Pianificare e implementare gli endpoint privati
L'endpoint privato è un'interfaccia di rete che usa un indirizzo IP provato della rete virtuale. L’interfaccia di rete connette l'utente in modo privato e sicuro a un servizio gestito dal collegamento privato di Azure. Abilitando un endpoint privato, si porta il servizio nella rete virtuale.
Il servizio può essere un servizio di Azure, ad esempio:
- Archiviazione di Azure
- Azure Cosmos DB
- database SQL di Azure
- Servizio personalizzato, tramite il servizio di collegamento privato.
Proprietà dell'endpoint privato
Un endpoint privato specifica le proprietà seguenti:
| Proprietà | Descrizione |
|---|---|
| Name | Nome univoco all'interno del gruppo di risorse. |
| Subnet | La subnet da distribuire, in cui viene assegnato l'indirizzo IP privato. |
| Risorsa Collegamento privato | La risorsa di collegamento privato per la connessione tramite un ID risorsa o alias dall'elenco dei tipi disponibili. Viene generato un identificatore di rete univoco per tutto il traffico che viene inviato a questa risorsa. |
| Sottorisorsa di destinazione | Sottorisorsa a cui connettersi. A ogni tipo di risorsa di collegamento privato sono associate varie opzioni da selezionare in base alle preferenze. |
| Metodo di approvazione della connessione | Automatico o manuale. A seconda delle autorizzazioni di controllo degli accessi in base al ruolo di Azure, l'endpoint privato può essere approvato automaticamente. Se si sta eseguendo la connessione a una risorsa di collegamento privato senza le autorizzazioni di controllo degli accessi in base al ruolo di Azure, usare il metodo manuale per consentire al proprietario della risorsa di approvare la connessione. |
| Messaggio di richiesta | È possibile specificare un messaggio affinché le connessioni richieste vengano approvate manualmente. Questo messaggio può essere usato per identificare una richiesta specifica. |
| Stato connessione | Una proprietà di sola lettura che specifica se l'endpoint privato è attivo. Per inviare il traffico è possibile usare solo endpoint privati in uno stato approvato. Altri stati disponibili: Approvato: la connessione è stata approvata automaticamente o manualmente ed è pronta per essere usata. In sospeso: la connessione è stata creata manualmente ed è in attesa di approvazione dal proprietario della risorsa di collegamento privato. Rifiutato: la connessione è stata rifiutata dal proprietario della risorsa di collegamento privato. Disconnesso: la connessione è stata rimossa dal proprietario della risorsa di collegamento privato. L'endpoint privato diventa informativo e deve essere eliminato a scopo di pulizia. |
Durante la creazione di endpoint privati, tenere presente quanto segue:
- Gli endpoint privati consentono la connettività tra i clienti di:
- Rete virtuale
- Reti virtuali con peering a livello di area
- Reti virtuali con peering a livello globale
- Ambienti locali che usano una VPN o ExpressRoute
- Servizi basati su collegamento privato
- Rete virtuale
- Le connessioni di rete possono essere avviate solo dai client che si connettono all'endpoint privato. I provider di servizi non hanno una configurazione di routing per creare connessioni ai clienti del servizio. Le connessioni possono essere stabilite solo in un'unica direzione.
- Per il ciclo di vita dell'endpoint privato viene creata automaticamente un'interfaccia di rete di sola lettura. All'interfaccia viene assegnato un indirizzo IP privato dinamico dalla subnet mappato alla risorsa collegamento privato. Il valore dell'indirizzo IP privato rimane invariato per l'intero ciclo di vita dell'endpoint privato.
- L'endpoint privato deve essere distribuito nella stessa area e nella stessa sottoscrizione della rete virtuale.
- La risorsa collegamento privato può essere distribuita in un'area diversa rispetto alla rete virtuale e all'endpoint privato.
- È possibile creare più endpoint privati usando la stessa risorsa collegamento privato. Per una singola rete che usa una configurazione del server DNS comune, la procedura consigliata consiste nell'usare un singolo endpoint privato per una risorsa collegamento privato specifica per evitare voci duplicate o conflitti nella risoluzione DNS.
- È possibile creare più endpoint privati nella stessa subnet o in subnet diverse all'interno della stessa rete virtuale. Sono previsti limiti per il numero di endpoint privati che è possibile creare in una sottoscrizione.
- La sottoscrizione che contiene la risorsa collegamento privato deve essere registrata con il provider di risorse di rete Microsoft. Anche la sottoscrizione che contiene l'endpoint privato deve essere registrata con il provider di risorse di rete Microsoft.
Sicurezza di rete degli endpoint privati
Quando si usano gli endpoint privati, il traffico viene protetto in una risorsa collegamento privato. La piattaforma convalida le connessioni di rete, consentendo solo quelle che raggiungono la risorsa collegamento privato specificata. Per accedere a più sottorisorse all'interno dello stesso servizio di Azure, sono necessari più endpoint privati con destinazioni corrispondenti. Nel caso di Archiviazione di Azure, ad esempio, è necessario separare gli endpoint privati per accedere alle sottorisorse file e BLOB.
Gli endpoint privati forniscono un indirizzo IP accessibile privatamente per il servizio di Azure, ma non ne limitano necessariamente l'accesso dalla rete pubblica. Tutti gli altri servizi di Azure richiedono tuttavia controlli di accesso aggiuntivi. Questi controlli forniscono alle risorse un livello di sicurezza di rete aggiuntivo, offrendo protezione per impedire l'accesso al servizio di Azure associato alla risorsa collegamento privato.
Gli endpoint privati supportano i criteri di rete. I criteri di rete consentono il supporto per i gruppi di sicurezza di rete, le route definite dall'utente e i gruppi di sicurezza delle applicazioni.
Tramite una connessione endpoint privato, un proprietario della risorsa a collegamento privato può:
- Esaminare tutti i dettagli della connessione all'endpoint privato.
- Approvare la connessione endpoint privato. L'endpoint privato corrispondente è abilitato per inviare il traffico alla risorsa di collegamento privato.
- Rifiutare la connessione endpoint privato L'endpoint privato corrispondente viene aggiornato in modo da riflettere lo stato.
- Eliminare una connessione endpoint privato in qualsiasi stato. L'endpoint privato corrispondente viene aggiornato con stato Disconnesso per riflettere l'azione. Il proprietario dell'endpoint privato può eliminare solo la risorsa a questo punto.
Accedere a una risorsa di collegamento privato usando il flusso di lavoro di approvazione
È possibile connettersi a una risorsa di collegamento privato usando i metodi di approvazione della connessione seguenti:
Approvare automaticamente: Usare questo metodo quando si è proprietari o si dispone delle autorizzazioni per la risorsa di collegamento privato specifica. Le autorizzazioni necessarie sono basate sul tipo di risorsa collegamento privato nel formato seguente:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
Richiesta manuale: Usare questo metodo quando non si hanno le autorizzazioni necessarie e si vuole richiedere l'accesso. Viene avviato un flusso di lavoro di approvazione. L'endpoint privato e le connessioni endpoint private successive vengono create con stato In sospeso . Il proprietario della risorsa di collegamento privato è responsabile dell'approvazione della connessione. Dopo l'approvazione, l'endpoint privato è abilitato per inviare il traffico normalmente, come illustrato nel diagramma del flusso di lavoro di approvazione seguente:
Tramite una connessione endpoint privato, un proprietario della risorsa a collegamento privato può:
- Esaminare tutti i dettagli della connessione all'endpoint privato.
- Approvare la connessione endpoint privato. L'endpoint privato corrispondente è abilitato per inviare il traffico alla risorsa di collegamento privato.
- Rifiutare la connessione endpoint privato L'endpoint privato corrispondente viene aggiornato in modo da riflettere lo stato.
- Eliminare una connessione endpoint privato in qualsiasi stato. L'endpoint privato corrispondente viene aggiornato con stato Disconnesso per riflettere l'azione. Il proprietario dell'endpoint privato può eliminare solo la risorsa a questo punto.
Nota
Solo gli endpoint privati con stato Approvato possono inviare traffico a una risorsa di collegamento privato specificata.
Connettersi usando un alias
Un alias è un moniker univoco generato quando un proprietario del servizio crea un servizio di collegamento privato dietro un servizio di bilanciamento del carico standard. I proprietari del servizio possono condividere questo alias offline con i consumer del servizio.
I consumer possono richiedere una connessione a un servizio di collegamento privato usando l'URI (Uniform Resource Identifier) della risorsa o l'alias. Per connettersi usando l'alias, creare un endpoint privato usando il metodo di approvazione manuale della connessione. Per usare il metodo di approvazione della connessione manuale, impostare il parametro della richiesta manuale su True, durante il flusso di creazione dell'endpoint privato.
Nota
Questa richiesta manuale può essere approvata automaticamente, se l'abbonamento dell'utente è incluso nell'elenco degli elementi consentiti sul lato provider.
Configurazione del DNS
Le impostazioni DNS usate per connettersi a una risorsa di collegamento privato sono importanti. I servizi di Azure esistenti potrebbero avere già una configurazione DNS che è possibile usare quando ci si connette tramite un endpoint pubblico. Per connettersi allo stesso servizio tramite endpoint privato, sono necessarie impostazioni DNS separate, spesso configurate tramite zone DNS private. Assicurarsi che le impostazioni DNS siano corrette quando si usa il nome di dominio completo (FQDN) per la connessione. Le impostazioni devono essere indirizzate all'indirizzo IP privato dell'endpoint privato.
L'interfaccia di rete associata all'endpoint privato contiene le informazioni necessarie per configurare il DNS. Le informazioni includono il nome di dominio completo e l'indirizzo IP privato per una risorsa di collegamento privato.
Limiti
Le informazioni seguenti elencano le limitazioni note per l'uso di endpoint privati:
Indirizzo IP statico
| Limitazione | Descrizione |
|---|---|
| Configurazione degli indirizzi IP statici attualmente non supportata. | Servizio Azure Kubernetes (AKS) Gateway applicazione di Azure HDInsight Insiemi di credenziali dei servizi di ripristino Servizi di collegamento privato di terze parti |
Gruppo di sicurezza di rete
| Limitazione | Descrizione |
|---|---|
| Route valide e regole di sicurezza non disponibili per l'interfaccia di rete dell'endpoint privato. | Le route valide e le regole di sicurezza non verranno visualizzate per la scheda di interfaccia di rete dell'endpoint privato nel portale di Azure. |
| Log dei flussi del gruppo di sicurezza di rete non supportati. | I log dei flussi del gruppo di sicurezza di rete non sono disponibili per il traffico in ingresso destinato a un endpoint privato. |
| Non è possibile avere più di 50 membri in un gruppo di sicurezza delle applicazioni. | Sono solo 50 le configurazioni IP che possono essere associate a ogni rispettivo gruppo di sicurezza di rete associato al gruppo di sicurezza di rete nella subnet dell'endpoint privato. Gli errori di connessione possono verificarsi con più di 50 membri. |
| Intervalli di porte di destinazione supportati fino a un fattore di 250 K. | Gli intervalli di porte di destinazione sono supportati come sourceAddressPrefixes, DestinationAddressPrefixes e DestinationPortRanges. Regola in ingresso di esempio: Un'origine * una destinazione * 4K portRanges = 4K - Valido 10 origini * 10 destinazioni * 10 portRanges = 1 K - Valido 50 origini * 50 destinazioni * 50 portRanges = 125 K - Valido 50 origini * 50 destinazioni * 100 portRanges = 250 K - Valido 100 origini * 100 destinazioni * 100 portRanges = 1M - Non valido, NSG ha troppe origini/destinazioni/porte. |
| Il filtro delle porte di origine viene interpretato come * | Il filtro delle porte di origine non viene usato attivamente come scenario valido di filtro di traffico per il traffico destinato a un endpoint privato. |
| Funzionalità non disponibile nelle aree selezionate. | Attualmente non disponibile nelle aree seguenti: India occidentale Australia centrale 2 Sudafrica occidentale Brasile meridionale Tutte le aree per enti pubblici Tutte le aree della Cina |
Altre considerazioni sul gruppo di sicurezza di rete
- Il traffico in uscita negato da un endpoint privato non è uno scenario valido, perché il provider di servizi non può avere dare origine a traffico.
- I servizi seguenti possono richiedere l'apertura di tutte le porte di destinazione quando si usa un endpoint privato e l'aggiunta di filtri di sicurezza del gruppo di sicurezza di rete:
- Azure Cosmos DB
- Azure Cosmos DB
Route definita dall'utente
| Limitazione | Descrizione |
|---|---|
| SNAT è sempre consigliato. | A causa della natura variabile del piano dati dell'endpoint privato, è consigliabile usare il traffico SNAT destinato a un endpoint privato per garantire che il traffico restituito venga rispettato. |
| Funzionalità non disponibile nelle aree selezionate. | Attualmente non disponibile nelle aree seguenti: India occidentale Australia centrale 2 Sudafrica occidentale Brasile meridionale |
Gruppo di sicurezza delle applicazioni
| Limitazione | Descrizione |
|---|---|
| Funzionalità non disponibile nelle aree selezionate. | Attualmente non disponibile nelle aree seguenti: India occidentale Australia centrale 2 Sudafrica occidentale Brasile meridionale |