Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Конечная точка службы виртуальной сети обеспечивает безопасное и прямое подключение к службам Azure через оптимизированный маршрут через магистральную сеть Azure. Конечные точки позволяют защищать критически важные ресурсы служб Azure в пределах отдельных виртуальных сетей. Конечные точки службы позволяют частным IP-адресам в виртуальной сети получать доступ к конечной точке службы Azure, не требуя общедоступного IP-адреса в виртуальной сети.
Примечание.
Корпорация Майкрософт рекомендует использовать Приватный канал Azure и частные конечные точки для безопасного и закрытого доступа к службам, размещенным на платформе Azure. Private Link от Azure развертывает сетевой интерфейс в виртуальной сети вашего выбора для служб Azure, таких как Azure Storage или Azure SQL. Дополнительные сведения см. в разделе Приватный канал Azure и что такое частная конечная точка?.
Конечные точки службы доступны для следующих служб и регионов Azure. Ресурс Microsoft.* указывается в скобках. Включите этот ресурс на стороне подсети во время настройки конечных точек для службы:
Общедоступная версия
Служба хранилища Azure (Microsoft.Storage): общедоступная версия для всех регионов Azure.
кросс-региональные конечные точки службы хранилища Azure (Microsoft.Storage.Global): общедоступны во всех регионах Azure.
База данных SQL Azure (Microsoft.Sql): общедоступная версия для всех регионов Azure.
Azure Synapse Analytics (Microsoft.Sql): общедоступная версия для всех регионов Azure для выделенных пулов SQL (ранее — хранилище данных SQL).
База данных Azure для MariaDB (Microsoft.Sql): общедоступно в регионах Azure, где доступна служба баз данных.
Azure Cosmos DB (Microsoft.AzureCosmosDB): общедоступная версия для всех регионов Azure.
Azure Key Vault (Microsoft.KeyVault): общедоступная версия для всех регионов Azure.
Служебная шина Azure (Microsoft.ServiceBus): общедоступная версия для всех регионов Azure.
Центры событий Azure (Microsoft.EventHub): общедоступная версия для всех регионов Azure.
Служба приложений Azure (Microsoft.Web): общедоступная версия для всех регионов Azure, где доступна Служба приложений.
Azure Cognitive Services (Microsoft.CognitiveServices): общедоступен во всех регионах Azure, где доступны службы искусственного интеллекта Azure.
Общедоступная предварительная версия
- Реестр контейнеров Azure (Microsoft.ContainerRegistry): предварительная версия доступна только в тех регионах Azure, где доступен Реестр контейнеров Azure.
Самые актуальные уведомления доступны на странице обновлений виртуальной сети Azure.
Ключевые преимущества
Конечные точки служб обеспечивают следующие преимущества.
Улучшенная безопасность ресурсов службы Azure: частные адресные пространства виртуальной сети могут перекрываться. Вы не можете использовать перекрывающиеся адресные пространства для уникальной идентификации трафика, исходящего из вашей виртуальной сети. Конечные точки службы позволяют обезопасить ресурсы сервиса Azure в вашей виртуальной сети, расширяя идентичность виртуальной сети до сервиса. После включения конечных точек службы в виртуальной сети можно добавить правило виртуальной сети, чтобы обеспечить безопасность ресурсов службы Azure в виртуальной сети. Добавление этого правила повысит уровень безопасности, так как оно полностью исключает открытый доступ к ресурсам из Интернета и разрешает трафик только из виртуальной сети.
Оптимальная маршрутизация трафика службы Azure из виртуальной сети. В настоящее время, если в виртуальной сети настроен маршрут для принудительного направления трафика из Интернета к локальным или виртуальным устройствам, трафик служб Azure направляется по этим же маршрутам. Конечные точки служб обеспечивают оптимальную маршрутизацию трафика Azure.
Конечные точки всегда направляют трафик служб непосредственно из виртуальной сети в службу в магистральной сети Microsoft Azure. Так как трафик не покидает пределы магистральной сети, это позволяет и дальше выполнять аудит и мониторинг исходящего интернет-трафика из виртуальных сетей при помощи принудительного туннелирования без воздействия на трафик служб. Дополнительные сведения об определяемых пользователем маршрутах и принудительном туннелировании см. в статье Маршрутизация трафика в виртуальной сети.
Простота настройки и управления. Больше не нужны зарезервированные общедоступные IP-адреса в виртуальных сетях для защиты ресурсов Azure с помощью брандмауэра IP-адресов. Для настройки конечных точек службы не требуется преобразование сетевых адресов (NAT) или устройства шлюза. Конечные точки службы можно настроить с помощью одного выбора в подсети. Нет дополнительных затрат на обслуживание конечных точек.
Ограничения
Функция доступна только для виртуальных сетей, развернутых посредством модели развертывания с помощью Azure Resource Manager.
Конечные точки включаются в подсетях, настроенных в виртуальных сетях Azure. Конечные точки нельзя использовать для трафика из локальных служб в службы Azure. Дополнительные сведения см. в разделе Защита доступа к службам Azure из локальной среды.
В SQL Azure конечная точка службы применяется только к трафику службы Azure в пределах региона виртуальной сети.
Для Azure Data Lake Storage (ADLS) 1-го поколения возможность интеграции виртуальной сети доступна только для виртуальных сетей в одном регионе. Интеграция виртуальной сети для ADLS 1-го поколения использует безопасность конечной точки службы виртуальной сети между виртуальной сетью и идентификатором Microsoft Entra для создания дополнительных утверждений безопасности в маркере доступа. Эти утверждения затем используются для аутентификации вашей виртуальной сети к учетной записи Data Lake Storage Gen1 и предоставления доступа. Тег Microsoft.AzureActiveDirectory, указанный в разделе служб с поддержкой конечных точек служб, используется только для поддержки служебных конечных точек для ADLS 1-го поколения. Идентификатор Microsoft Entra не поддерживает конечные точки службы на уровне платформы. Дополнительные сведения об интеграции виртуальной сети Azure Data Lake Store 1-го поколения см. в статье "Безопасность сети" в Azure Data Lake Storage 1-го поколения.
Виртуальная сеть может быть связана с 200 различными подписками и регионами каждой поддерживаемой службой с настроенными правилами активной виртуальной сети.
Защита служб Azure в виртуальных сетях
Конечная точка службы для виртуальной сети предоставляет службе Azure удостоверение виртуальной сети. После включения конечных точек службы в виртуальной сети можно добавить правило виртуальной сети, чтобы обеспечить безопасность ресурсов службы Azure в виртуальной сети.
В настоящее время трафик служб Azure из виртуальной сети использует общедоступные IP-адреса в качестве исходных IP-адресов. С использованием конечных точек службы трафик сервиса переключается на использование частных адресов виртуальной сети в качестве исходных IP-адресов при доступе к службе Azure из виртуальной сети. Это переключение позволяет осуществлять доступ к службам без необходимости в зарезервированных общедоступных IP-адресах, которые используются в брандмауэрах.
Примечание.
При использовании конечных точек службы исходные IP-адреса виртуальных машин в подсети для трафика служб переключаются с общедоступных адресов IPv4 на частные. Существующие правила брандмауэра службы Azure с использованием общедоступных IP-адресов Azure прекращают работать с этим параметром. Убедитесь, что правила брандмауэра службы Azure позволяют этому коммутатору перед настройкой конечных точек службы. При настройке конечных точек службы также может возникнуть временный перерыв в трафике службы из этой подсети.
Защита доступа к службам Azure из локальной среды
По умолчанию ресурсы служб Azure, которые защищены в виртуальной сети, недоступны из локальных сетей. Чтобы разрешить трафик из локальной среды, необходимо также разрешить общедоступные IP-адреса (обычно это NAT) из локальных каналов или каналов ExpressRoute. Вы можете добавить эти IP-адреса в конфигурации брандмауэра IP-адресов для ресурсов служб Azure.
ExpressRoute: если вы используете ExpressRoute для пиринга Майкрософт из локальной среды, определите IP-адреса NAT, которые вы используете. IP-адреса NAT предоставляются клиентом или предоставляются поставщиком услуг. Чтобы разрешить доступ к ресурсам служб, необходимо разрешить эти общедоступные IP-адреса в настройках брандмауэра IP-адресов ресурсов. Дополнительные сведения о пиринге NAT для ExpressRoute Майкрософт см. в разделе "Требования к NAT ExpressRoute".
Настройка
Настройте конечные точки служб в подсети виртуальной сети. Конечные точки работают с любым типом вычислительных экземпляров, выполняющихся в этой подсети.
Вы можете настроить в подсети несколько конечных точек служб для любых поддерживаемых служб Azure (например, для службы хранилища Azure или Базы данных SQL Azure).
Для Базы данных SQL Azure виртуальные сети должны относиться к тому же региону, что и ресурс службы Azure. Для всех остальных служб можно организовать защиту ресурсов Azure в виртуальных сетях в любом регионе.
Виртуальная сеть, в которой настраивается конечная точка, может относиться к той же подписке, что и ресурс службы Azure, либо же к другой подписке. Дополнительные сведения о разрешениях, которые требуются для настройки конечных точек и защиты служб Azure, см. в разделе Подготовка.
Для поддерживаемых служб вы можете защитить новые или существующие ресурсы в виртуальных сетях с помощью конечных точек служб.
Рекомендации
После развертывания конечной точки службы исходные IP-адреса переключаются с использования общедоступных IPv4-адресов на частный IPv4-адрес при взаимодействии со службой из этой подсети. Во время этого переключения все открытые TCP-подключения к службе закрываются. Убедитесь, что при включении или отключении конечной точки службы в подсети не выполняются критически важные задачи. Также удостоверьтесь, что приложения могут автоматически подключаться к службам Azure после этого переключения IP-адресов.
Коммутатор IP-адресов влияет только на трафик служб из виртуальной сети. Нет никакого влияния на любой другой трафик, который направляется к или от общедоступных IPv4-адресов, назначенных вашим виртуальным машинам. Если для служб Azure установлены правила брандмауэра с использованием общедоступных IP-адресов Azure, то после переключения на частные адреса виртуальной сети эти правила перестают работать.
Если используются конечные точки служб, текущие записи DNS для служб Azure сохраняются и продолжают преобразовываться в общедоступные IP-адреса, назначенные службе Azure.
Группы безопасности сети (ГБС) с конечными точками служб:
По умолчанию группы безопасности сети (NSG) разрешают исходящий интернет-трафик, а также разрешают трафик из вашей виртуальной сети в службы Azure. Этот трафик нормально работает с конечными точками служб без дополнительной настройки.
Чтобы запретить весь исходящий интернет-трафик и разрешить трафик только в определенные службы Azure, воспользуйтесь тегами служб в группах NSG. Вы можете указать поддерживаемые службы Azure как место назначения в правилах NSG, и обслуживание IP-адресов, которые определены в каждом теге, будет выполняться платформой Azure. Дополнительные сведения см. в статье о тегах служб Azure для групп NSG.
Сценарии
Пиринговые, подключенные или несколько виртуальных сетей: чтобы защитить службы Azure в нескольких подсетях в виртуальной сети или в нескольких виртуальных сетях, включите конечные точки службы в каждой из подсетей независимо. Эта процедура защищает ресурсы службы Azure ко всем подсетям.
Фильтрация исходящего трафика, передаваемого из виртуальной сети в службы Azure. Если требуется проверять или фильтровать трафик, который отправляется в службу Azure из виртуальной сети, можно развернуть в этой виртуальной сети виртуальное сетевое устройство. Это позволяет применять конечные точки служб к подсети, в которой развертывается виртуальное сетевое устройство, и обеспечить защиту ресурса службы Azure только в этой подсети. Это может быть полезно, если вы хотите применить фильтрацию виртуального сетевого устройства, чтобы ограничить доступ к службе Azure из виртуальной сети, разрешив его только с определенных ресурсов Azure. Дополнительные сведения см. в разделе исходящий трафик с использованием виртуальных сетевых устройств.
Защита ресурсов Azure для служб, развернутых непосредственно в виртуальных сетях. Вы можете развертывать разные службы Azure непосредственно в конкретных подсетях виртуальной сети. Вы можете защитить ресурсы служб Azure в подсетях управляемой службы, настроив конечную точку службы в подсети управляемой службы.
Трафик диска из виртуальной машины Azure: изменения маршрутизации конечных точек службы для службы хранилища Azure не влияют на трафик диска виртуальной машины для управляемых и неуправляемых дисков. Этот трафик включает операции ввода-вывода данных на диск и монтирования и размонтирования. Конечные точки службы и правила сети службы хранилища Azure позволяют ограничить доступ REST к страничных BLOB-объектам в определенных сетях.
Ведение журнала и устранение неполадок
Настроив конечные точки для определенной службы, убедитесь, что маршрут конечной точки службы работает нормально, выполнив следующие проверки:
Проверка исходного IP-адреса любого запроса к службе при ее диагностике. Во всех новых запросах с использованием конечных точек служб исходный IP-адрес отображается как частный IP-адрес виртуальной сети, который назначен клиенту, выполняющему запрос из виртуальной сети. Без конечной точки этот адрес является общедоступным IP-адресом Azure.
Просмотр действующих маршрутов любого сетевого интерфейса в подсети. Маршрут к службе:
Отображает более точный маршрут по умолчанию для диапазона префиксов адресов каждой службы.
использует значение VirtualNetworkServiceEndpoint параметра nextHopType;
указывает, что для службы применяется более прямое соединение по сравнению с маршрутами с принудительным туннелированием.
Примечание.
Конечные точки службы Azure переопределяют любые маршруты BGP или маршруты, определяемые пользователем, для совпадения с префиксом адреса. Дополнительные сведения см. в статье Устранение неполадок с использованием эффективных маршрутов.
Обеспечение
Пользователи с доступом на запись в виртуальную сеть могут независимо настраивать конечные точки службы в виртуальных сетях. Чтобы защитить ресурсы службы Azure в виртуальной сети, пользователи должны иметь разрешение Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action для добавленных подсетей. Встроенные роли администратора службы включают это разрешение по умолчанию, но его можно изменить, создав пользовательские роли.
Дополнительные сведения о встроенных ролях см. в статье Встроенные роли Azure. Дополнительные сведения о назначении конкретных разрешений настраиваемым ролям см. в статье Настраиваемые роли Azure.
Виртуальные сети и ресурсы служб Azure могут находиться в одной или разных подписках. Некоторые службы Azure (не все), такие как служба хранилища Azure и Azure Key Vault, также поддерживают конечные точки службы в разных клиентах идентификатора Microsoft Entra. Виртуальная сеть и ресурс службы Azure могут находиться в разных клиентах идентификатора Microsoft Entra. Дополнительные сведения см. в документации по отдельным службам.
Цены и ограничения
Плата за использование конечных точек службы не взимается. Текущие цены на службы Azure (служба хранилища Azure, База данных SQL Azure и т. д.) применяются без изменений.
Общее количество конечных точек службы в виртуальной сети не ограничено.
Некоторые службы Azure, такие как учетные записи хранения Azure, могут применять ограничения на количество подсетей, используемых для защиты ресурса. Дополнительные сведения см. в документации по различным службам, которые приведены в разделе Дальнейшие действия.
Политики конечной точки службы виртуальной сети
Политики конечной точки службы виртуальной сети позволяют фильтровать трафик виртуальной сети к службам Azure. Такой фильтр разрешает использовать через конечные точки службы только определенные ресурсы службы Azure. Политики конечных точек служб предоставляют возможность детального контроля доступа трафика из виртуальной сети к службам Azure. Дополнительные сведения см. в статье Политики конечных точек службы для виртуальной сети.
Вопросы и ответы
Часто задаваемые вопросы о конечной точке службы для виртуальной сети см. здесь.