Pontos finais de serviço de Rede Virtual

Rede Virtual ponto final de serviço (VNet) fornece conectividade segura e direta aos serviços Azure durante uma rota otimizada sobre a rede de espinha dorsal Azure. Os pontos finais permitem-lhe obter os seus recursos críticos de serviço do Azure apenas para as suas redes virtuais. O Service Endpoints permite que endereços IP privados no VNet cheguem ao ponto final de um serviço Azure sem precisar de um endereço IP público no VNet.

Nota

A Microsoft recomenda a utilização de Azure Private Link para acesso seguro e privado aos serviços hospedados na plataforma Azure. Para mais informações, consulte Azure Private Link.

Os pontos finais de serviço estão disponíveis para os seguintes serviços e regiões Azure. O recurso Microsoft.* está em parênteses. Ative este recurso a partir do lado da sub-rede enquanto configura os pontos finais de serviço para o seu serviço:

Disponível em Geral

Pré-visualização Pública

  • Azure Container Registry (Microsoft.ContainerRegistry): Pré-visualização disponível em regiões limitadas de Azure onde está disponível Azure Container Registry.

Para obter as notificações mais atualizadas, veja a página Atualizações da Rede Virtual do Azure.

Principais vantagens

Os pontos finais de serviço oferecem as seguintes vantagens:

  • Segurança melhorada para os seus recursos de serviço Azure: os espaços de endereço privado VNet podem sobrepor-se. Não é possível utilizar espaços sobrepostos para identificar de forma única o tráfego originário do seu VNet. Os pontos finais de serviço fornecem a capacidade de garantir recursos de serviço Azure à sua rede virtual, estendendo a identidade VNet ao serviço. Uma vez que ative os pontos finais do serviço na sua rede virtual, pode adicionar uma regra de rede virtual para proteger os recursos de serviço Azure à sua rede virtual. A adição de regras proporciona uma segurança melhorada, removendo totalmente o acesso público à Internet aos recursos e permitindo o tráfego apenas a partir da sua rede virtual.

  • O roteiro ideal para o tráfego de serviçoS Azure da sua rede virtual: Hoje, quaisquer rotas na sua rede virtual que forcem o tráfego de internet para os seus locais e/ou aparelhos virtuais também obrigam o tráfego de serviço Azure a tomar a mesma rota que o tráfego da internet. Os pontos finais de serviço fornecem encaminhamento ótimo para o tráfego do Azure.

    Os pontos finais assumem sempre o tráfego de serviço diretamente a partir da rede virtual para o serviço na rede backbone do Microsoft Azure. Manter o tráfego na rede backbone do Azure permite-lhe continuar a auditar e a monitorizar o tráfego de Internet de saída das suas redes virtuais através da imposição de túnel e sem afetar o tráfego de serviço. Para obter mais informações sobre as rotas definidas pelo utilizador e a escavação forçada, consulte o encaminhamento de tráfego de rede virtual Azure.

  • Fácil de configurar com menos overhead de gestão: já não necessita de endereços IP reservados e públicos nas redes virtuais para proteger os recursos do Azure através da firewall do IP. Não existem dispositivos de tradução de endereços de rede (NAT) ou dispositivos de gateway necessários para configurar os pontos finais de serviço. Pode configurar os pontos finais do serviço através de um simples clique numa sub-rede. Não há despesas adicionais para manter os pontos finais.

Limitações

  • A funcionalidade só está disponível para redes virtuais implementadas através do modelo de implementação Azure Resource Manager.
  • Os pontos finais estão ativados nas sub-redes configuradas em redes virtuais do Azure. Os pontos finais não podem ser utilizados para o tráfego das suas instalações para os serviços Azure. Para mais informações, consulte o acesso ao serviço Secure Azure a partir do local
  • No Azure SQL, um ponto final de serviço aplica-se apenas ao tráfego de serviço do Azure numa região da rede virtual. Para o Azure Armazenamento, pode permitir o acesso a redes virtuais noutras regiões em pré-visualização.
  • Para Azure Data Lake Storage (ADLS) Gen 1, a capacidade de Integração VNet só está disponível para redes virtuais dentro da mesma região. Note também que a integração de rede virtual para a ADLS Gen1 utiliza a segurança do ponto final do serviço de rede virtual entre a sua rede virtual e Azure Ative Directory (Azure AD) para gerar reclamações de segurança adicionais no token de acesso. Essas afirmações são, posteriormente, utilizadas para autenticar a rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso. A tag Microsoft.AzureActiveDirectory listada nos pontos finais de serviço de suporte de serviços é utilizada apenas para apoiar pontos finais de serviço para a ADLS Gen 1. Azure AD não suporta pontos finais de serviço de forma nativa. Para obter mais informações sobre a integração da Azure Data Lake Store Gen 1 VNet, consulte a segurança da rede na Azure Data Lake Storage Gen1.

Serviços Secure Azure para redes virtuais

  • Um ponto final de serviço de rede virtual transmite a identidade da sua rede virtual ao serviço do Azure. Uma vez que ative os pontos finais do serviço na sua rede virtual, pode adicionar uma regra de rede virtual para proteger os recursos de serviço Azure à sua rede virtual.

  • Atualmente, o tráfego de serviço do Azure a partir de uma rede virtual utiliza endereços IP públicos como endereços IP de origem. Com pontos finais de serviço, o tráfego de serviço comuta-se para utilizar endereços privados da rede virtual como endereços IP de origem quando acede ao serviço do Azure a partir de uma rede virtual. Esta comutação permite-lhe aceder aos serviços sem necessitar de endereços IP reservados públicos utilizados nas firewalls IP.

    Nota

    Com pontos finais de serviço, os endereços IP de origem das máquinas virtuais na sub-rede para tráfego de serviço mudam da utilização de endereços IPv4 públicos para a utilizam de endereços IPv4 privados. As regras de firewall de serviço do Azure existentes com os endereços IP públicos do Azure deixarão de funcionar com esta troca. Certifique-se de que as regras de firewall do serviço do Azure permitem esta troca antes de configurar os pontos finais de serviço. Também poderá experienciar uma interrupção temporária do tráfego de serviço desta sub-rede ao configurar pontos finais de serviço.

Acesso seguro do serviço Azure a partir do local

Por padrão, os recursos de serviço Azure protegidos para redes virtuais não são alcançáveis a partir de redes no local. Se pretender permitir o tráfego a partir do local, também deve permitir endereços IP públicos (tipicamente, NAT) a partir das suas instalações ou ExpressRoute. Pode adicionar estes endereços IP através da configuração de firewall IP para recursos de serviço Azure.

ExpressRoute: Se estiver a utilizar o ExpressRoute para espreitar publicamente ou a Microsoft a espreitar das suas instalações, terá de identificar os endereços IP DO NAT que está a utilizar. Para o uso público, cada circuito ExpressRoute utiliza dois endereços NAT IP, por padrão, aplicados ao tráfego de serviço Azure quando o tráfego entra na espinha dorsal da rede Microsoft Azure. Para o estojo da Microsoft, os endereços NAT IP são fornecidos pelo cliente ou fornecidos pelo prestador de serviços. Para permitir o acesso aos recursos de serviço, tem de permitir estes endereços IP públicos na definição da firewall do IP dos recursos. Para localizar os endereços IP do circuito ExpressRoute de peering público, abra um pedido de suporte no ExpressRoute através do portal do Azure. Para obter mais informações sobre o NAT para o público ExpressRoute e o microsoft espreitar, consulte os requisitos do ExpressRoute NAT.

Securing Azure services to virtual networks

Configuração

  • Configure os pontos finais de serviço numa sub-rede numa rede virtual. Os pontos finais funcionam com qualquer tipo de instância de computação em execução nessa sub-rede.
  • Pode configurar vários pontos finais de serviço para todos os serviços Azure suportados (Azure Armazenamento ou Base de Dados SQL do Azure, por exemplo) numa sub-rede.
  • Na Base de Dados SQL do Azure, as redes virtuais têm de estar na mesma região que o recurso de serviço do Azure. Para o Azure Armazenamento, pode permitir o acesso a redes virtuais noutras regiões em pré-visualização. Para todos os outros serviços, você pode garantir recursos de serviço Azure para redes virtuais em qualquer região.
  • A rede virtual onde o ponto final está configurado pode existir na mesma subscrição ou numa subscrição diferente que a do recurso de serviço do Azure. Para obter mais informações sobre as permissões necessárias para configurar pontos finais e para proteger serviços do Azure, veja Aprovisionamento.
  • Para os serviços suportados, pode proteger recursos novos ou existentes para redes virtuais através de pontos finais de serviço.

Considerações

  • Depois de permitir um ponto final de serviço, os endereços IP de origem passam a utilizar endereços IPv4 públicos para utilizar o seu endereço IPv4 privado ao comunicar com o serviço a partir dessa sub-rede. Todas as ligações TCP abertas existentes para o serviço serão fechadas durante esta mudança. Certifique-se de que não existem tarefas críticas em execução quando ativar ou desativar um ponto final de serviço para um serviço para uma sub-rede. Verifique também se as aplicações conseguem ligar-se automaticamente aos serviços do Azure após esta mudança do endereço IP.

    A mudança do endereço IP só afeta o tráfego de serviço da rede virtual. Não há qualquer impacto em qualquer outro tráfego endereçado a ou a partir dos endereços públicos IPv4 atribuídos às suas máquinas virtuais. Nos serviços do Azure, se tiver regras de firewall existente que utilizem IPs públicos do Azure, estas regras deixam de funcionar com a mudança para os endereços privados da rede virtual.

  • Com os pontos finais de serviço, as entradas de DNS para os serviços Azure permanecem como é hoje e continuam a resolver para endereços IP públicos atribuídos ao serviço Azure.

  • Grupos de segurança de rede (NSGs) com pontos finais de serviço:

    • Por padrão, os NSGs permitem o tráfego de internet de saída e também permitem o tráfego dos seus serviços VNet para Azure. Este tráfego continua a funcionar com os pontos finais de serviço como está.
    • Se quiser negar todo o tráfego de internet de saída e permitir apenas tráfego para serviços Azure específicos, pode fazê-lo usando tags de serviço nos seus NSGs. Pode especificar os serviços Azure suportados como destino nas suas regras NSG e a Azure também fornece a manutenção de endereços IP subjacentes a cada tag. Para obter mais informações, consulte Etiquetas de Serviço do Azure para NSGs.

Cenários

  • Redes virtuais múltiplas, ligadas ou ponto a ponto: para proteger serviços do Azure em várias sub-redes numa rede virtual ou em várias redes virtuais, pode ativar pontos finais de serviço em cada uma destas sub-redes de forma independente e proteger os recursos de serviço do Azure em todas essas sub-redes.
  • Filtrar o tráfego de saída de uma rede virtual para os serviços Azure: Se pretender inspecionar ou filtrar o tráfego enviado para um serviço Azure a partir de uma rede virtual, pode implantar um aparelho virtual de rede dentro da rede virtual. Em seguida, pode aplicar pontos finais de serviço à sub-rede onde está implementada a aplicação de rede virtual e proteger o recurso de serviço do Azure apenas nesta sub-rede. Este cenário pode ser útil se pretender utilizar a filtragem de aparelhos virtuais de rede para restringir o acesso do serviço Azure à sua rede virtual apenas a recursos específicos do Azure. Para obter mais informações, veja saída com aplicações de rede virtual.
  • Garantir recursos da Azure a serviços implantados diretamente em redes virtuais: Pode implementar diretamente vários serviços Azure em subesí redes específicas numa rede virtual. Pode proteger recursos de serviço do Azure para sub-redes de serviços geridos ao configurar um ponto final de serviço na sub-rede do serviço gerido.
  • Tráfego de disco de uma máquina virtual Azure: O tráfego de disco de máquina virtual para discos geridos e não geridos não é afetado por alterações de encaminhamento de pontos finais de serviço para Armazenamento. Este tráfego inclui diskIO, bem como montagem e desmontagem. Pode limitar o acesso rest às bolhas de página para selecionar redes através de pontos finais de serviço e regras de rede Armazenamento Azure.

Registo e resolução de problemas

Uma vez configurar os pontos finais de serviço para um serviço específico, valide que a rota do ponto final de serviço está em vigor por:

  • Validação do endereço IP de origem de qualquer pedido de serviço no diagnóstico do serviço. Todos os novos pedidos com pontos finais de serviço mostram o endereço IP de origem para o pedido como o endereço IP privado da rede virtual atribuído ao cliente que efetua o pedido a partir da sua rede virtual. Sem o ponto final, o endereço é um endereço IP público do Azure.
  • Visualização das rotas efetivas em qualquer interface de rede numa sub-rede. A rota para o serviço:
    • Mostra uma rota predefinida mais específica para endereçar intervalos de prefixo de cada serviço
    • Tem um nextHopType de VirtualNetworkServiceEndpoint
    • Indica que uma ligação mais direta ao serviço está em vigor em comparação com quaisquer rotas de túneis forçados

Nota

As rotas do ponto final de serviço substituem quaisquer rotas BGP ou UDR para a correspondência de prefixo de endereço de um serviço do Azure. Para mais informações, consulte a resolução de problemas com rotas eficazes.

Aprovisionamento

Os pontos finais de serviço podem ser configurados em redes virtuais de forma independente por um utilizador com acesso por escrito a uma rede virtual. Para garantir os recursos de serviço do Azure a um VNet, o utilizador deve ter permissão para Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action para as sub-redes adicionadas. As funções de administrador de serviço incorporado incluem esta permissão por padrão. Pode modificar a permissão criando funções personalizadas.

Para obter mais informações sobre papéis incorporados, consulte as funções incorporadas do Azure. Para obter mais informações sobre a atribuição de permissões específicas a funções personalizadas, consulte as funções personalizadas do Azure.

As redes virtuais e os recursos de serviço do Azure podem pertencer às mesmas subscrições ou a subscrições diferentes. Certos Serviços Azure (nem todos) como a Azure Armazenamento e a Azure Key Vault também apoiar pontos finais de serviço em diferentes inquilinos do Ative Directory (AD), ou seja, a rede virtual e o recurso de serviço Azure podem estar em diferentes inquilinos ative directory (AD). Verifique a documentação individual do serviço para mais detalhes.

Preços e limites

Não há nenhuma taxa adicional para usar pontos finais de serviço. O atual modelo de preços dos serviços Azure (Azure Armazenamento, Base de Dados SQL do Azure, etc.) aplica-se como é hoje.

Não há limite para o número total de pontos finais de serviço numa rede virtual.

Certos serviços Azure, como a Azure Armazenamento Accounts, podem impor limites ao número de sub-redes utilizadas para assegurar o recurso. Consulte a documentação para vários serviços na secção etapas seguintes para obter mais detalhes.

Políticas de ponto final de serviço VNet

As políticas de ponto final do serviço VNet permitem filtrar o tráfego de rede virtual para os serviços Azure. Este filtro permite apenas recursos de serviço Azure específicos sobre os pontos finais de serviço. As políticas de ponto final de serviço fornecem controlo de acesso granular para tráfego de rede virtual para serviços Azure. Para mais informações, consulte Rede Virtual Políticas de Ponto final do serviço.

FAQs

Para perguntas frequentes, consulte Rede Virtual as PERGUNTAS Frequentes do Ponto Final do Serviço.

Passos seguintes