Como funciona o Link Privado do Azure

  • 10 minutos

Você já conhece os benefícios e recursos básicos do Link Privado. Vejamos agora como funciona o Link Privado. Em particular, vamos considerar como ele funciona com o serviço de ponto de extremidade privado e de Link Privado para oferecer acesso particular aos serviços do Azure. Essas informações ajudam a avaliar se o Link Privado é a solução certa para sua empresa.

O Link Privado fornece acesso privado aos serviços do Azure. "Privado" aqui significa que a conexão usa a rede de backbone do Microsoft Azure em vez da Internet. Para fazer essa alteração, o Link Privado muda o método de conectividade do recurso do Azure, passando do ponto de extremidade público para o ponto de extremidade privado.

Agora você não acessa o recurso do Azure usando um endereço IP público. Em vez disso, usa um endereço IP privado que o Azure atribui ao recurso do espaço de endereço da sua sub-rede.

A conclusão principal disso é que o recurso do Azure agora é parte definitiva de sua rede virtual. Os clientes na sua rede podem acessar esse recurso de Link Privado da mesma maneira que qualquer outro recurso de rede.

Para uma segurança ainda maior, a conexão com o recurso agora usa a rede de backbone do Microsoft Azure. Ou seja, qualquer tráfego de e para o recurso evita totalmente a Internet pública.

O ponto de extremidade público do recurso ainda existe, mesmo que você não o esteja usando. A presença de um ponto de extremidade público, mesmo um não utilizado, ainda é um risco de segurança. Felizmente, é possível desabilitar o ponto de extremidade público do recurso do Azure, o que contorna esse possível problema de segurança.

Como funciona o ponto de extremidade privado do Azure

Como mudar uma interface de recurso de pública para privada? Adicione um ponto de extremidade privado do Azure à sua configuração de rede. O ponto de extremidade privado é um adaptador de rede que cria uma conexão privada entre sua rede virtual e um serviço especificado do Azure.

O ponto de extremidade privado usa um endereço IP privado não usado do espaço de endereço de uma sub-rede especificada em sua rede virtual. Por exemplo, suponhamos que você tenha uma sub-rede que usa o espaço de endereço 10.1.0.0/24. As máquinas virtuais nessa sub-rede usam endereços IP, como 10.1.0.20 ou 10.1.0.155.

O ponto de extremidade privado obtém um endereço IP do mesmo espaço de endereço, como 10.1.0.32. Em seguida, o ponto de extremidade privado mapeia esse endereço para um serviço do Azure especificado. Usar o endereço IP privado leva efetivamente o serviço para sua rede virtual.

Observação

Os clientes que se conectam a um recurso de Link Privado não precisam usar o endereço IP atribuído do ponto de extremidade privado na cadeia de conexão. Em vez disso, se você configurar o ponto de extremidade privado para se integrar com sua zona DNS privada, o Azure atribuirá automaticamente um FQDN ao ponto de extremidade. Por exemplo, se o recurso de Link Privado for uma tabela de Armazenamento do Microsoft Azure, o FQDN será algo como mystorageaccount1234.table.core.windows.net.

Confira alguns pontos importantes a serem considerados ao avaliar o ponto de extremidade privado:

  • O ponto de extremidade privado oferece conectividade privada entre máquinas virtuais e outros clientes em sua rede virtual do Azure e nos serviços de Links Privados do Azure.
  • O ponto de extremidade privado oferece conectividade privada entre suas redes virtuais emparelhadas virtualmente e os serviços do Azure de Links Privados.
  • O ponto de extremidade privado oferece conectividade privada entre suas redes virtuais emparelhadas globalmente e os serviços do Azure de Links Privados.
  • O ponto de extremidade privado oferece conectividade privada entre sua rede local – conectada por meio de emparelhamento privado do ExpressRoute ou de uma VPN – e os serviços do Azure de Links Privados.
  • É possível implantar um máximo de 1.000 interfaces de pontos de extremidade privados por rede virtual.
  • É possível implantar um máximo de 64.000 interfaces de pontos de extremidade privados por assinatura do Azure.
  • É possível mapear um máximo de 1.000 interfaces de pontos de extremidade privados para o mesmo recurso de Link Privado.

Cuidado

Embora seja possível mapear várias interfaces de pontos de extremidade privados para um único recurso, isso não é recomendável, pois pode levar a conflitos de DNS e a outros problemas. A prática recomendada é mapear apenas um único ponto de extremidade privado para um único recurso de Link Privado.

  • As conexões são de via única, o que significa que somente os clientes podem se conectar a uma interface de ponto de extremidade privada. Se um serviço do Azure for mapeado para uma interface de ponto de extremidade privada, o provedor desse serviço não poderá se conectar (ou até mesmo perceber) a interface de ponto de extremidade privada.
  • Uma interface de ponto de extremidade privada implantada é somente leitura, o que significa que ninguém pode modificá-la. Por exemplo, ninguém pode mapear a interface para um recurso diferente, nem pode alterar o endereço IP dela.
  • Embora seja necessário implantar o ponto de extremidade privado na mesma região que sua rede virtual, o recurso de Link Privado pode estar localizado em uma região diferente.

Observação

Qual é a diferença entre um ponto de extremidade de serviço e um ponto de extremidade privado? Um ponto de extremidade de serviço configura um recurso do Azure para permitir conexões somente de uma rede virtual especificada. Contudo, essa conexão ainda é feita por meio do ponto de extremidade público do recurso, portanto, subsistem alguns riscos de segurança. Já o ponto de extremidade privado remove esses riscos dando suporte à desabilitação do ponto de extremidade público de um recurso.

O serviço de Link Privado do Azure leva os benefícios de um Link Privado para seus serviços personalizados do Azure. O único requisito é que você execute seu serviço personalizado por trás do Standard Load Balancer do Azure. Em seguida, você pode criar um recurso de serviço de Link Privado e anexá-lo ao balanceador de carga.

Cuidado

O Azure oferece duas versões de seu Load Balancer: Básica e Standard. O Load Balancer Básico não oferece suporte ao serviço de Link Privado; portanto, verifique se está usando o Standard Load Balancer.

Após criar o recurso de serviço de Link Privado, o Azure emite um alias para o recurso, que é uma cadeia de caracteres somente leitura globalmente exclusiva com a sintaxe prefixo.guid.suffix:

  • prefix. Um nome que você fornece para o serviço personalizado.
  • guid. Uma ID globalmente exclusiva gerada automaticamente pelo Azure.
  • suffix. O texto region.azure.privatelinkservice; region é a região em que o serviço de Link Privado está implantado.

Você compartilha o alias do serviço de Link Privado com os consumidores de seu serviço personalizado. Em seguida, cada consumidor configura um ponto de extremidade privado na própria rede virtual do Azure. Depois, o consumidor mapeia o ponto de extremidade para o alias do serviço de Link Privado.

Eis alguns pontos importantes a considerar ao avaliar o serviço de Link Privado:

  • Seu serviço de Link Privado pode ser acessado por meio de um ponto de extremidade privado em qualquer região pública.
  • O serviço de Link Privado deve ser implantado na mesma região do balanceador de carga padrão e da rede virtual que hospeda o serviço personalizado do Azure.
  • É possível implantar um máximo de 800 recursos de serviço de Link Privado por assinatura do Azure.
  • É possível mapear um máximo de 1.000 interfaces de pontos de extremidade privados para um único recurso de serviço de Link Privado.
  • Vários recursos de serviço de Link Privado podem ser implantados no mesmo balanceador de carga padrão usando configurações de IP de front-end diferentes.

Juntando as peças

Seu objetivo é acessar um recurso do Azure sem usar a Internet pública? Você deseja oferecer um recurso personalizado do Azure de forma privada? Se respondeu sim a uma ou às duas perguntas, o Link Privado, o ponto de extremidade privado e o serviço de Link Privado são a solução:

  • Para acessar de forma privada um serviço de PaaS do Azure ou um serviço do Azure de um parceiro da Microsoft, crie um ponto de extremidade privado em uma sub-rede da sua rede virtual do Azure. Esse ponto de extremidade privado usa o Link Privado para acessar o serviço do Azure usando um endereço IP privado no backbone do Microsoft Azure. Redes virtuais emparelhadas e redes locais que usam o emparelhamento privado do ExpressRoute ou um túnel VPN também podem acessar o serviço do Azure por meio do ponto de extremidade privado.
  • Para oferecer acesso privado a um serviço personalizado do Azure, coloque o serviço por trás de um balanceador de carga padrão, crie um recurso de serviço de Link Privado e anexe-o à configuração de IP de front-end do balanceador de carga.

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing Azures services via a private IP address mapped by Private Endpoint.