Compartilhar via


Integrar a Retransmissão do Azure com o Link Privado do Azure

O Serviço de Link Privado do Azure permite acessar os Serviços do Azure (por exemplo, Retransmissão do Azure, Barramento de Serviço do Azure, Hubs de Eventos do Azure, Armazenamento do Microsoft Azure e Azure Cosmos DB) e serviços de parceiros/clientes hospedados no Azure em um ponto de extremidade privado da sua rede virtual. Para obter mais informações, confira O que é o Link Privado do Azure?

Um ponto de extremidade privado é uma interface de rede que permite que suas cargas de trabalho em execução em uma rede virtual se conectem de forma privada e segura a um serviço que tenha um recurso de link privado (por exemplo, um namespace de Retransmissão). O ponto de extremidade privado usa um endereço IP privado de sua VNet, colocando efetivamente em sua VNet. Todo o tráfego para o serviço pode ser roteado por meio do ponto de extremidade privado; assim, nenhum gateway, nenhum dispositivo NAT, nenhum ExpressRoute, nenhuma conexão VPN e nenhum endereço IP público é necessário. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode fornecer um nível de granularidade ao controle de acesso que permite conexões a namespaces específicos da Retransmissão do Azure.

Observação

Se você usar o ouvinte de retransmissão em um link privado, abra as portas 9400-9599 para comunicação de saída junto com as portas de retransmissão padrão. Observe que você precisa fazer essa etapa somente para o ouvinte de retransmissão.

Inclusão de um ponto de extremidade privado através do portal do Azure

Pré-requisitos

Para integrar um namespace da Retransmissão do Azure com o Link Privado do Azure, você precisa das seguintes entidades ou permissões:

  • Um namespace da Retransmissão do Azure.
  • Uma rede virtual do Azure.
  • Uma sub-rede na rede virtual.
  • Permissões de proprietário ou colaborador na rede virtual.

Seu ponto de extremidade privado e a rede virtual devem estar na mesma região. Quando você selecionar uma região para o ponto de extremidade privado usando o portal, ele filtrará automaticamente apenas as redes virtuais que estiverem nessa região. O namespace pode estar em uma região diferente.

Seu ponto de extremidade privado usa um endereço IP privado em sua rede virtual.

Configurar o acesso privado para um namespace de Retransmissão

O procedimento a seguir fornece instruções passo a passo para desabilitar o acesso público a um namespace de Retransmissão e, em seguida, adicionar um ponto de extremidade privado ao namespace.

  1. Entre no portal do Azure.

  2. Na barra de pesquisa, digite Retransmissões.

  3. Selecione o namespace na lista à qual você deseja adicionar um ponto de extremidade privado.

  4. No menu à esquerda, selecione a guia Rede em Configurações.

  5. Na página Rede, para Acesso à rede pública, selecione Desabilitado se desejar que o namespace seja acessado somente por meio de pontos de extremidade privados.

  6. Para Permitir que serviços confiáveis da Microsoft ignorem esse firewall, selecione Sim se você quiser permitir que serviços confiáveis da Microsoft ignorem esse firewall.

    Captura de tela da página de rede com o acesso à rede pública desabilitado.

  7. Selecione a guia Conexões de ponto de extremidade privado, na parte superior da página.

  8. Selecione o botão + Ponto de Extremidade Privado, na parte superior da página.

    Captura de tela mostrando a seleção do botão Adicionar ponto de extremidade privado na guia Conexões de ponto de extremidade privado da página Rede.

  9. Na página Básico, siga estas etapas:

    1. Selecione a Assinatura do Azure na qual você quer criar o ponto de extremidade privado.

    2. Selecione o grupo de recursos para o recurso de ponto de extremidade privado.

    3. Insira um nome para o ponto de extremidade privado.

    4. Insira um nome para o adaptador de rede.

    5. Insira uma região para o ponto de extremidade privado. Seu ponto de extremidade privado deve estar na mesma região que a sua rede virtual, mas pode estar em uma região diferente do namespace da Retransmissão do Azure ao qual você está se conectando.

    6. Selecione o botão Avançar: Recurso > na parte inferior da página.

      Captura de tela mostrando a página Noções básicas do assistente Criar um ponto de extremidade privado.

  10. Examine as configurações na página Recurso e selecione Avançar: Rede Virtual.

    Captura de tela mostrando a página Recursos do assistente Criar um ponto de extremidade privado.

  11. Na página Rede Virtual, selecione a rede virtual e a sub-rede em que você deseja implantar o ponto de extremidade privado. São listadas somente as redes virtuais na assinatura e na localização selecionadas no momento na lista suspensa.

    Captura de tela mostrando a página Rede Virtual do assistente Criar um ponto de extremidade privado.

    Você pode configurar se deseja alocar dinamicamente um endereço IP ou alocar estaticamente um endereço IP para o ponto de extremidade privado

    Você também pode associar um grupo de segurança de aplicativo novo ou existente ao ponto de extremidade privado.

  12. Selecione Avançar: DNS para navegar até a página DNS do assistente. Na página DNS, a configuração Integrar à zona DNZ privada está habilitada por padrão (recomendado). Você tem uma opção para desabilitá-la.

    Captura de tela mostrando a página DNS do assistente Criar um ponto de extremidade privado.

    Para se conectar em particular com o seu ponto de extremidade privado, você precisa de um registro DNS. Recomendamos que você integre seu ponto de extremidade privado a uma zona DNS privada. Você também pode utilizar seus próprios servidores DNS ou criar registros DNS usando os arquivos host em suas máquinas virtuais. Para obter mais informações, consulte Configuração de DNS do ponto de extremidade privado do Azure.

  13. Selecione Avançar: o botão Marcas> na parte inferior da página.

  14. Na página Marcas, crie marcas (nomes e valores) que você deseja associar ao ponto de extremidade privado e à zona DNS privada (se você tiver habilitado a opção). Em seguida, selecione o botão Revisar + criar na parte inferior da página.

  15. Em Revisar + criar, examine todas as configurações e selecione Criar para criar o ponto de extremidade privado.

  16. Na página Ponto de extremidade privado, você pode ver o status da conexão do ponto de extremidade particular. Se você for o proprietário ou tiver acesso de gerenciamento ao namespace de Retransmissão e tiver selecionado a opção Conectar a um recurso do Azure no meu diretório como Método de conexão, a conexão do ponto de extremidade deverá ser aprovada automaticamente. Se estado no estado pendente, consulte a seção Gerenciar pontos de extremidade privados usando o portal do Azure.

    Captura de tela mostrando a página Ponto de extremidade privado no portal do Azure.

  17. Volte para a página Rede do namespace e mude para a guia Conexões de ponto de extremidade privado. Será possível ver o ponto de extremidade privado que você criou.

    Captura de tela mostrando a guia Conexões de ponto de extremidade privado da página Rede com o ponto de extremidade privado que você acabou de criar.

Inclusão de um ponto de extremidade privado através do PowerShell

O exemplo a seguir mostra como usar o Azure PowerShell para criar uma conexão de ponto de extremidade privado com um namespace da Retransmissão do Azure.

Seu ponto de extremidade privado e a rede virtual devem estar na mesma região. O namespace da Retransmissão do Azure pode estar em uma região diferente. Além disso, seu ponto de extremidade privado usa um endereço IP privado em sua rede virtual.


$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create a relay namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Properties @{} -ResourceType "Microsoft.Relay/namespaces" 

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you'll use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties


Gerenciamento de pontos de extremidade privados usando o portal do Azure

Quando você cria um ponto de extremidade privado, a conexão deve ser aprovada. Se o recurso (namespace de Retransmissão) para o qual você está criando um ponto de extremidade privado estiver no seu diretório, você poderá aprovar a solicitação de conexão, desde que tenha privilégios de gerenciamento sobre o namespace de Retransmissão. Se estiver se conectando a um namespace de Retransmissão para o qual você não tem acesso de gerenciamento, deverá aguardar que o proprietário aprove a sua solicitação de conexão.

Há quatro estados de provisionamento:

Ação de serviço Estado de ponto de extremidade privado do consumidor do serviço Descrição
Nenhum Pendente A conexão é criada manualmente e está aguardando aprovação do proprietário do namespace de Retransmissão do Azure.
Aprovar Aprovado A conexão foi aprovada automaticamente ou manualmente e está pronta para ser usada.
Rejeitar Rejeitado A conexão foi rejeitada pelo proprietário do namespace da Retransmissão do Azure.
Remover Desconectado A conexão foi removida pelo proprietário do namespace da Retransmissão do Azure, o ponto de extremidade privado se torna informativo e deve ser excluído para limpeza.

Aprovação, rejeição ou remoção de uma conexão de ponto de extremidade privado

  1. Entre no portal do Azure.
  2. Na barra de pesquisa, digite Retransmissão.
  3. Selecione o namespace que você deseja gerenciar.
  4. Selecione a guia Rede.
  5. Vá até a seção apropriada abaixo conforme a operação desejada: aprovar, rejeitar ou remover.

Aprovação de uma conexão de ponto de extremidade privado

  1. Se houver conexões pendentes, você verá uma conexão listada com o estado de provisionamento Pendente.

  2. Selecione o ponto de extremidade privado que você deseja aprovar

  3. Selecione o botão Aprovar.

    Captura de tela mostrando o botão Aprovar na barra de comandos do ponto de extremidade privado selecionado.

  4. Na página Aprovar conexão, digite um comentário opcional e selecione Sim. Se selecionar Não, nada acontecerá.

    Captura de tela mostrando a página Aprovar conexão solicitando sua confirmação.

  5. O status da conexão exibido na lista muda para Aprovado.

Rejeição de uma conexão de ponto de extremidade privado

  1. Se houver conexões de ponto de extremidade privado que você deseja rejeitar, seja uma solicitação pendente ou uma conexão existente que já tenha sido aprovada, selecione a conexão do ponto de extremidade e o botão Rejeitar.

    Captura de tela mostrando o botão Rejeitar na barra de comandos do ponto de extremidade privado selecionado.

  2. Na página Rejeitar conexão, digite um comentário opcional e selecione Sim. Se selecionar Não, nada acontecerá.

    Captura de tela mostrando a página Rejeitar conexão solicitando sua confirmação.

  3. O status da conexão exibido na lista muda para Rejeitado.

Remoção de uma conexão de ponto de extremidade privado

  1. Para remover uma conexão de ponto de extremidade privado, selecione-a na lista e selecione Remover na barra de ferramentas.

    Captura de tela mostrando o botão Remover na barra de comandos do ponto de extremidade privado.

  2. Na página Excluir conexão, selecione Sim para confirmar a exclusão do ponto de extremidade privado. Se selecionar Não, nada acontecerá.

    Captura de tela mostrando a página Excluir conexão solicitando a confirmação.

  3. O status muda para Desconectado. Em seguida, você não verá o ponto de extremidade na lista.

Você deve validar que os recursos dentro da rede virtual do ponto de extremidade privado se conectam ao namespace de Retransmissão do Azure por meio do endereço IP privado.

Para este teste, crie uma máquina virtual seguindo as etapas em Criar uma máquina virtual do Windows no portal do Azure

Na guia Rede:

  1. Especifique a Rede virtual e a Sub-rede. Selecione a Rede Virtual na qual você implantou o ponto de extremidade privado.
  2. Especifique um recurso de IP Público.
  3. Para o Grupo de segurança de rede da NIC, selecione Nenhum.
  4. Para o Balanceamento de carga, selecione Não.

Conecte-se à VM e abra a linha de comando e execute o seguinte comando:

nslookup <your-relay-namespace-name>.servicebus.windows.net

Você verá um resultado parecido com o mostrado a seguir.

Non-authoritative answer:
Name:    <namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <namespace-name>.servicebus.windows.net

Limitações e considerações de design

Considerações sobre o design

Limitações

  • Número máximo de pontos de extremidade privados por namespace de Retransmissão do Azure: 64.
  • Número máximo de namespaces de Retransmissão do Azure com pontos de extremidade privados por assinatura: 64.
  • As regras do grupo de segurança de rede (NSG) e as rotas definidas pelo usuário não se aplicam ao ponto de extremidade privado. Para obter mais informações, consulte Serviço de Link Privado do Azure: Limitações

Serviços Microsoft confiáveis

Ao habilitar a configuração Permitir que os serviços confiáveis da Microsoft ignorem esse firewall, os seguintes serviços recebem acesso aos seus recursos de Retransmissão do Azure:

Serviço confiável Cenários de uso compatíveis
Azure Machine Learning O AML Kubernetes usa a Retransmissão do Azure para facilitar a comunicação entre serviços AML e o cluster do Kubernetes. A Retransmissão do Azure é um serviço totalmente gerenciado que fornece comunicação bidirecional segura entre aplicativos hospedados em redes diferentes. Isso o torna ideal para uso em ambientes de link privado, em que a comunicação entre recursos do Azure e recursos locais é restrita.
Azure Arc Os serviços habilitados para Azure Arc associados aos provedores de recursos acima poderão se conectar às conexões híbridas em seu namespace de Retransmissão do Azure como um remetente sem serem bloqueados pelas regras de firewall de IP definidas no namespace de Retransmissão do Azure. O serviço Microsoft.Hybridconnectivity cria as conexões híbridas no namespace de Retransmissão do Azure e fornece as informações de conexão para o serviço do Arc relevante com base no cenário. Esses serviços se comunicam somente com o namespace de Retransmissão do Azure se você estiver usando o Azure Arc, com os seguintes Serviços do Azure:

– Kubernetes do Azure
– Azure Machine Learning
– Microsoft Purview

Os outros serviços confiáveis da Retransmissão do Azure podem ser encontrados abaixo:

  • Grade de Eventos do Azure
  • Hub IoT do Azure
  • Azure Stream Analytics
  • Azure Monitor
  • Gerenciamento de API do Azure
  • Azure Synapse
  • Azure Data Explorer
  • Azure IoT Central
  • Serviços de Dados de Saúde do Azure
  • Gêmeos Digitais do Azure

Observação

Na versão 2021-11-01 ou mais recente do SDK de Retransmissão da Microsoft, a propriedade "trustedServiceAccessEnabled" está disponível nas propriedades Microsoft.Relay/namespaces/networkRuleSets para habilitar o Acesso de Serviço Confiável.

Para permitir serviços confiáveis em modelos do Azure Resource Manager, inclua essa propriedade em seu modelo:

"trustedServiceAccessEnabled": "True"

Por exemplo, com base no modelo do ARM fornecido acima, é possível modificá-lo para incluir essa propriedade Conjunto de Regras de Rede para habilitação de Serviços Confiáveis:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "namespaces_name": {
            "defaultValue": "contosorelay0215",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.Relay/namespaces",
            "apiVersion": "2021-11-01",
            "name": "[parameters('namespaces_name')]",
            "location": "East US",
            "sku": {
                "name": "Standard",
                "tier": "Standard"
            },
            "properties": {}
        },
        {
            "type": "Microsoft.Relay/namespaces/authorizationrules",
            "apiVersion": "2021-11-01",
            "name": "[concat(parameters('namespaces_sprelayns0215_name'), '/RootManageSharedAccessKey')]",
            "location": "eastus",
            "dependsOn": [
                "[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
            ],
            "properties": {
                "rights": [
                    "Listen",
                    "Manage",
                    "Send"
                ]
            }
        },
        {
            "type": "Microsoft.Relay/namespaces/networkRuleSets",
            "apiVersion": "2021-11-01",
            "name": "[concat(parameters('namespaces_sprelayns0215_name'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
            ],
            "properties": {
                "trustedServiceAccessEnabled": "True",
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Deny",
                "ipRules": [
                    {
                        "ipMask": "172.72.157.204",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "10.1.1.1",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "11.0.0.0/24",
                        "action": "Allow"
                    }
                ]
            }
        }
    ]
}

Próximas etapas