Punkty końcowe usługi dla sieci wirtualnej

Punkt końcowy usługi sieci wirtualnej (VNet) zapewnia bezpieczną i bezpośrednią łączność z usługami platformy Azure za pośrednictwem zoptymalizowanej trasy przez sieć szkieletową platformy Azure. Punkty końcowe umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych. Punkty końcowe usługi umożliwiają prywatnym adresom IP w sieci wirtualnej uzyskiwanie dostępu do punktu końcowego usługi platformy Azure bez konieczności korzystania z publicznego adresu IP w sieci wirtualnej.

Uwaga

Firma Microsoft zaleca korzystanie z usługi Azure Private Link i prywatnych punktów końcowych w celu zapewnienia bezpiecznego i prywatnego dostępu do usług hostowanych na platformie Azure. Usługa Azure Private Link aprowizuje interfejs sieciowy w sieci wirtualnej wybranej dla usług platformy Azure, takich jak Azure Storage lub Azure SQL. Aby uzyskać więcej informacji, zobacz Azure Private Link i Co to jest prywatny punkt końcowy?.

Punkty końcowe usługi są dostępne dla następujących usług i regionów platformy Azure. Zasób Microsoft.* znajduje się w nawiasie. Włącz ten zasób po stronie podsieci podczas konfigurowania punktów końcowych usługi dla usługi:

Ogólnie dostępne

• Azure Storage (Microsoft.Storage): ogólnie dostępny we wszystkich regionach świadczenia usługi Azure.
• Punkty końcowe usługi Azure Storage między regionami (Microsoft.Storage.Global): ogólnie dostępne we wszystkich regionach świadczenia usługi Azure.
• Azure SQL Database (Microsoft.Sql): ogólnie dostępna we wszystkich regionach świadczenia usługi Azure.
• Azure Synapse Analytics (Microsoft.Sql): ogólnie dostępny we wszystkich regionach świadczenia usługi Azure dla dedykowanych pul SQL (dawniej SQL DW).
• Serwer usługi Azure Database for PostgreSQL (Microsoft.Sql): ogólnie dostępny w regionach świadczenia usługi Azure, w których usługa bazy danych jest dostępna.
• Serwer usługi Azure Database for MySQL (Microsoft.Sql): ogólnie dostępny w regionach świadczenia usługi Azure, w których usługa bazy danych jest dostępna.
• Azure Database for MariaDB (Microsoft.Sql): ogólnie dostępny w regionach platformy Azure, w których usługa bazy danych jest dostępna.
• Azure Cosmos DB (Microsoft.AzureCosmosDB): ogólnie dostępne we wszystkich regionach świadczenia usługi Azure.
• Azure Key Vault (Microsoft.KeyVault): ogólnie dostępny we wszystkich regionach świadczenia usługi Azure.
• Azure Service Bus (Microsoft.ServiceBus): ogólnie dostępny we wszystkich regionach świadczenia usługi Azure.
• Azure Event Hubs (Microsoft.EventHub): ogólnie dostępny we wszystkich regionach świadczenia usługi Azure.
• Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory): ogólnie dostępne we wszystkich regionach świadczenia usługi Azure, w których jest dostępna usługa ADLS Gen1.
• usługa aplikacja systemu Azure (Microsoft.Web): ogólnie dostępne we wszystkich regionach świadczenia usługi Azure, w których usługa App Service jest dostępna.
• Azure Cognitive Services (Microsoft.CognitiveServices): ogólnie dostępne we wszystkich regionach świadczenia usługi Azure, w których są dostępne usługi Azure AI.

Publiczna wersja zapoznawcza

• Azure Container Registry (Microsoft.ContainerRegistry): wersja zapoznawcza dostępna w ograniczonych regionach świadczenia usługi Azure, w których jest dostępna usługa Azure Container Registry.

Najbardziej aktualne powiadomienia można znaleźć na stronie aktualizacji usługi Azure Virtual Network.

Główne korzyści

Punkty końcowe usługi oferują następujące korzyści:

• Ulepszone zabezpieczenia zasobów usługi platformy Azure: prywatne przestrzenie adresowe sieci wirtualnej mogą nakładać się na siebie. Nie można używać nakładających się spacji do unikatowego identyfikowania ruchu pochodzącego z sieci wirtualnej. Punkty końcowe usługi umożliwiają zabezpieczanie zasobów usługi platformy Azure w sieci wirtualnej przez rozszerzenie tożsamości sieci wirtualnej do usługi. Po włączeniu punktów końcowych usługi w sieci wirtualnej możesz dodać regułę sieci wirtualnej, aby zabezpieczyć zasoby usługi platformy Azure do sieci wirtualnej. Dodanie reguły zapewnia lepsze zabezpieczenia dzięki całkowitemu usunięciu publicznego dostępu do Internetu do zasobów i umożliwieniu ruchu tylko z sieci wirtualnej.

• Optymalny routing dla ruchu usługi platformy Azure z sieci wirtualnej: obecnie wszystkie trasy w sieci wirtualnej, które wymuszają ruch internetowy do lokalnych i/lub wirtualnych urządzeń, wymuszają również na ruch usługi platformy Azure taką samą trasę jak ruch internetowy. Punkty końcowe usługi zapewniają optymalny routing ruchu platformy Azure.

  Punkty końcowe zawsze pobierają ruch bezpośrednio z sieci wirtualnej do usługi w sieci szkieletowej platformy Microsoft Azure. Zachowywanie ruchu w sieci szkieletowej platformy Azure umożliwia kontynuowanie inspekcji i monitorowania wychodzącego ruchu internetowego z sieci wirtualnych za pośrednictwem tunelowania wymuszanego, bez wywierania wpływu na ruch usługi. Aby uzyskać więcej informacji na temat tras zdefiniowanych przez użytkownika i wymuszonego tunelowania, zobacz Routing ruchu w sieci wirtualnej platformy Azure.

• Prosta konfiguracja i mniejsze koszty ogólne zarządzania: nie potrzebujesz już zastrzeżonych publicznych adresów IP w swoich sieciach wirtualnych, aby zabezpieczać zasoby platformy Azure za pośrednictwem zapory adresów IP. Do skonfigurowania punktów końcowych usługi nie są wymagane żadne urządzenia translatora adresów sieciowych (NAT) ani bramy. Punkty końcowe usługi można skonfigurować za pomocą pojedynczego wyboru w podsieci. Nie ma dodatkowych obciążeń związanych z utrzymywaniem punktów końcowych.

Ograniczenia

• Funkcja jest dostępna tylko dla sieci wirtualnych wdrożonych za pomocą modelu wdrażania przy użyciu usługi Azure Resource Manager.
• Punkty końcowe są włączone w podsieciach skonfigurowanych w sieciach wirtualnych platformy Azure. Punktów końcowych nie można używać do ruchu z usług lokalnych do usług platformy Azure. Aby uzyskać więcej informacji, zobacz Zabezpieczanie dostępu do usługi platformy Azure ze środowiska lokalnego
• W przypadku usługi Azure SQL punkt końcowy usługi dotyczy tylko ruchu usługi platformy Azure w regionie sieci wirtualnej.
• W przypadku usługi Azure Data Lake Storage (ADLS) Gen 1 funkcja integracji sieci wirtualnej jest dostępna tylko dla sieci wirtualnych w tym samym regionie. Należy również pamiętać, że integracja sieci wirtualnej dla usługi ADLS Gen1 używa zabezpieczeń punktu końcowego usługi sieci wirtualnej między siecią wirtualną a identyfikatorem Entra firmy Microsoft w celu wygenerowania dodatkowych oświadczeń zabezpieczeń w tokenie dostępu. Te oświadczenia są następnie używane do uwierzytelniania sieci wirtualnej na koncie usługi Data Lake Storage Gen1 i uzyskania dostępu. Tag Microsoft.AzureActiveDirectory wymieniony w obszarze usługi obsługujące punkty końcowe usługi jest używany tylko do obsługi punktów końcowych usługi w usłudze ADLS Gen 1. Identyfikator Entra firmy Microsoft nie obsługuje natywnie punktów końcowych usługi. Aby uzyskać więcej informacji na temat integracji z siecią wirtualną usługi Azure Data Lake Store Gen 1, zobacz Zabezpieczenia sieciowe w usłudze Azure Data Lake Storage Gen1.
• Sieć wirtualna może być skojarzona z maksymalnie 200 różnymi subskrypcjami i regionami przez każdą obsługiwaną usługę z skonfigurowanymi aktywnymi regułami sieci wirtualnej.

Zabezpieczanie usług platformy Azure w sieciach wirtualnych

• Punkt końcowy usługi dla sieci wirtualnej zapewnia tożsamość sieci wirtualnej w usłudze platformy Azure. Po włączeniu punktów końcowych usługi w sieci wirtualnej możesz dodać regułę sieci wirtualnej, aby zabezpieczyć zasoby usługi platformy Azure do sieci wirtualnej.

• Obecnie ruch usługi platformy Azure z sieci wirtualnej używa publicznych adresów IP jako źródłowych adresów IP. Dzięki punktom końcowym usługi ruch usługi jest przełączany na używanie prywatnych adresów sieci wirtualnej jako źródłowych adresów IP w przypadku uzyskiwania dostępu do usługi platformy Azure z sieci wirtualnej. To przełączenie umożliwia dostęp do usług bez konieczności stosowania zastrzeżonych publicznych adresów IP w zaporach adresów IP.

  Uwaga

  Dzięki punktom końcowym usługi źródłowe adresy IP maszyn wirtualnych w podsieci dla ruchu w usłudze mogą przełączyć się z używania publicznych adresów IPv4 na używanie prywatnych adresów IPv4. Istniejące reguły zapory usługi platformy Azure używające publicznych adresów IP platformy Azure przestaną działać po tym przełączeniu. Przed rozpoczęciem konfigurowania punktów końcowych usługi sprawdź, czy reguły zapory usługi platformy Azure zezwalają na ten przełącznik. Może również wystąpić tymczasowe przerwanie ruchu usługi z tej podsieci podczas konfigurowania punktów końcowych usługi.

Zabezpieczanie dostępu do usługi platformy Azure ze środowiska lokalnego

Domyślnie zasoby usługi platformy Azure zabezpieczone w sieciach wirtualnych nie są dostępne z sieci lokalnych. Jeśli chcesz zezwolić na ruch ze środowiska lokalnego, musisz również zezwolić na użycie publicznych adresów IP (zazwyczaj translatora adresów sieciowych) z sieci lokalnej lub obwodów usługi ExpressRoute. Te adresy IP można dodać za pomocą konfiguracji zapory ip dla zasobów usługi platformy Azure.

ExpressRoute: jeśli używasz usługi ExpressRoute do publicznej komunikacji równorzędnej lub komunikacji równorzędnej firmy Microsoft ze środowiska lokalnego, musisz zidentyfikować używane adresy IP translatora adresów sieciowych. W przypadku publicznej komunikacji równorzędnej każdy obwód usługi ExpressRoute domyślnie używa dwóch adresów IP translatora adresów sieciowych stosowanych do ruchu usługi platformy Azure, gdy ruch przechodzi do sieci szkieletowej platformy Microsoft Azure. W przypadku komunikacji równorzędnej firmy Microsoft adresy IP translatora adresów sieciowych są dostarczane przez dostawcę usług lub udostępniane przez dostawcę usług. Aby umożliwić dostęp do zasobów usługi, musisz zezwolić na te publiczne adresy IP w ustawieniu zapory adresu IP zasobu. Aby znaleźć adresy IP obwodów usługi ExpressRoute publicznej komunikacji równorzędnej, otwórz bilet pomocy technicznej przy użyciu usługi ExpressRoute w witrynie Azure Portal. Aby uzyskać więcej informacji na temat translatora adresów sieciowych dla publicznej komunikacji równorzędnej usługi ExpressRoute i komunikacji równorzędnej firmy Microsoft, zobacz Wymagania dotyczące translatora adresów sieciowych usługi ExpressRoute.

Konfigurowanie

• Konfigurowanie punktów końcowych usługi w podsieci w sieci wirtualnej. Punkty końcowe współpracują z wystąpieniami obliczeniowymi dowolnego typu uruchomionymi w danej podsieci.
• Można skonfigurować wiele punktów końcowych usługi dla wszystkich obsługiwanych usług platformy Azure (na przykład Azure Storage lub Azure SQL Database) w podsieci.
• W przypadku usługi Azure SQL Database sieci wirtualne muszą znajdować się w tym samym regionie, co zasób usługi platformy Azure. W przypadku wszystkich innych usług można zabezpieczyć zasoby usługi platformy Azure w sieciach wirtualnych w dowolnym regionie.
• Sieć wirtualna, w której konfigurowany jest punkt końcowy, może należeć do tej samej subskrypcji, co zasób usługi platformy Azure, lub innej. Aby uzyskać więcej informacji na temat uprawnień wymaganych do konfigurowania punktów końcowych i zabezpieczania usług platformy Azure, zobacz Aprowizowanie.
• W przypadku obsługiwanych usług można zabezpieczyć nowe lub istniejące zasoby w sieciach wirtualnych za pomocą punktów końcowych usługi.

Kwestie wymagające rozważenia

• Po włączeniu punktu końcowego usługi źródłowe adresy IP przełączają się z używania publicznych adresów IPv4 do korzystania z ich prywatnego adresu IPv4 podczas komunikacji z usługą z tej podsieci. Wszystkie otwarte połączenia TCP z usługą są zamykane podczas tego przełączania. Upewnij się, że żadne krytyczne zadania nie działają podczas włączania lub wyłączania punktu końcowego w usłudze dla podsieci. Upewnij się również, czy aplikacje mogą automatycznie połączyć się z usługami platformy Azure po przełączeniu adresu IP.

  Przełączenie adresu IP ma wpływ tylko na ruch usługi z sieci wirtualnej. Nie ma wpływu na żaden inny ruch skierowany do lub z publicznych adresów IPv4 przypisanych do maszyn wirtualnych. Jeśli masz istniejące reguły zapory używające publicznych adresów IP platformy Azure dla usług platformy Azure, te reguły przestają działać po przełączeniu na użycie prywatnych adresów sieci wirtualnej.

• W przypadku punktów końcowych usługi wpisy DNS dla usług platformy Azure pozostają w obecnej postaci i nadal są rozpoznawane jako publiczne adresy IP przypisane do usługi platformy Azure.

• Sieciowe grupy zabezpieczeń z punktami końcowymi usługi:

  • Domyślnie sieciowe grupy zabezpieczeń zezwalają na wychodzący ruch internetowy, a także zezwalają na ruch z sieci wirtualnej do usług platformy Azure. Ten ruch nadal współpracuje z punktami końcowymi usługi, tak jak to jest.
  • Jeśli chcesz odrzucić cały wychodzący ruch internetowy i zezwolić tylko na ruch do określonych usług platformy Azure, możesz to zrobić przy użyciu tagów usług w sieciowych grupach zabezpieczeń. Obsługiwane usługi platformy Azure można określić jako miejsce docelowe w regułach sieciowej grupy zabezpieczeń, a platforma Azure zapewnia również obsługę adresów IP bazowych dla każdego tagu. Aby uzyskać więcej informacji, zobacz Azure Service tags for NSGs (Tagi usług platformy Azure dla sieciowych grup zabezpieczeń).

Scenariusze

• Równorzędne lub połączone sieci wirtualne albo wiele sieci wirtualnych: aby zabezpieczyć usługi platformy Azure w wielu podsieciach sieci wirtualnej lub wielu sieciach wirtualnych, możesz niezależnie włączyć punkty końcowe usługi w każdej z tych podsieci i zabezpieczyć zasoby usługi platformy Azure we wszystkich tych podsieciach.
• Filtrowanie ruchu wychodzącego z sieci wirtualnej do usług platformy Azure: jeśli chcesz sprawdzić lub filtrować ruch wysyłany do usługi platformy Azure z sieci wirtualnej, możesz wdrożyć wirtualne urządzenie sieciowe w sieci wirtualnej. Następnie możesz zastosować punkty końcowe usługi do podsieci, w której wdrożono sieciowe urządzenie wirtualne, i zabezpieczyć zasób usługi platformy Azure tylko w tej podsieci. Ten scenariusz może być przydatny, jeśli chcesz użyć filtrowania wirtualnego urządzenia sieciowego w celu ograniczenia dostępu do usługi platformy Azure z sieci wirtualnej tylko do określonych zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz ruch wychodzący z sieciowych urządzeń wirtualnych.
• Zabezpieczanie zasobów platformy Azure w usługach wdrożonych bezpośrednio w sieciach wirtualnych: możesz bezpośrednio wdrożyć różne usługi platformy Azure w określonych podsieciach w sieci wirtualnej. Zasoby usługi platformy Azure można zabezpieczyć w podsieciach usługi zarządzanej, konfigurując punkt końcowy usługi w podsieci usługi zarządzanej.
• Ruch dyskowy z maszyny wirtualnej platformy Azure: ruch dyskowy maszyny wirtualnej dla dysków zarządzanych i niezarządzanych nie ma wpływu na zmiany routingu punktów końcowych usługi dla usługi Azure Storage. Ten ruch obejmuje dyskIO, a także instalowanie i odinstalowywanie. Dostęp REST do stronicowych obiektów blob można ograniczyć do wybierania sieci za pośrednictwem punktów końcowych usługi i reguł sieci usługi Azure Storage.

Rejestrowanie i rozwiązywanie problemów

Po skonfigurowaniu punktów końcowych usługi do określonej usługi sprawdź, czy trasa punktu końcowego usługi działa przez:

• Weryfikowanie źródłowego adresu IP każdego żądania obsługi w diagnostyce usługi. Wszystkie nowe żądania z punktami końcowymi usługi pokazują pozycję „źródłowy adres IP” dla żądania jako prywatny adres sieci wirtualnej przypisany do klienta wysyłającego żądanie z sieci wirtualnej. Bez punktu końcowego ten adres będzie publicznym adresem IP platformy Azure.
• Wyświetlanie skutecznych tras w dowolnym interfejsie sieciowym w podsieci. Trasa do usługi:
  • Pokazuje dokładniej określoną domyślną trasę do zakresu prefiksów adresów danej usługi.
  • Ma element nextHopType o wartości VirtualNetworkServiceEndpoint.
  • Wskazuje, że obowiązuje bardziej bezpośrednie połączenie z usługą w porównaniu z trasami wymuszonego tunelowania

Uwaga

Trasy punktu końcowego usługi zastępują wszystkie trasy protokołu BGP dla dopasowania prefiksu adresu usługi platformy Azure. Aby uzyskać więcej informacji, zobacz artykuł dotyczący rozwiązywania problemów z obowiązującymi trasami.

Inicjowanie obsługi

Punkty końcowe usługi można konfigurować w sieciach wirtualnych niezależnie od użytkownika z dostępem do zapisu w sieci wirtualnej. Aby zabezpieczyć zasoby usługi platformy Azure w sieci wirtualnej, użytkownik musi mieć uprawnienia do właściwości Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action dla dodanych podsieci. Wbudowane role administratora usługi domyślnie obejmują to uprawnienie. Uprawnienie można zmodyfikować, tworząc role niestandardowe.

Aby uzyskać więcej informacji na temat wbudowanych ról, zobacz Role wbudowane platformy Azure. Aby uzyskać więcej informacji na temat przypisywania określonych uprawnień do ról niestandardowych, zobacz Role niestandardowe platformy Azure.

Sieci wirtualne i zasoby usług platformy Azure mogą należeć do tej samej lub różnych subskrypcji. Niektóre usługi platformy Azure (nie wszystkie), takie jak Azure Storage i Azure Key Vault, obsługują również punkty końcowe usługi w różnych dzierżawach usługi Active Directory (AD). Oznacza to, że sieć wirtualna i zasób usługi platformy Azure mogą znajdować się w różnych dzierżawach usługi Active Directory (AD). Aby uzyskać więcej informacji, zapoznaj się z dokumentacją poszczególnych usług.

Ceny i limity

Za korzystanie z punktów końcowych usługi nie są naliczane dodatkowe opłaty. Bieżący model cen usług platformy Azure (Azure Storage, Azure SQL Database itp.) ma zastosowanie zgodnie z rzeczywistymi informacjami.

Nie ma limitu całkowitej liczby punktów końcowych usługi w sieci wirtualnej.

Niektóre usługi platformy Azure, takie jak konta usługi Azure Storage, mogą wymuszać limity liczby podsieci używanych do zabezpieczania zasobu. Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją różnych usług w sekcji Następne kroki .

Zasady punktu końcowego usługi sieci wirtualnej

Zasady punktu końcowego usługi sieci wirtualnej umożliwiają filtrowanie ruchu sieci wirtualnej do usług platformy Azure. Ten filtr zezwala tylko na określone zasoby usługi platformy Azure za pośrednictwem punktów końcowych usługi. Zasady punktu końcowego usługi zapewniają szczegółową kontrolę dostępu w przypadku ruchu w sieci wirtualnej do usług platformy Azure. Aby uzyskać więcej informacji, zobacz Zasady punktu końcowego usługi dla sieci wirtualnej.

— często zadawane pytania

Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące punktu końcowego usługi dla sieci wirtualnej.

Następne kroki

• Konfigurowanie punktów końcowych usługi dla sieci wirtualnej
• Zabezpieczanie konta usługi Azure Storage w sieci wirtualnej
• Zabezpieczanie bazy danych Azure SQL Database w sieci wirtualnej
• Zabezpieczanie usługi Azure Synapse Analytics w sieci wirtualnej
• Porównanie prywatnych punktów końcowych i punktów końcowych usługi
• Zasady punktu końcowego usługi dla sieci wirtualnej
• Szablon usługi Azure Resource Manager