naplózás és hibaelhárítás

Miután konfigurálta a szolgáltatásvégpontokat egy adott szolgáltatáshoz, ellenőrizze, hogy a szolgáltatásvégpont útvonala a következő módon van-e érvényben:

  • Szolgáltatáskérések forrás IP-címeinek hitelesítése a szolgáltatási diagnosztikában. Minden szolgáltatásvégponttal rendelkező új kérés esetében a forrás IP-címnél a virtuális hálózat magánjellegű IP-címe jelenik meg, amely a virtuális hálózatról a hozzáférést kérvényező ügyfélhez van rendelve. A végpont nélkül ez a cím egy Azure-beli nyilvános IP-cím.
  • Az érvényes útvonalak megtekintése az egyes alhálózatok hálózati adapterein. A szolgáltatásra mutató útvonal:
    • Egy pontosabban meghatározott alapértelmezett útvonalat jelent, az egyes szolgáltatások előtagtartományának megfelelően.
    • Az útvonal nextHopType típusa: VirtualNetworkServiceEndpoint
    • Azt jelzi, hogy a szolgáltatással közvetlenebb kapcsolat van érvényben, mint bármely kényszerített bújtatású útvonal

Megjegyzés

Azure-szolgáltatás használata esetén a szolgáltatásvégpont útvonalai felülbírálják a megfelelő címelőtag BGP- vagy UDR-útvonalait. További információkért tekintse meg a hatékony útvonalakkal kapcsolatos hibaelhárítást.

Kiépítés

A szolgáltatásvégpontokat a virtuális hálózatokon a virtuális hálózathoz írási hozzáféréssel rendelkező felhasználók egymástól függetlenül konfigurálhatják. Ahhoz, hogy az Azure-szolgáltatás erőforrásait egy virtuális hálózathoz biztosítsa, a felhasználónak engedéllyel kell rendelkeznie a Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action parancshoz a hozzáadott alhálózatokhoz. A beépített szolgáltatásadminisztrátori szerepkörök alapértelmezés szerint tartalmazzák ezt az engedélyt. Az engedélyt egyéni szerepkörök létrehozásával módosíthatja.

A beépített szerepkörökről további információt az Azure beépített szerepköreivel kapcsolatban talál. A konkrét engedélyek egyéni szerepkörökhöz való hozzárendeléséről további információt az Egyéni Azure-szerepkörök című témakörben talál.

A virtuális hálózatok és az Azure-szolgáltatási erőforrások tartozhatnak ugyanahhoz az előfizetéshez, de különböző előfizetésekhez is. Bizonyos Azure-szolgáltatások (nem az összes), például az Azure Storage és az Azure Key Vault is támogatják a szolgáltatásvégpontokat a különböző Active Directory- (AD-) bérlőkben, azaz a virtuális hálózat és az Azure-szolgáltatás erőforrása különböző Active Directory- (AD-) bérlőkben lehet. További részletekért tekintse meg az egyes szolgáltatások dokumentációját.

Díjszabás és korlátok

A szolgáltatásvégpontok használata nem jár többletköltséggel. Az Azure-szolgáltatások (Azure Storage, Azure SQL Database stb.) jelenlegi díjszabási modellje jelenleg is érvényes.

A virtuális hálózatokban nincs korlátozva a szolgáltatásvégpontok teljes száma.

Bizonyos Azure-szolgáltatások, például az Azure Storage-fiókok, korlátozhatják az erőforrás biztonságossá tételéhez használt alhálózatok számát. A részletekért tekintse meg a különböző szolgáltatások dokumentációját a Következő lépések szakaszban.

VNet-szolgáltatásvégpont-szabályzatok

A VNet szolgáltatásvégpont-szabályzatai lehetővé teszik az Azure-szolgáltatásokba irányuló virtuális hálózati forgalom szűrését. Ez a szűrő csak bizonyos Azure-szolgáltatási erőforrásokat engedélyez a szolgáltatásvégpontokon keresztül. A szolgáltatásvégpont-szabályzatok részletes hozzáférés-vezérlést biztosítanak az Azure-szolgáltatásokba irányuló virtuális hálózati forgalomhoz. További információ: Virtual Network szolgáltatásvégpont-szabályzatok.

Gyakori kérdések

Gyakori kérdésekért lásd Virtual Network szolgáltatásvégponttal kapcsolatos gyakori kérdéseket.

Következő lépések