Pontos de extremidade de serviço de Rede Virtual

O ponto de extremidade do serviço de Rede Virtual oferece conectividade direta e segura aos serviços do Azure em uma rota otimizada pela rede de backbone do Azure. Os pontos de extremidade permitem que você possa garantir os recursos críticos do serviço do Azure somente para suas redes virtuais. Os Pontos de Extremidade de Serviço permitem que endereços IP privados na rede virtual cheguem ao ponto de extremidade de um serviço do Azure sem precisar de um endereço IP público na rede virtual.

Observação

A Microsoft recomenda o uso do Link Privado do Azure e de pontos de extremidade privados para acesso seguro e privado aos serviços hospedados na plataforma do Azure. O Link Privado do Azure implanta um adaptador de rede em uma rede virtual de sua escolha para os serviços do Azure, como o Armazenamento do Microsoft Azure ou o SQL do Azure. Para obter mais informações, consulte Link Privado do Azure e O que é um ponto de extremidade privado?.

Os pontos de extremidade de serviço estão disponíveis para os seguintes serviços e regiões do Azure. O recurso Microsoft.* está entre parênteses. Habilite esse recurso do lado da sub-rede ao configurar os endpoints de serviço para o seu serviço.

Disponível

• Armazenamento do Microsoft Azure (Microsoft.Storage): geralmente disponível em todas as regiões do Azure.

• Pontos de extremidade de serviço entre regiões do Armazenamento do Microsoft Azure (Microsoft.Storage.Global): em disponibilidade geral em todas as regiões do Azure.

• Banco de Dados SQL do Azure (Microsoft.Storage): geralmente disponível em todas as regiões do Azure.

• Azure Synapse Analytics (Microsoft.Sql): geralmente disponível em todas as regiões do Azure para pools de SQL dedicados (antigo SQL DW).

• Servidor de Banco de Dados do Azure para MariaDB (Microsoft.Sql): geralmente disponível em regiões do Azure nas quais o serviço de banco de dados está disponível.

• Azure Cosmos DB (Microsoft.AzureCosmosDB): geralmente disponível em todas as regiões do Azure.

• Azure Key Vault (Microsoft.KeyVault): geralmente disponível em todas as regiões do Azure.

• Barramento de Serviço do Azure (Microsoft.ServiceBus): geralmente disponível em todas as regiões do Azure.

• Hubs de Eventos do Azure (Microsoft.EventHub): geralmente disponível em todas as regiões do Azure.

• Serviço de Aplicativo do Azure (Microsoft.Web): geralmente disponível em todas as regiões do Azure em que o Serviço de aplicativo está disponível.

• Serviços Cognitivos do Azure (Microsoft.CognitiveServices): em disponibilidade geral em todas as regiões do Azure nas quais os serviços de IA do Azure estão disponíveis.

Versão prévia pública

• Registro de Contêiner do Azure (Microsoft.ContainerRegistry): versão prévia disponível em regiões limitadas do Azure em que Registro de Contêiner do Azure está disponível.

Para obter as notificações mais recentes, verifique a página Atualizações de rede virtual do Azure.

Principais benefícios

Os pontos de extremidade de serviço fornecem os seguintes benefícios:

• Segurança aprimorada para seus recursos de serviço do Azure: espaços de endereço privados de rede virtual podem se sobrepor. Você não pode usar espaços sobrepostos para identificar exclusivamente o tráfego proveniente da rede virtual. Os pontos de extremidade de serviço permitem garantir a segurança dos recursos de serviço do Azure na sua rede virtual, ao estender a identidade da rede virtual ao serviço. Depois de habilitar os pontos de extremidade de serviço na rede virtual, você pode adicionar uma regra da rede virtual para proteger os recursos de serviço do Azure na rede virtual. A adição da regra proporciona melhor segurança, removendo totalmente o acesso público à Internet dos recursos e permitindo o tráfego somente da rede virtual.

• Roteamento ideal para tráfego de serviço do Azure da rede virtual: atualmente, todas as rotas na rede virtual que forçam o tráfego de Internet para dispositivos locais e/ou virtuais, também forçam o tráfego do serviço do Azure para seguir a mesma rota que o tráfego de Internet. Os pontos de extremidade de serviço oferecem o roteamento ideal para o tráfego do Azure.

  Os pontos de extremidade sempre direcionam o tráfego de serviço diretamente de sua rede virtual para o serviço na rede principal do Microsoft Azure. Manter o tráfego na rede do backbone do Azure permite que você continue auditando e monitorando o tráfego da Internet de saída das suas redes virtuais, por meio de túnel forçado, sem afetar o tráfego do serviço. Para obter mais informações sobre rotas definidas pelo usuário e túnel forçado, veja Roteamento de tráfego de rede virtual do Azure.

• Simples de configurar com menos sobrecarga de gerenciamento: você não precisa mais de endereços IP públicos reservados em suas redes virtuais para proteger recursos do Azure através do firewall de IP. Não é obrigatório nenhum dispositivo NAT (conversão de endereços de rede) ou de gateway para configurar os pontos de extremidade de serviço. Os pontos de extremidade de serviço podem ser configurados por meio de uma seleção simples em uma sub-rede. Não há sobrecarga extra para manter os pontos de extremidade.

Limitações

• O recurso está disponível apenas para redes virtuais implantadas usando o modelo de implantação do Azure Resource Manager.

• Os pontos de extremidade são habilitados nas sub-redes configuradas em redes virtuais do Azure. Os pontos de extremidade não podem ser usados para tráfego de serviços locais para os serviços do Azure. Para obter mais informações, veja Proteger o acesso do serviço do Azure localmente

• Para o SQL do Azure, um ponto de extremidade de serviço se aplica somente ao tráfego do serviço do Azure em uma região da rede virtual.

• Para o Azure Data Lake Storage (ADLS) Gen 1, a funcionalidade de integração de rede virtual só está disponível para redes virtuais na mesma região. A integração de rede virtual para o ADLS Gen1 usa a segurança do ponto de extremidade de serviço de rede virtual entre a rede virtual e o Microsoft Entra ID para gerar declarações de segurança extras no token de acesso. Essas declarações, em seguida, são usadas para autenticar sua rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso. A marca Microsoft.AzureActiveDirectory listada em serviços que dão suporte a pontos de extremidade de serviço é usada somente para dar suporte a pontos de extremidade de serviço para o ADLS Gen1. O Microsoft Entra ID não dá suporte nativo a pontos de extremidade de serviço. Para obter mais informações sobre a integração de rede virtual do Azure Data Lake Store Gen 1, consulte Segurança de rede no Azure Data Lake Storage Gen1.

• Uma rede virtual pode ser associada a até 200 assinaturas e regiões diferentes por cada serviço com suporte com regras de rede virtual ativas configuradas.

Proteger os serviços do Azure nas redes virtuais

• Um endereço de serviço de rede virtual fornece a identidade da sua rede virtual para o serviço da Azure. Depois de habilitar os pontos de extremidade de serviço na rede virtual, você pode adicionar uma regra da rede virtual para proteger os recursos de serviço do Azure na rede virtual.

• Atualmente, o tráfego do serviço do Azure de uma rede virtual usa endereços IP públicos como endereços IP de origem. No caso dos pontos de extremidade de serviço, o tráfego do serviço passa a usar endereços de rede virtual privados como endereços IP de origem na hora de acessar o serviço do Azure em uma rede virtual. Essa opção permite que você acesse os serviços sem a necessidade dos endereços IP públicos reservados usados nos firewalls de IP.

  Observação

  Com os pontos de extremidade de serviço, os endereços IP de origem das máquinas virtuais na sub-rede de tráfego do serviço deixa de usar endereços IPv4 públicos para usar endereços IPv4 privados. As regras de firewall de serviço do Azure existentes que usam endereços IP públicos do Azure param de funcionar com essa mudança. Garanta que as regras de firewall de serviço do Azure permitam essa troca antes de configurar os pontos de extremidade de serviço. Você também pode enfrentar interrupções temporárias no tráfego de serviço dessa sub-rede ao configurar pontos de extremidade de serviço.

Proteger o acesso do serviço do Azure localmente

Por padrão, os recursos do serviço do Azure protegidos para redes virtuais não podem ser acessados nas redes locais. Se você quiser permitir o tráfego do local, também precisará permitir endereços IP públicos (normalmente, a NAT) no seu local ou no ExpressRoute. É possível adicionar esses endereços IP por meio da configuração de firewall de IP dos recursos de serviço do Azure.

ExpressRoute: se você estiver usando o ExpressRoute para o emparelhamento da Microsoft no local, identifique os endereços IP NAT que você está usando. Os endereços IP da NAT são fornecidos pelo cliente ou pelo provedor de serviços. Para permitir o acesso aos recursos do serviço, você deve permitir estes endereços IP públicos na configuração do firewall de IP do recurso. Para obter mais informações sobre a NAT para o emparelhamento do ExpressRoute da Microsoft, veja Requisitos da NAT para o ExpressRoute.

Configuração

• Os pontos de extremidade de serviço são configurados na sub-rede em uma rede virtual. Os endpoints funcionam com qualquer tipo de instâncias de computação em execução dentro dessa subrede.

• Você pode configurar vários pontos de extremidade de serviço para todos os serviços do Azure compatíveis (por exemplo, Armazenamento do Microsoft Azure ou Banco de Dados SQL do Azure) em uma sub-rede.

• Para o Banco de Dados SQL do Azure, as redes virtuais devem estar na mesma região do recurso do serviço do Azure. Para todos os outros serviços, os recursos de serviço do Azure podem ser alocados em redes virtuais em qualquer região.

• A rede virtual em que o ponto de extremidade está configurado pode estar na mesma assinatura do recurso do serviço do Azure ou em uma assinatura diferente. Para obter mais informações sobre as permissões necessárias para configurar pontos de extremidade e garantir os serviços do Azure, veja Provisionamento.

• Para os serviços com suporte, você pode proteger recursos novos ou existentes nas redes virtuais usando pontos de extremidade de serviço.

Considerações

• Após a implantação do ponto de extremidade de serviço, os endereços IP de origem mudam de usar endereços IPv4 públicos para usar seus endereços IPv4 privados ao se comunicar com o serviço dentro dessa sub-rede. Eventuais conexões TCP abertas existentes para o serviço são fechadas durante essa mudança. Verifique se não há tarefas críticas em execução ao habilitar ou desabilitar um ponto de extremidade de serviço para um serviço que atende a uma sub-rede. Além disso, verifique se seus aplicativos podem se conectar automaticamente aos serviços do Azure após a mudança de endereço IP.

  A mudança de endereço IP só afeta o tráfego do serviço de sua rede virtual. Não há nenhum efeito para qualquer outro tráfego endereçado de ou para os endereços IPv4 públicos atribuídos às suas máquinas virtuais. No caso dos serviços do Azure, se você tem regras de firewall existentes usando endereços IP públicos do Azure, essas regras param de funcionar com a mudança para endereços de rede virtual privados.

• Com os pontos de extremidade de serviço, as entradas DNS para os serviços do Azure permanecem no estado em que se encontram atualmente e continuam a ser resolvidas para endereços IP públicos atribuídos ao serviço do Azure.

• NSGs (grupos de segurança de rede) com pontos de extremidade de serviço:

  • Por padrão, os NSGs permitem o tráfego de saída da Internet e também permitem o tráfego da rede virtual para os serviços do Azure. Esse tráfego continua a funcionar dessa forma, com os pontos de extremidade de serviço no estado em que se encontram.

  • Se você deseja negar todo o tráfego da Internet de saída e permitir somente tráfego para serviços específicos do Azure, poderá fazer isso usando marcas de serviço em seus NSGs. Você pode especificar os serviços do Azure com suporte como destino nas regras do NSG. O Azure também fornece a manutenção de endereços IP subjacentes a cada marca. Para saber mais, veja Marcas do serviço do Azure para NSGs.

Cenários

• Rede virtuais emparelhadas, conectadas ou múltiplas: para proteger os serviços do Azure em várias sub-redes em uma rede virtual ou em várias redes virtuais, habilite os pontos de extremidade de serviço em cada uma das sub-redes de maneira independente. Esse procedimento protege os recursos do serviço do Azure para todas as sub-redes.

• Filtragem de tráfego de saída de uma rede virtual para serviços do Azure: se você desejar verificar ou filtrar o tráfego proveniente de uma rede virtual e destinado a um serviço do Azure, será possível implantar um dispositivo de rede virtual nessa rede virtual. Em seguida, você pode aplicar os pontos de extremidade de serviço à sub-rede na qual o dispositivo de rede virtual está implantado e proteger os recursos do serviço do Azure apenas nessa sub-rede. Esse cenário poderá ser útil se você desejar usar a filtragem por dispositivo de rede virtual para restringir o acesso do serviço do Azure da rede virtual somente para recursos específicos do Azure. Para obter mais informações, veja Saída com dispositivos de rede virtual.

• Proteger recursos do Azure para serviços implantados diretamente em redes virtuais: você pode implantar diretamente vários serviços do Azure em sub-redes específicas em uma rede virtual. Você pode proteger recursos do serviço do Azure em sub-redes do serviço gerenciado configurando um ponto de extremidade de serviço na sub-rede de serviço gerenciado.

• Tráfego de disco de uma máquina virtual do Azure: as alterações de roteamento de pontos de extremidade de serviço para o Armazenamento do Azure não afetam o tráfego de disco de máquina virtual para discos gerenciados e não gerenciados. Esse tráfego inclui a E/S de disco e as operações de montagem e desmontagem. Você pode usar os pontos de extremidade de serviço e as regras de rede do Armazenamento do Microsoft Azure para restringir o acesso REST de blobs de páginas a redes específicas.

Registro em log e solução de problemas

Quando os pontos de extremidade de serviço são configurados para um serviço específico, confirme se a rota de ponto de extremidade de serviço está em vigor:

• Validação do endereço IP de origem de qualquer solicitação de serviço no diagnóstico de serviço. Todas as novas requisições com pontos de extremidade de serviço mostram o endereço IP de origem da solicitação como o endereço IP privado da rede virtual, atribuído ao cliente que faz a requisição a partir de sua rede virtual. Sem o ponto de extremidade, esse endereço é um endereço IP público do Azure.

• Exibindo as rotas efetivas em qualquer adaptador de rede em uma sub-rede. A rota para o serviço:

  • Mostra uma rota padrão mais específica para intervalos de prefixo de endereço de cada serviço

  • Tem um nextHopType igual a VirtualNetworkServiceEndpoint

  • Indica que uma conexão mais direta com o serviço está em vigor, comparada com rotas de túnel forçado

Observação

As rotas do ponto de extremidade de serviço substituem qualquer rota BGP ou as UDRs (rotas definidas pelo usuário) para a correspondência de prefixo de endereço de um serviço do Azure. Para obter mais informações, veja Solução de problemas com rotas efetivas.

Provisionamento

Os usuários com acesso de gravação em uma rede virtual podem configurar de maneira independente os pontos de extremidade de serviço em redes virtuais. Para proteger os recursos de serviço do Azure em uma rede virtual, os usuários devem ter a permissão Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action para as sub-redes adicionadas. As funções de administrador de serviços internas incluem essa permissão por padrão, mas você pode modificá-la criando funções personalizadas.

Para obter mais informações sobre as funções internas, veja Funções internas do Azure. Para obter mais informações sobre como atribuir permissões específicas a funções personalizadas, veja Funções personalizadas do Azure.

As redes virtuais e os recursos de serviço do Azure podem estar na mesma assinatura ou em assinaturas diferentes. Alguns serviços do Azure (nem todos), como o Armazenamento do Microsoft Azure e o Azure Key Vault, também dão suporte a pontos de extremidade de serviço em diferentes locatários do Microsoft Entra ID. A rede virtual e o recurso de serviço do Azure podem estar em diferentes locatários do Microsoft Entra ID. Confira a documentação do serviço individual para obter mais detalhes.

Preços e limites

Não há custo extra para usar os endpoints de serviço. O modelo de preços atual para os serviços do Azure (Armazenamento do Microsoft Azure, Banco de Dados SQL do Azure etc.) se aplica como está hoje.

Não há limite para o número total de pontos de extremidade de serviço em uma rede virtual.

Determinados serviços do Azure, como contas de armazenamento do Azure, podem impor limites ao número de sub-redes usadas para proteger o recurso. Veja a documentação dos vários serviços nas Próximas etapas para obter detalhes.

Políticas do ponto de extremidade de serviço de rede virtual

As políticas de ponto de extremidade de serviço de rede virtual permitem filtrar o tráfego de rede virtual para os serviços do Azure. Esse filtro permite apenas recursos específicos do serviço do Azure em pontos de extremidade de serviço. As políticas de ponto de extremidade de serviço fornecem controle de acesso granular para o tráfego de rede virtual para os serviços do Azure. Para obter mais informações, veja Pontos de extremidade de serviço de rede virtual.

Perguntas frequentes

Para perguntas frequentes, veja Perguntas frequentes sobre os pontos de extremidade do serviço de rede virtual.

Próximas etapas

• Configurar endpoints de serviço de rede virtual

• Proteger uma conta de Armazenamento do Microsoft Azure em uma rede virtual

• Proteger um Banco de Dados SQL do Azure em uma rede virtual

• Integrar o Azure Synapse Analytics a uma rede virtual

• Comparar os Pontos de Extremidade Privados e os Pontos de Extremidade de Serviço

• Políticas de ponto de extremidade de serviço de rede virtual

• Modelo do Azure Resource Manager