O que é um ponto final privado?
Um ponto final privado é uma interface de rede que utiliza um endereço IP privado a partir da rede virtual. Esta interface de rede liga-o a um serviço de forma privada e segura com a tecnologia do Azure Private Link. Ao ativar um ponto final privado, está a trazer o serviço para a rede virtual.
O serviço pode ser um serviço do Azure, como:
- Armazenamento do Azure
- Azure Cosmos DB
- Base de Dados SQL do Azure
- O seu próprio serviço, usando o serviço Private Link.
Propriedades de ponto de extremidade privado
Um ponto de extremidade privado especifica as seguintes propriedades:
| Property | Descrição |
|---|---|
| Name | Um nome exclusivo dentro do grupo de recursos. |
| Sub-rede | A sub-rede a ser implantada, onde o endereço IP privado é atribuído. Para requisitos de sub-rede, consulte a seção Limitações mais adiante neste artigo. |
| Recurso de link privado | O recurso de link privado para se conectar usando um ID de recurso ou alias, da lista de tipos disponíveis. Um identificador de rede exclusivo é gerado para todo o tráfego enviado para este recurso. |
| Subrecurso de destino | O subrecurso a ser conectado. Cada tipo de recurso de link privado tem várias opções para selecionar com base na preferência. |
| Método de aprovação da ligação | Automático ou manual. Dependendo das permissões de controle de acesso baseadas em função do Azure, seu ponto de extremidade privado pode ser aprovado automaticamente. Se você estiver se conectando a um recurso de link privado sem permissões baseadas em função do Azure, use o método manual para permitir que o proprietário do recurso aprove a conexão. |
| Solicitar mensagem | Você pode especificar uma mensagem para que as conexões solicitadas sejam aprovadas manualmente. Esta mensagem pode ser utilizada para identificar um pedido específico. |
| Estado da ligação | Uma propriedade somente leitura que especifica se o ponto de extremidade privado está ativo. Somente pontos de extremidade privados em um estado aprovado podem ser usados para enviar tráfego. Mais estados disponíveis: |
Ao criar pontos de extremidade privados, considere o seguinte:
Os endpoints privados permitem a conectividade entre os clientes dos mesmos:
- Rede virtual
- Redes virtuais emparelhadas regionalmente
- Redes virtuais globalmente emparelhadas
- Ambientes locais que usam VPN ou Rota Expressa
- Serviços que são alimentados por Private Link
As conexões de rede podem ser iniciadas somente por clientes que estão se conectando ao ponto de extremidade privado. Os provedores de serviços não têm uma configuração de roteamento para criar conexões com clientes de serviços. As conexões podem ser estabelecidas em uma única direção.
Uma interface de rede somente leitura é criada automaticamente para o ciclo de vida do ponto de extremidade privado. A interface recebe um endereço IP privado dinâmico da sub-rede que mapeia para o recurso de link privado. O valor do endereço IP privado permanece inalterado durante todo o ciclo de vida do ponto de extremidade privado.
O ponto de extremidade privado deve ser implantado na mesma região e assinatura que a rede virtual.
O recurso de link privado pode ser implantado em uma região diferente daquela da rede virtual e do ponto de extremidade privado.
Vários pontos de extremidade privados podem ser criados com o mesmo recurso de link privado. Para uma única rede usando uma configuração de servidor DNS comum, a prática recomendada é usar um único ponto de extremidade privado para um recurso de link privado especificado. Use essa prática para evitar entradas duplicadas ou conflitos na resolução de DNS.
Vários pontos de extremidade privados podem ser criados na mesma sub-rede ou em sub-redes diferentes dentro da mesma rede virtual. Há limites para o número de pontos de extremidade privados que você pode criar em uma assinatura. Para obter mais informações, consulte Limites do Azure.
A assinatura que contém o recurso de link privado deve ser registrada no provedor de recursos de rede da Microsoft. A assinatura que contém o ponto de extremidade privado também deve ser registrada no provedor de recursos de rede da Microsoft. Para obter mais informações, consulte Provedores de recursos do Azure.
Recurso de link privado
Um recurso de link privado é o destino de destino de um ponto de extremidade privado especificado. A tabela a seguir lista os recursos disponíveis que oferecem suporte a um ponto de extremidade privado:
| Nome do recurso de link privado | Tipo de recurso | Sub-recursos |
|---|---|---|
| Gateway de Aplicação | Microsoft.Network/applicationgateways | Nome da configuração de IP de frontend |
| Pesquisa de IA do Azure | Microsoft.Search/searchServices | searchService |
| Serviços de IA do Azure | Microsoft.CognitiveServices/contas | conta |
| API do Azure para FHIR (Fast Healthcare Interoperability Resources) | Microsoft.HealthcareApis/services | FHIR |
| API Management do Azure | Microsoft.ApiManagement/service | Gateway |
| Configuração da Aplicação Azure | Microsoft.Appconfiguration/configurationStores | configurationLojas |
| Serviço de Aplicações do Azure | Microsoft.Web/hostingEnvironments | ambiente de hospedagem |
| Serviço de Aplicações do Azure | Microsoft.Web/sites | Sítios Web |
| Serviço de Atestado do Azure | Microsoft.Attestation/attestationProviders | padrão |
| Azure Automation | Microsoft.Automation/automationContas | Webhook, DSCAndHybridWorker |
| Azure Backup | Microsoft.RecoveryServices/cofres | AzureBackup, AzureSiteRecovery |
| Azure Batch | Microsoft.Batch/batchAccounts | batchAccount, nodeManagement |
| Cache do Azure para Redis | Microsoft.Cache/Redis | redisCache |
| Cache do Azure para Redis Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
| Registo de Contentores do Azure | Microsoft.ContainerRegistry/registries | registo |
| Azure Cosmos DB | Microsoft.AzureCosmosDB/databaseAccounts | SQL, MongoDB, Cassandra, Gremlin, Tabela |
| vCore do Azure Cosmos DB for MongoDB | Microsoft.DocumentDb/mongoClusters | mongoCluster |
| Azure Cosmos DB para PostgreSQL | Microsoft.DBforPostgreSQL/serverGroupsv2 | Coordenador |
| Azure Data Explorer | Microsoft.Kusto/clusters | cluster |
| Azure Data Factory | Microsoft.DataFactory/fábricas | Fábrica de dados |
| Azure Database for MariaDB | Microsoft.DBforMariaDB/servidores | mariadbServer |
| Banco de Dados do Azure para MySQL - Servidor Flexível | Microsoft.DBforMySQL/flexibleServers | mysqlServer |
| Banco de Dados do Azure para MySQL - Servidor Único | Microsoft.DBforMySQL/servidores | mysqlServer |
| Banco de Dados do Azure para PostgreSQL - Servidor flexível | Microsoft.DBforPostgreSQL/flexibleServers | postgresqlServer |
| Banco de Dados do Azure para PostgreSQL - Servidor único | Microsoft.DBforPostgreSQL/servidores | postgresqlServer |
| Azure Databricks | Microsoft.Databricks/espaços de trabalho | databricks_ui_api, browser_authentication |
| Serviço de Provisionamento de Dispositivo do Azure | Microsoft.Devices/provisioningServices | iotDps |
| Azure Digital Twins | Microsoft.DigitalTwins/digitalTwinsInstances | API |
| Grelha de Eventos do Azure | Microsoft.EventGrid/domínios | domínio |
| Grelha de Eventos do Azure | Microsoft.EventGrid/topics | topic |
| Hub de Eventos do Azure | Microsoft.EventHub/namespaces | espaço de nomes |
| Azure File Sync | Microsoft.StorageSync/storageSyncServices | Serviço de sincronização de arquivos |
| Azure HDInsight | Microsoft.HDInsight/clusters | cluster |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps | IoTApps |
| Hub IoT do Azure | Microsoft.Devices/IotHubs | iotHub [en] |
| Azure Key Vault | Microsoft.KeyVault/cofres | cofre |
| Azure Key Vault HSM (módulo de segurança de hardware) | Microsoft.Keyvault/managedHSMs | HSM |
| Serviço Kubernetes do Azure - API do Kubernetes | Microsoft.ContainerService/managedClusters | gestão |
| Azure Machine Learning | Microsoft.MachineLearningServices/registos | amlregistry |
| Azure Machine Learning | Microsoft.MachineLearningServices/espaços de trabalho | amlworkspace |
| Managed Disks do Azure | Microsoft.Compute/diskAccesses | disco gerenciado |
| Serviços de Multimédia do Azure | Microsoft.Media/mediaservices | keydelivery, liveevent, streamingendpoint |
| Azure Migrate | Microsoft.Migrate/assessmentProjects | project |
| Escopo do Link Privado do Azure Monitor | Microsoft.Insights/privatelinkscopes | azuremonitor |
| Reencaminhamento do Azure | Microsoft.Relay/namespaces | espaço de nomes |
| Azure Service Bus | Microsoft.ServiceBus/namespaces | espaço de nomes |
| Azure SignalR Service | Microsoft.SignalRService/SignalR | signalr |
| Azure SignalR Service | Microsoft.SignalRService/webPubSub | WebPubSub |
| Base de Dados SQL do Azure | Microsoft.Sql/servers | SQL Server (sqlServer) |
| Instância Gerida do Azure SQL | Microsoft.Sql/managedInstances | managedInstance |
| Aplicações Web Estáticas do Azure | Microsoft.Web/staticSites | staticSites |
| Armazenamento do Azure | Microsoft.Storage/storageAccounts | Blob (blob, blob_secondary) Tabela (tabela, table_secondary) Fila (fila, queue_secondary) Arquivo (arquivo, file_secondary) Web (web, web_secondary) DFS (dfs, dfs_secondary) |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | web |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Sql, SqlOnDemand, Desenvolvimento |
| Área de Trabalho Virtual do Azure - pools de hosts | Microsoft.DesktopVirtualization/hostpools | ligação |
| Área de Trabalho Virtual do Azure - espaços de trabalho | Microsoft.DesktopVirtualization/workspaces | feed global |
| Atualização de Dispositivo para o Hub IoT | Microsoft.DeviceUpdate/contas | DeviceUpdate |
| Conta de Integração (Premium) | Microsoft.Logic/integrationAccounts | integrationAccount |
| Microsoft Purview | Microsoft.Purview/contas | conta |
| Microsoft Purview | Microsoft.Purview/contas | portal |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| Serviço Private Link (seu próprio serviço) | Microsoft.Network/privateLinkServices | empty |
| Links privados de gerenciamento de recursos | Microsoft.Authorization/resourceManagementPrivateLinks | Gestão de Recursos |
Nota
Você pode criar pontos de extremidade privados somente em uma conta de armazenamento GPv2 (General Purpose v2).
Segurança da rede de terminais privados
Quando você usa pontos de extremidade privados, o tráfego é protegido para um recurso de link privado. A plataforma valida conexões de rede, permitindo apenas aquelas que alcançam o recurso de link privado especificado. Para acessar mais subrecursos dentro do mesmo serviço do Azure, são necessários mais pontos de extremidade privados com destinos correspondentes. No caso do Armazenamento do Azure, por exemplo, você precisaria de pontos de extremidade privados separados para acessar os subrecursos de arquivo e blob .
Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não restringem necessariamente o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem controles de acesso adicionais. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.
Os pontos finais privados suportam políticas de rede. As políticas de rede permitem o suporte para Grupos de Segurança de Rede (NSG), Rotas Definidas pelo Utilizador (UDR) e Grupos de Segurança de Aplicações (ASG). Para obter mais informações sobre como ativar políticas de rede para um ponto final privado, veja Gerir políticas de rede para pontos finais privados. Para utilizar um ASG com um ponto final privado, veja Configurar um grupo de segurança de aplicações (ASG) com um ponto final privado.
Acesso a um recurso de link privado usando fluxo de trabalho de aprovação
Você pode se conectar a um recurso de link privado usando os seguintes métodos de aprovação de conexão:
Aprovar automaticamente: use este método quando possuir ou tiver permissões para o recurso de link privado específico. As permissões necessárias são baseadas no tipo de recurso de link privado no seguinte formato:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/actionSolicitar manualmente: use este método quando não tiver as permissões necessárias e quiser solicitar acesso. Um fluxo de trabalho de aprovação é iniciado. O ponto de extremidade privado e as conexões de ponto de extremidade privado posteriores são criados em um estado Pendente . O proprietário do recurso de link privado é responsável por aprovar a conexão. Depois de aprovado, o ponto de extremidade privado é habilitado para enviar tráfego normalmente, conforme mostrado no diagrama de fluxo de trabalho de aprovação a seguir:
Em uma conexão de ponto de extremidade privado, um proprietário de recurso de link privado pode:
- Analise todos os detalhes da conexão de ponto final privado.
- Aprove uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente está habilitado para enviar tráfego para o recurso de link privado.
- Rejeitar uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é atualizado para refletir o status.
- Exclua uma conexão de ponto de extremidade privado em qualquer estado. O ponto de extremidade privado correspondente é atualizado com um estado desconectado para refletir a ação. O proprietário do ponto de extremidade privado pode excluir apenas o recurso neste momento.
Nota
Somente pontos de extremidade privados em um estado Aprovado podem enviar tráfego para um recurso de link privado especificado.
Conectar-se usando um alias
Um alias é um apelido exclusivo que é gerado quando um proprietário de serviço cria um serviço de link privado atrás de um balanceador de carga padrão. Os proprietários de serviços podem compartilhar esse alias offline com os consumidores do seu serviço.
Os consumidores podem solicitar uma conexão com um serviço de link privado usando o URI do recurso ou o alias. Para se conectar usando o alias, crie um ponto de extremidade privado usando o método de aprovação de conexão manual. Para usar o método de aprovação de conexão manual, defina o parâmetro de solicitação manual como True durante o fluxo de criação de ponto de extremidade privado. Para obter mais informações, consulte New-AzPrivateEndpoint e az network private-endpoint create.
Nota
Esta solicitação manual pode ser aprovada automaticamente se a assinatura do consumidor estiver listada no lado do provedor. Para saber mais, vá para controlar o acesso ao serviço.
Configuração do DNS
As configurações de DNS que você usa para se conectar a um recurso de link privado são importantes. Os serviços existentes do Azure podem já ter uma configuração de DNS que pode utilizar quando estiver a ligar através de um ponto de extremidade público. Para se conectar ao mesmo serviço através do ponto de extremidade privado, são necessárias configurações de DNS separadas, geralmente configuradas por meio de zonas DNS privadas. Verifique se as configurações de DNS estão corretas ao usar o FQDN (nome de domínio totalmente qualificado) para a conexão. As configurações devem ser resolvidas para o endereço IP privado do ponto de extremidade privado.
A interface de rede associada ao ponto de extremidade privado contém as informações necessárias para configurar o DNS. As informações incluem o FQDN e o endereço IP privado de um recurso de link privado.
Para obter informações completas e detalhadas sobre recomendações para configurar o DNS para pontos de extremidade privados, consulte Configuração de DNS de ponto de extremidade privado.
Limitações
As informações a seguir listam as limitações conhecidas para o uso de pontos de extremidade privados:
Endereço IP estático
| Limitação | Description |
|---|---|
| Configuração de endereço IP estático atualmente não suportada. | Azure Kubernetes Service (AKS) Azure Application Gateway HD Insight Recovery Services Vaults Serviços de Link Privado de Terceiros |
Grupo de segurança de rede
| Limitação | Description |
|---|---|
| Rotas eficazes e regras de segurança indisponíveis para interface de rede de ponto final privado. | Rotas efetivas e regras de segurança não serão exibidas para a NIC de ponto de extremidade privada no portal do Azure. |
| Logs de fluxo NSG sem suporte. | Logs de fluxo NSG indisponíveis para tráfego de entrada destinado a um ponto de extremidade privado. |
| Não mais de 50 membros em um Grupo de Segurança de Aplicativos. | Cinquenta é o número de configurações de IP que podem ser vinculadas a cada ASG respetivo acoplado ao NSG na sub-rede de ponto de extremidade privado. Podem ocorrer falhas de ligação com mais de 50 membros. |
| Intervalos de portas de destino suportados até um fator de 250 K. | Os intervalos de portas de destino são suportados como uma multiplicação SourceAddressPrefixes, DestinationAddressPrefixes e DestinationPortRanges. Exemplo de regra de entrada: Uma fonte * um destino * 4K portRanges = 4K Válido 10 fontes * 10 destinos * 10 portRanges = 1 K Válido 50 fontes * 50 destinos * 50 portRanges = 125 K Válido 50 fontes * 50 destinos * 100 portRanges = 250 K Válido 100 fontes * 100 destinos * 100 portRanges = 1M Inválido, NSG tem muitas fontes/destinos/portas. |
| A filtragem da porta de origem é interpretada como * | A filtragem de porta de origem não é usada ativamente como cenário válido de filtragem de tráfego para tráfego destinado a um ponto de extremidade privado. |
| Recurso indisponível em regiões selecionadas. | Atualmente indisponível nas seguintes regiões: Índia Ocidental Austrália Central 2 África do Sul Oeste Brasil Sudeste Todas as regiões Governo Todas as regiões China |
NSG mais considerações
O tráfego de saída negado de um ponto de extremidade privado não é um cenário válido, pois o provedor de serviços não pode originar tráfego.
Os seguintes serviços podem exigir que todas as portas de destino estejam abertas ao usar um ponto de extremidade privado e adicionar filtros de segurança NSG:
- Azure Cosmos DB - Para obter mais informações, consulte Intervalos de portas de serviço.
UDR
| Limitação | Description |
|---|---|
| SNAT é recomendado sempre. | Devido à natureza variável do plano de dados do ponto de extremidade privado, recomenda-se o tráfego SNAT destinado a um ponto de extremidade privado para garantir que o tráfego de retorno seja respeitado. |
| Recurso indisponível em regiões selecionadas. | Atualmente indisponível nas seguintes regiões: Índia Ocidental Austrália Central 2 África do Sul Oeste Brasil Sudeste |
Grupo de segurança de aplicações
| Limitação | Description |
|---|---|
| Recurso indisponível em regiões selecionadas. | Atualmente indisponível nas seguintes regiões: Índia Ocidental Austrália Central 2 África do Sul Oeste Brasil Sudeste |
Próximos passos
Para obter mais informações sobre pontos de extremidade privados e Link Privado, consulte O que é o Azure Private Link?.
Para começar a criar um ponto de extremidade privado para um aplicativo Web, consulte Guia de início rápido: criar um ponto de extremidade privado usando o portal do Azure.