O que é um ponto de extremidade privado?
Um ponto de extremidade privado é uma adaptador de rede que usa um endereço IP privado de sua rede virtual. Essa interface de rede conecta você de forma privada e segura a um serviço da plataforma do Link Privado do Azure. Ao habilitar um ponto de extremidade privado, você está trazendo o serviço para sua rede virtual.
O serviço pode ser um serviço do Azure, como:
- Armazenamento do Azure
- Azure Cosmos DB
- Banco de Dados SQL do Azure
- Seu próprio serviço, usando o serviço do Link Privado.
Propriedades do ponto de extremidade privado
Um ponto de extremidade privado especifica as seguintes propriedades:
Propriedade | Descrição |
---|---|
Nome | Um nome exclusivo dentro do grupo de recursos. |
Sub-rede | A sub-rede a ser implantada e onde o endereço IP privado está atribuído. Para obter os requisitos de sub-rede, confira a seção Limitações mais adiante neste artigo. |
Recurso do link privado | O recurso do link privado para conectar-se usando a ID do recurso ou alias da lista de tipos disponíveis. Um identificador de rede exclusivo é gerado para todo o tráfego que é enviado para esse recurso. |
Sub-recurso de destino | O sub-recurso a ser conectado. Cada tipo de recurso do link privado tem opções diferentes para selecionar com base na preferência. |
Método de aprovação de conexão | Automático ou manual. Dependendo das permissões do controle de acesso baseado em função do Azure, seu ponto de extremidade privado pode ser aprovado automaticamente. Se você estiver se conectando a um recurso do link privado sem as permissões baseadas em função do Azure, use o método manual para permitir que o proprietário do recurso aprove a conexão. |
Mensagem de solicitação | Você pode especificar uma mensagem para que as conexões solicitadas sejam aprovadas manualmente. Essa mensagem pode ser usada para identificar uma solicitação específica. |
Status da conexão | Uma propriedade somente leitura que especifica se o ponto de extremidade privado está ativo ou não. Somente os pontos de extremidade privados no estado aprovado podem ser usados para enviar tráfego. Mais estados disponíveis: |
Ao criar pontos de extremidade privados, considere o seguinte:
Os pontos de extremidade privados habilitam a conectividade entre os clientes do(s)/da(s) mesmo(s)/mesma(s):
- Rede virtual
- Redes virtuais emparelhadas regionalmente
- Redes virtuais emparelhadas mundialmente
- Ambientes locais que usam VPN ou Express Route
- Serviços que são alimentados pelo Link Privado
As conexões de rede podem ser iniciadas somente por clientes que estão se conectando ao ponto de extremidade privado. Os provedores de serviços não têm a configuração de roteamento para criar conexões nos clientes do serviço. As conexões só podem ser estabelecidas em uma única direção.
Um interface de rede somente leitura é criado automaticamente para o ciclo de vida do ponto de extremidade privado. A interface recebe é atribuída com um endereço IP privado dinâmico da sub-rede que mapeia o recurso do link privado. O valor do endereço IP privado permanece inalterado durante todo o ciclo de vida do ponto de extremidade privado.
O ponto de extremidade privado deve ser implantado na mesma região e assinatura que a rede virtual.
O recurso do link privado pode ser implantado em uma região diferente daquela da rede virtual e do ponto de extremidade privado.
Vários pontos de extremidade privados podem ser criados com o mesmo recurso do link privado. Para uma única rede que usa uma configuração de servidor DNS comum, a prática recomendada é usar um único ponto de extremidade privado para um recurso do link privado especificado. Use esta prática para evitar entradas duplicadas ou conflitos na resolução de DNS.
Vários pontos de extremidade privados podem ser criados na mesma sub-rede ou em sub-redes diferentes na mesma rede virtual. Há limites para o número de pontos de extremidade privados que você pode criar em uma assinatura. Para obter mais informações, confira Limites do Azure.
A assinatura que contém o recurso de link privado precisa ser registrada no provedor de recursos de rede da Microsoft. A assinatura que contém o ponto de extremidade privado também precisa ser registrada no provedor de recursos de rede da Microsoft. Para saber mais, confira Provedores e tipos de recursos do Azure.
Recurso do link privado
Um recurso do link privado é o destino pretendido de um ponto de extremidade privado especificado. A tabela a seguir lista os recursos disponíveis que dão suporte a um ponto de extremidade privado:
Nome do recurso do link privado | Tipo de recurso | Sub-recursos |
---|---|---|
Gateway de Aplicativo | Microsoft.Network/applicationgateways | Nome de configuração de IP de frontend |
Azure AI Search | Microsoft.Search/searchServices | searchService |
Serviços de IA do Azure | Microsoft.CognitiveServices/accounts | conta |
API do Azure para FHIR (Fast Healthcare Interoperability Resources) | Microsoft.HealthcareApis/services | fhir |
Gerenciamento de API do Azure | Microsoft.ApiManagement/service | Gateway |
Configuração de Aplicativo do Azure | Microsoft.Appconfiguration/configurationStores | configurationStores |
Serviço do Aplicativo do Azure | Microsoft.Web/hostingEnvironments | ambiente de hospedagem |
Serviço de aplicativo do Azure | Microsoft.Web/sites | sites |
Serviço de Atestado do Azure | Microsoft.Attestation/attestationProviders | padrão |
Automação do Azure | Microsoft.Automation/automationAccounts | Webhook, DSCAndHybridWorker |
Serviço de Backup do Azure | Microsoft.RecoveryServices/vaults | AzureBackup, AzureSiteRecovery |
Lote do Azure | Microsoft.Batch/batchAccounts | batchAccount, nodeManagement |
Cache Redis do Azure | Microsoft.Cache/Redis | redisCache |
Cache do Azure para Redis Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
Registro de Contêiner do Azure | Microsoft.ContainerRegistry/registries | Registro |
Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | SQL, MongoDB, Cassandra, Gremlin, Table |
Azure Cosmos DB para MongoDB vCore | Microsoft.DocumentDb/mongoClusters | mongoCluster |
Azure Cosmos DB para PostgreSQL | Microsoft.DBforPostgreSQL/serverGroupsv2 | coordenador |
Azure Data Explorer | Microsoft.Kusto/clusters | cluster |
Azure Data Factory | Microsoft.DataFactory/factories | dataFactory |
Banco de Dados do Azure para MariaDB | Microsoft.DBforMariaDB/servers | mariadbServer |
Banco de Dados do Azure para MySQL – Servidor flexível | Microsoft.DBforMySQL/flexibleServers | mysqlServer |
Banco de Dados do Azure para MySQL – Servidor Único | Microsoft.DBforMySQL/servers | mysqlServer |
Banco de Dados do Azure para PostgreSQL – Servidor Flexível | Microsoft.DBforPostgreSQL/flexibleServers | postgresqlServer |
Banco de Dados do Azure para PostgreSQL – Servidor único | Microsoft.DBforPostgreSQL/servers | postgresqlServer |
Azure Databricks | Microsoft.Databricks/workspaces | databricks_ui_api, browser_authentication |
Serviço de provisionamento de dispositivo do Azure | Microsoft.Devices/provisioningServices | iotDps |
Gêmeos Digitais do Azure | Microsoft.DigitalTwins/digitalTwinsInstances | API |
Grade de Eventos do Azure | Microsoft.EventGrid/domains | domínio |
Grade de Eventos do Azure | Microsoft.EventGrid/topics | topic |
Hub de Eventos do Azure | Microsoft.EventHub/namespaces | namespace |
Sincronização de Arquivos do Azure | Microsoft.StorageSync/storageSyncServices | Serviço de Sincronização de Arquivos |
Azure HDInsight | Microsoft.HDInsight/clusters | cluster |
Azure IoT Central | Microsoft.IoTCentral/IoTApps | IoTApps |
Hub IoT do Azure | Microsoft.Devices/IotHubs | iotHub |
Cofre de Chave do Azure | Microsoft.KeyVault/vaults | cofre |
HSM (módulo de segurança de hardware) do Azure Key Vault | Microsoft.Keyvault/managedHSMs | HSM |
Serviço de Kubernetes do Azure – API Kubernetes | Microsoft.ContainerService/managedClusters | gerenciamento |
Azure Machine Learning | Microsoft.MachineLearningServices/registries | amlregistry |
Azure Machine Learning | Microsoft.MachineLearningServices/workspaces | amlworkspace |
Azure Managed Disks | Microsoft.Compute/diskAccesses | disco gerenciado |
Serviços de Mídia do Azure | Microsoft.Media/mediaservices | keydelivery, liveevent, streamingendpoint |
Migrações para Azure | Microsoft.Migrate/assessmentProjects | project |
Escopo de Link Privado do Azure Monitor | Microsoft.Insights/privatelinkscopes | azuremonitor |
Retransmissão do Azure | Microsoft.Relay/namespaces | namespace |
Barramento de Serviço do Azure | Microsoft.ServiceBus/namespaces | namespace |
Serviço do Azure SignalR | Microsoft.SignalRService/SignalR | signalr |
Serviço do Azure SignalR | Microsoft.SignalRService/webPubSub | webpubsub |
Banco de Dados SQL do Azure | Microsoft.Sql/servers | SQL Server (sqlServer) |
Instância Gerenciada do Azure SQL | Microsoft.Sql/managedInstances | managedInstance |
Aplicativos Web Estáticos do Azure | Microsoft.Web/staticSites | staticSites |
Armazenamento do Azure | Microsoft.Storage/storageAccounts | Blob (blob, blob_secondary) Tabela (tabela, table_secondary) Fila (fila, queue_secondary) Arquivo (arquivo, file_secondary) Web (Web, web_secondary) Dfs (dfs, dfs_secondary) |
Azure Synapse | Microsoft.Synapse/privateLinkHubs | web |
Azure Synapse Analytics | Microsoft.Synapse/workspaces | Sql, SqlOnDemand, Dev |
Área de Trabalho Virtual do Azure - pools do host | Microsoft.DesktopVirtualization/hostpools | connection |
Área de Trabalho Virtual do Azure - workspaces | Microsoft.DesktopVirtualization/workspaces | feed global |
Documentação da Atualização de dispositivo para o Hub IoT | Microsoft.DeviceUpdate/accounts | DeviceUpdate |
Conta de Integração (Premium) | Microsoft.Logic/integrationAccounts | integrationAccount |
Microsoft Purview | Microsoft.Purview/accounts | account |
Microsoft Purview | Microsoft.Purview/accounts | Portal |
Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
Serviço do Link Privado (seu próprio serviço) | Microsoft.Network/privateLinkServices | empty |
Links privados de gerenciamento de recursos | Microsoft.Authorization/resourceManagementPrivateLinks | ResourceManagement |
Observação
Você só pode criar pontos de extremidade privados em uma conta de armazenamento GPv2 (Uso Geral v2).
Segurança de rede dos pontos de extremidade privados
Quando você usa pontos de extremidade privados, o tráfego é protegido para um recurso do link privado. A plataforma valida as conexões de rede, permitindo apenas aquelas que alcançam o recurso de link privado especificado. Para acessar mais sub-recursos dentro do mesmo serviço do Azure, são necessários mais pontos de extremidade privados com os destinos correspondentes. No caso do Armazenamento do Microsoft Azure, por exemplo, você precisaria de pontos de extremidade privados separados para acessar os sub-recursos arquivo e blob.
Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não necessariamente restringem o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem controles de acesso adicionais. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.
Os pontos de extremidade privados dão suporte a políticas de rede. As políticas de rede habilitam o suporte para NSG (grupos de segurança de rede), UDR (rotas definidas pelo usuário) e ASG (grupos de segurança de aplicativo). Para saber como habilitar políticas de rede para um ponto de extremidade privado, confira Gerenciar políticas de rede para pontos de extremidade privados. Para usar um ASG com um ponto de extremidade privado, confira Configurar um ASG (grupo de segurança de aplicativo) com um ponto de extremidade privado.
Acesso a um recurso do link privado usando o fluxo de trabalho de aprovação
Você pode se conectar a um recurso do link privado usando os seguintes métodos de aprovação de conexão:
Aprovar automaticamente: use esse método quando você for o proprietário ou tiver as permissões do recurso de link privado específico. As permissões exigidas são baseadas no tipo de recurso do link privado no seguinte formato:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
Solicitar manualmente: use esse método quando você não tiver as permissões necessárias e quiser solicitar o acesso. Um fluxo de trabalho de aprovação é iniciado. O ponto de extremidade privado e as conexões do ponto de extremidade particular posteriores são criados em um estado Pendente. O proprietário do recurso do link privado é responsável por aprovar a conexão. Depois de aprovado, o ponto de extremidade privado é habilitado para enviar o tráfego normalmente, conforme mostrado no diagrama de fluxo de trabalho de aprovação a seguir:
Em uma conexão de ponto de extremidade privado, um proprietário do recurso do link privado pode:
- Examinar todos detalhes das conexões de ponto de extremidade privado.
- Aprovar de uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é habilitado para enviar tráfego para o recurso do link privado.
- Rejeitar uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é atualizado para refletir o status.
- Excluir uma conexão de ponto de extremidade privado em qualquer estado. O ponto de extremidade privado correspondente é atualizado com um estado desconectado para refletir a ação. O proprietário do ponto de extremidade privado pode excluir apenas o recurso nesse ponto.
Observação
Somente os pontos de extremidade privados em um estado Aprovado podem enviar tráfego para determinado recurso do link privado.
Conexão usando um alias
Um alias é um moniker exclusivo gerado quando o proprietário do serviço cria um serviço do link privado subjacente a um balanceador de carga padrão. Os proprietários do serviço podem compartilhar esse alias offline com os consumidores do seu serviço.
Os consumidores podem solicitar uma conexão com o serviço do link privado usando o URI do recurso ou o alias. Para se conectar usando o alias, crie um ponto de extremidade privado usando o método de aprovação de conexão manual. Para usar o método de aprovação de conexão manual, defina o parâmetro de solicitação manual como True durante o fluxo de criação do ponto de extremidade privado. Para obter mais informações, veja New-AzPrivateEndpoint e az network private-endpoint create.
Observação
Observe que essa solicitação manual poderá ser aprovada automaticamente se a assinatura do consumidor estiver na lista de permitidas no lado do provedor. Para saber mais, vá até controlar o acesso ao serviço.
Configuração de DNS
As configurações de DNS que você usa para se conectar a um recurso do link privado são importantes. Os serviços do Azure existentes já podem ter uma configuração de DNS que você pode usar ao se conectar por meio de um ponto de extremidade público. Para se conectar ao mesmo serviço por meio do ponto de extremidade privado, são necessárias configurações de DNS separadas, geralmente configuradas por meio de zonas DNS privadas. Verifique se as configurações de DNS estão corretas ao usar o FQDN (nome de domínio totalmente qualificado) para a conexão. As configurações devem resolver o endereço IP privado do ponto de extremidade privado.
A interface de rede associada o ponto de extremidade privado contém as informações necessárias para configurar o DNS. As informações incluem o FQDN e o endereço IP privado para um recurso do link privado.
Para obter informações detalhadas completas sobre as recomendações para configurar o DNS para pontos de extremidade privados, consulte a Configuração de DNS do ponto de extremidade privado.
Limitações
As informações a seguir listam as limitações conhecidas para o uso de pontos de extremidade privados:
Endereço IP estático
Limitação | Descrição |
---|---|
Atualmente, não há suporte para a configuração de endereço de IP estático. | AKS (Serviço de Kubernetes do Azure) Gateway de Aplicativo do Azure HDInsight Cofres dos Serviços de Recuperação Serviços de Link Privado de terceiros |
Grupo de segurança de rede
Limitação | Descrição |
---|---|
Rotas efetivas e regras de segurança indisponíveis para adaptador de rede de ponto de extremidade privado. | Rotas efetivas e regras de segurança não serão exibidas para a NIC do ponto de extremidade privado no portal do Azure. |
Logs de fluxo de NSG sem suporte. | Logs de fluxo de NSG não disponíveis para o tráfego de entrada destinado a um ponto de extremidade privado. |
Não mais do que 50 membros em um Grupo de Segurança de Aplicativo. | Cinquenta é o número de configurações de IP que podem ser vinculadas a cada ASG respectivo que está acoplado ao NSG na sub-rede do ponto de extremidade privado. Falhas de conexão podem ocorrer com mais de 50 membros. |
Intervalos de porta de destino com suporte até um fator de 250 mil. | Os intervalos de porta de destino têm suporte como multiplicação SourceAddressPrefixes, DestinationAddressPrefixes e DestinationPortRanges. Exemplo de regra de entrada: Uma origem * um destino * 4 mil portRanges = 4 mil Válidos 10 origens * 10 destinos * 10 portRanges = 1 mil Válidos 50 origens * 50 destinos * 50 portRanges = 125 mil Válidos 50 origens * 50 destinos * 100 portRanges = 250 mil Válidos 100 origens * 100 destinos * 100 portRanges = 1M Inválidos, o NSG tem origens/destinos/portas demais. |
A filtragem da porta de origem é interpretada como * | A filtragem de porta de origem não é usada ativamente como cenário válido de filtragem de tráfego para tráfego destinado a um ponto de extremidade privado. |
Funcionalidade não disponível em regiões selecionadas. | Atualmente indisponível nas seguintes regiões: Oeste da Índia Austrália Central 2 Oeste da África do Sul Sudeste do Brasil Todas as regiões do Governo Todas as regiões da China |
Mais considerações sobre o NSG
O tráfego de saída negado de um ponto de extremidade privado não é um cenário válido, pois o provedor de serviços não pode originar tráfego.
Os serviços a seguir podem exigir que todas as portas de destino sejam abertas ao usar um ponto de extremidade privado e adicionar filtros de segurança de NSG:
- Azure Cosmos DB – Para obter mais informações, confira Intervalos de porta de serviço.
UDR
Limitação | Descrição |
---|---|
O SNAT é sempre recomendado. | Por causa da natureza variável do plano de dados do ponto de extremidade privado, é recomendável o tráfego de SNAT destinado a um ponto de extremidade privado para garantir que o tráfego de retorno seja respeitado. |
Funcionalidade não disponível em regiões selecionadas. | Atualmente indisponível nas seguintes regiões: Oeste da Índia Austrália Central 2 Oeste da África do Sul Sudeste do Brasil |
Grupo de segurança do aplicativo
Limitação | Descrição |
---|---|
Funcionalidade não disponível em regiões selecionadas. | Atualmente indisponível nas seguintes regiões: Oeste da Índia Austrália Central 2 Oeste da África do Sul Sudeste do Brasil |
Próximas etapas
Para obter mais informações sobre pontos de extremidade privado e link privado, veja O que é o Link Privado do Azure?.
Para começar a criar um ponto de extremidade privado para um aplicativo Web, consulte Início Rápido: criar um ponto de extremidade privado usando o portal do Azure.