Sanal Ağ hizmet uç noktaları

Sanal Ağ hizmet uç noktası, Azure omurga ağı üzerinden iyileştirilmiş bir yol üzerinden Azure hizmetlerine güvenli ve doğrudan bağlantı sağlar. Uç noktalar, kritik Azure hizmet kaynaklarınızı yalnızca sanal ağlarınıza güvence altına almanızı sağlar. Hizmet Uç Noktaları, sanal ağdaki özel IP adreslerinin sanal ağda genel IP adresine gerek kalmadan azure hizmetinin uç noktasına ulaşmasını sağlar.

Note

Microsoft, Azure platformunda barındırılan hizmetlere güvenli ve özel erişim için Azure Private Link ve özel uç noktaların kullanımını önermektedir. Azure Özel Bağlantı, Azure Depolama veya Azure SQL gibi Azure hizmetleri için seçtiğiniz bir sanal ağa bir ağ arabirimi dağıtır. Daha fazla bilgi için Azure Private Link ve Özel bir uç nokta nedir? bölümüne bakın.

Aşağıdaki Azure hizmetleri ve bölgeleri için hizmet uç noktaları mevcuttur. Microsoft.* kaynağı parantez içinde. Servis uç noktalarını hizmetiniz için yapılandırırken bu kaynağı alt ağ tarafından etkinleştirin.

Genel olarak mevcut

• Azure Storage (Microsoft.Storage): Azure’ın tüm bölgelerinde genel olarak kullanıma sunulmuştur.

• Azure Depolama çapraz bölge hizmet uç noktaları (Microsoft.Storage.Global): Tüm Azure bölgelerinde genel olarak kullanıma sunulmuştur.

• Azure SQL Veritabanı (Microsoft.Sql): Genellikle tüm Azure bölgelerinde kullanılabilir.

• Azure Synapse Analytics (Microsoft.Sql): Özel SQL havuzları (eskiden SQL DW olarak biliniyordu) için tüm Azure bölgelerinde genel kullanıma sunuldu.

• Azure Database for MariaDB (Microsoft.Sql): Veritabanı hizmetinin mevcut olduğu Azure bölgelerinde genel erişime açıktır.

• Azure Cosmos DB (Microsoft.AzureCosmosDB): Tüm Azure bölgelerinde genel olarak kullanılabilir.

• Azure Key Vault (Microsoft.KeyVault): Azure'ın tüm bölgelerinde genel kullanıma sunulmuştur.

• Azure Service Bus (Microsoft.ServiceBus): Azure'un tüm bölgelerinde genel kullanıma açıktır.

• Azure Event Hubs (Microsoft.EventHub): Tüm Azure bölgelerinde genel olarak kullanılabilir durumda.

• Azure App Service (Microsoft.Web): App hizmetinin mevcut olduğu tüm Azure bölgelerinde genel kullanıma sunulmuştur.

• Azure Cognitive Services (Microsoft.CognitiveServices): Azure AI hizmetlerinin mevcut olduğu tüm Azure bölgelerinde genel olarak kullanılabilir durumda.

Genel Önizleme

• Azure Container Registry (Microsoft.ContainerRegistry): Önizleme, Azure Container Registry'nin mevcut olduğu sınırlı Azure bölgelerinde kullanılabilir.

En güncel bildirimler için Azure Virtual Network güncellemeleri sayfasını kontrol edin.

Ana faydalar

Servis uç noktaları aşağıdaki avantajları sağlar:

• Azure hizmet kaynaklarınız için geliştirilmiş güvenlik: Sanal ağ özel adres alanları çakışabilir. Sanal ağınızdan kaynaklanan trafiği benzersiz olarak tanımlamak için çakışan alanları kullanamazsınız. Hizmet uç noktaları, sanal ağ kimliğini hizmete genişleterek Azure hizmet kaynaklarının sanal ağınıza güvenli hale getirilmesini sağlar. Sanal ağınızda hizmet uç noktalarını etkinleştirdikten sonra, Azure hizmet kaynaklarını sanal ağınıza güvence altına almak için bir sanal ağ kuralı ekleyebilirsiniz. Kural eklemesi, kaynaklara halka açık internet erişimini tamamen kaldırarak ve yalnızca sanal ağınızdan gelen trafiğe izin vererek güvenliği artırır.

• Sanal ağınızdan gelen Azure hizmet trafiği için optimal yönlendirme: Bugün, sanal ağınızdaki internet trafiğini şirket içi ve/veya sanal cihazlara yönlendiren herhangi bir güzergah, Azure hizmet trafiğini de internet trafiği ile aynı güzergaha zorlar. Hizmet uç noktaları, Azure trafiği için en uygun yönlendirmeyi sağlar.

  Uç noktalar, hizmet trafiğini her zaman sanal ağınızdan doğrudan Microsoft Azure omurga ağı üzerindeki hizmete yönlendirir. Trafiği Azure omurga ağı üzerinde tutmak, zorunlu tünelleme aracılığıyla sanal ağlarınızdan çıkan İnternet trafiğini denetlemeye ve izlemeye devam etmenizi sağlar, bu da servis trafiğini etkilemeden gerçekleşir. Kullanıcı tanımlı yollar ve zorunlu tünelleme hakkında daha fazla bilgi için Azure sanal ağ trafiği yönlendirme sayfasına bakın.

• Kurulumu basit ve daha az yönetim yükü: IP güvenlik duvarı aracılığıyla Azure kaynaklarını güvence altına almak için sanal ağlarınızda ayrılmış, genel IP adreslerine artık ihtiyacınız yok. Hizmet uç noktalarını ayarlamak için Ağ Adresi Çevirisi (NAT) veya ağ geçidi cihazları gerekmez. Alt ağdaki bir seçimle hizmet uç noktalarını yapılandırabilirsiniz. Uç noktaların bakımında ek bir yük yoktur.

Sınırlamalar

• Özellik, yalnızca Azure Kaynak Yöneticisi dağıtım modeli aracılığıyla dağıtılan sanal ağlar için kullanılabilir.

• Azure sanal ağlarında yapılandırılmış alt ağlarda uç noktalar etkinleştirilir. Uç noktalar, şirket içi hizmetlerinizden Azure hizmetlerine gelen trafik için kullanılamaz. Daha fazla bilgi için bkz. Secure Azure service access from on-premises

• Azure SQL için, bir hizmet uç noktası yalnızca bir sanal ağın bölgesindeki Azure hizmet trafiği için geçerlidir.

• Azure Data Lake Storage (ADLS) 1. Nesil için sanal ağ Tümleştirme özelliği yalnızca aynı bölgedeki sanal ağlar için kullanılabilir. ADLS 1. Nesil için sanal ağ tümleştirmesi, erişim belirtecinde ek güvenlik talepleri oluşturmak için sanal ağınızla Microsoft Entra Id arasındaki sanal ağ hizmet uç noktası güvenliğini kullanır. Bu iddialar daha sonra sanal ağınızın Data Lake Storage Gen1 hesabınıza kimlik doğrulamasını sağlamak ve erişim izni vermek için kullanılır. Microsoft.AzureActiveDirectory etiketi, hizmet uç noktalarını destekleyen hizmetler altında listelenir ve yalnızca ADLS Gen 1 hizmet uç noktalarının desteklenmesi için kullanılır. Microsoft Entra ID, servis uç noktalarını yerel olarak desteklemez. Azure Data Lake Store 1. Nesil sanal ağ tümleştirmesi hakkında daha fazla bilgi için bkz. Azure Data Lake Storage 1. Nesil'de ağ güvenliği.

• Bir sanal ağ, yapılandırılmış etkin sanal ağ kurallarıyla desteklenen her hizmet tarafından en fazla 200 farklı abonelik ve bölgeyle ilişkilendirilebilir.

Azure hizmetlerini sanal ağlara güvenli bir şekilde bağla.

• Sanal ağ hizmet bitiş noktası, sanal ağınızın Azure hizmetine kimliğini sağlar. Sanal ağınızda hizmet uç noktalarını etkinleştirdikten sonra, Azure hizmet kaynaklarını sanal ağınıza güvence altına almak için bir sanal ağ kuralı ekleyebilirsiniz.

• Bugün, bir sanal ağdan Azure hizmet trafiği, kaynak IP adresleri olarak genel IP adreslerini kullanıyor. Hizmet uç noktaları ile, bir sanal ağdan Azure hizmetine erişirken, hizmet trafiği sanal ağın özel adreslerini kaynak IP adresleri olarak kullanmak üzere değişir. Bu anahtar, IP güvenlik duvarlarında kullanılan, rezerve edilmiş, genel IP adreslerine ihtiyaç duymadan hizmetlere erişmenizi sağlar.

  Note

  Hizmet uç noktaları ile, hizmet trafiği için alt ağdaki sanal makinelerin kaynak IP adresleri, genel IPv4 adresler yerine özel IPv4 adresler kullanmaya geçer. Azure genel IP adreslerini kullanan mevcut Azure hizmet güvenlik duvarı kuralları bu anahtarla artık çalışmaz. Hizmet uç noktalarını yapılandırmadan önce Azure hizmet güvenlik duvarı kurallarının bu değişikliğe izin verdiğini garanti edin. Ayrıca hizmet uç noktalarını yapılandırırken bu alt ağdan gelen hizmet trafiğinde geçici bir kesintiyle karşılaşabilirsiniz.

Şirket içi ortamlardan Azure hizmet erişimini güvenceye alın.

Varsayılan olarak, sanal ağlara güvenli hale getirilmiş Azure hizmet kaynaklarına, yerel ağlardan erişilemez. Yerel ağdan gelen trafiğe izin vermek istiyorsanız, yerel ağınızdan veya ExpressRoute’dan gelen genel (genellikle NAT) IP adreslerine de izin vermeniz gerekmektedir. Bu IP adreslerini Azure hizmet kaynakları için IP güvenlik duvarı yapılandırması aracılığıyla ekleyebilirsiniz.

ExpressRoute: Şirket içinden Microsoft eşlemesi için ExpressRoute kullanıyorsanız, kullandığınız NAT IP adreslerini belirleyin. NAT IP adresleri ya müşteri tarafından sağlanır ya da hizmet sağlayıcısı tarafından sağlanır. Hizmet kaynaklarınıza erişim sağlamak için kaynak IP güvenlik duvarı ayarlarında bu genel IP adreslerine izin vermelisiniz. Daha fazla bilgi için ExpressRoute Microsoft eşlemeye yönelik NAT gereksinimlerini ExpressRoute NAT gereksinimleri bölümünde inceleyin.

Yapılandırma

• Sanal bir ağdaki bir alt ağda hizmet uç noktalarını yapılandırın. Uç noktaları, o alt ağda çalışan her tür hesaplama örneğiyle çalışır.

• Azure hizmetleri desteklenen tüm hizmet uç noktaları (örneğin, Azure Storage veya Azure SQL Veritabanı) bir alt ağı üzerinde yapılandırabilirsiniz.

• Azure SQL Veritabanı için, sanal ağlar Azure hizmet kaynağı ile aynı bölgede olmalıdır. Diğer tüm hizmetler için, Azure servis kaynaklarını herhangi bir bölgedeki sanal ağlara güvenle entegre edebilirsiniz.

• Uç noktanın yapılandırıldığı sanal ağ, Azure hizmet kaynağı ile aynı veya farklı abonelikte olabilir. Azure hizmetlerini güvence altına almak ve uç noktaları yapılandırmak için gerekli izinler hakkında daha fazla bilgi için bkz. Provisioning.

• Desteklenen hizmetler için, servis uç noktalarını kullanarak yeni veya mevcut kaynakları sanal ağlara güvenli hale getirebilirsiniz.

Hususlar

• Hizmet uç noktası dağıtımından sonra kaynak IP adresleri, hizmetle bu alt ağdan iletişim kurarken genel IPv4 adreslerini kullanmaktan özel IPv4 adreslerini kullanmaya geçer. Bu geçiş sırasında hizmete yönelik mevcut açık TCP bağlantıları kapatılır. Hizmet için bir alt ağa hizmet uç noktası etkinleştirildiğinde veya devre dışı bırakıldığında kritik görevlerin çalışmadığından emin olun. Ayrıca, IP adresi değişikliğinden sonra uygulamalarınızın Azure hizmetlerine otomatik olarak bağlanabildiğinden emin olun.

  IP adres değişikliği, yalnızca sanal ağınızdaki hizmet trafiğini etkiler. Sanal makinelerinize atanan genel IPv4 adreslerine veya bu adreslerden gelen diğer trafiğin hiçbir etkisi yoktur. Azure hizmetleri için, mevcut güvenlik duvarı kurallarınız Azure genel IP adreslerini kullanıyorsa, sanal ağ özel adreslere geçişle birlikte bu kurallar çalışmayı durdurur.

• Hizmet uç noktalarıyla, Azure hizmetleri için DNS girişleri bugün olduğu gibi kalır ve Azure hizmetine atanan genel IP adreslerine çözülmeye devam eder.

• Ağ güvenlik grupları (NSG'ler) ile hizmet uç noktaları:

  • Varsayılan olarak, NSG'ler giden İnternet trafiğine izin verir ve sanal ağınızdan Azure hizmetlerine giden trafiğe de izin verir. Bu trafik olduğu gibi hizmet uç noktalarıyla çalışmaya devam ediyor.

  • Tüm giden internet trafiğini engellemek ve yalnızca belirli Azure hizmetlerine trafiğe izin vermek istiyorsanız, NSG'lerinizde hizmet etiketleri kullanarak bunu yapabilirsiniz. NSG kurallarınızda desteklenen Azure hizmetlerini varış noktası olarak belirtebilirsiniz ve Azure ayrıca her etiketin altında yatan IP adreslerinin bakımını sağlar. Daha fazla bilgi için NSG'ler için Azure Hizmet etiketleri bölümüne bakın.

Scenarios

• Eşlenmiş, bağlı veya birden çok sanal ağ: Azure hizmetlerini bir sanal ağ içindeki veya birden çok sanal ağdaki birden çok alt ağa güvenli hale getirmek için, alt ağların her birinde hizmet uç noktalarını bağımsız olarak etkinleştirin. Bu yordam, Azure hizmet kaynaklarının tüm alt ağlara güvenliğini sağlar.

• Sanal ağdan Azure hizmetlerine giden trafiği filtreleme: Sanal ağdan bir Azure hizmetine gönderilen trafiği incelemek veya filtrelemek istiyorsanız, sanal ağ içinde bir ağ sanal araç gereci dağıtabilirsiniz. Daha sonra ağ sanal uygulamasının dağıtıldığı alt ağa hizmet uç noktalarını uygulayabilir ve Azure hizmet kaynaklarını yalnızca bu alt ağa güvenli hale getirebilirsiniz. Bu senaryo, sanal ağınızdan yalnızca belirli Azure kaynaklarına erişimi kısıtlamak için ağ sanal aygıt filtresini kullanmak isterseniz yardımcı olabilir. Daha fazla bilgi için, ağ sanal cihazları ile çıkış konusuna bakın.

• Sanal ağlara doğrudan dağıtılan hizmetlere Azure kaynaklarını güvence altına alma: Sanal bir ağın belirli alt ağlarına doğrudan çeşitli Azure hizmetleri dağıtabilirsiniz. Azure hizmet kaynaklarını yönetilen hizmet alt ağlarına bir hizmet uç noktası ayarlayarak güvence altına alabilirsiniz.

• Azure sanal makinesinden gelen disk trafiği: Azure Depolama için hizmet uç noktaları yönlendirme değişiklikleri yönetilen ve yönetilmeyen diskler için sanal makine disk trafiğini etkilemez. Bu trafik disk giriş/çıkış ve bağlama ile çıkarma işlemlerini içerir. Sayfa bloblarına REST erişimini belirli ağlarla kısıtlamak için hizmet uç noktalarını ve Azure Depolama ağ kurallarını kullanabilirsiniz.

Günlük Kaydı ve Sorun Giderme

Belirli bir hizmet için hizmet uç noktaları yapılandırdıktan sonra, hizmet uç nokta güzergahının etkili olduğunu doğrulamak için:

• Herhangi bir hizmet isteğinin kaynak IP adresini hizmet teşhislerinde doğrulamak. Hizmet uç noktalarına sahip tüm yeni istekler, istekte bulunan kaynağın IP adresini, sanal ağınızdaki isteği yapan müşteriye atanan sanal ağ özel IP adresi olarak gösterir. Uç nokta olmadan, adres bir Azure genel IP adresidir.

• Herhangi bir alt ağdaki ağ arabirimi üzerinde etkin rotaları görüntüleme. Hizmete giden rota:

  • Her hizmetin adres öneki aralıklarına daha spesifik bir varsayılan rota gösterir.

  • VirtualNetworkServiceEndpoint türünde bir nextHopType'a sahiptir

  • Servise daha doğrudan bir bağlantının, zorunlu tünelleme yollarına kıyasla daha etkili olduğu belirtilir.

Note

Hizmet uç noktası yolları, bir Azure hizmetinin adres ön eki eşleşmesi için herhangi bir BGP veya kullanıcı tanımlı rotayı (UDR) geçersiz kılar. Daha fazla bilgi için etkin yollarla sorun giderme kısmına bakın.

Sağlama

Sanal ağa yazma erişimi olan kullanıcılar, sanal ağlarda hizmet uç noktalarını bağımsız olarak yapılandırabilir. Azure hizmet kaynaklarının bir sanal ağa güvenliğini sağlamak için, kullanıcıların eklenen alt ağlar için Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action iznine sahip olması gerekir. Yerleşik hizmet yöneticisi rolleri varsayılan olarak bu izni içerir, ancak özel roller oluşturarak değiştirebilirsiniz.

Daha fazla bilgi için Azure yerleşik rollerine bakın. Daha fazla bilgi için özel rollere belirli izinlerin atanması hakkında Azure özel roller sayfasına bakın.

Sanal ağlar ve Azure hizmet kaynakları aynı veya farklı aboneliklerde olabilir. Azure Depolama ve Azure Key Vault gibi bazı Azure Hizmetleri (tümü değil) farklı Microsoft Entra Id kiracılarında hizmet uç noktalarını da destekler. Sanal ağ ve Azure hizmet kaynağı farklı Microsoft Entra Id kiracılarında olabilir. Daha fazla ayrıntı için her bir hizmetin belgelerine bakın.

Fiyatlandırma ve sınırlar

Hizmet uç noktalarını kullanmak için ekstra ücret alınmaz. Azure hizmetleri (Azure Storage, Azure SQL Database, vb.) için geçerli olan mevcut fiyatlandırma modeli, bugünkü haliyle aynen uygulanmaktadır.

Sanal bir ağda hizmet uç noktalarının toplam sayısında bir sınır yoktur.

Azure Depolama Hesapları gibi bazı Azure hizmetleri, kaynağın güvenliğini sağlamak için kullanılan alt ağ sayısı için sınırlar uygulayabilir. Detaylar için Sonraki adımlar bölümünde çeşitli hizmetler için belgelere bakın.

Sanal ağ hizmet uç noktası ilkeleri

Sanal ağ hizmet uç noktası ilkeleri, Azure hizmetlerine yönelik sanal ağ trafiğini filtrelemenize olanak tanır. Bu filtre, yalnızca belirli Azure hizmet kaynaklarının servis uç noktalarından geçmesine izin verir. Hizmet uç nokta politikaları, Azure hizmetlerine yönelik sanal ağ trafiği için ince ayarlı erişim kontrolü sağlar. Daha fazla bilgi için, bkz. Sanal Ağ Hizmet Uç Noktası Politikaları.

Sık Sorulan Sorular

Sıkça Sorulan Sorular için, bakınız Virtual Network Service Endpoint FAQs.

Sonraki adımlar

• Sanal ağ hizmet uç noktalarını yapılandırın

• Bir Azure Depolama hesabını sanal bir ağa güvenli hale getirin

• Azure SQL Veritabanı'nın güvenliğini sanal ağ ile sağlama

• Azure Synapse Analytics'i bir sanal ağa güvenli şekilde bağlayın

• Özel Uç Noktaları ve Hizmet Uç Noktalarını Karşılaştır

• Sanal Ağ Hizmet Uç Noktası İlkeleri

• Azure Resource Manager şablonu