Perguntas frequentes sobre o link privado do Azure

• Ponto de Extremidade Privado do Azure : um Ponto de Extremidade Privado do Azure é um adaptador de rede que conecta você de maneira privada e segura a um serviço com tecnologia do Link Privado do Azure. Você pode usar Pontos de Extremidade Privados para se conectar a um serviço de PaaS do Azure que dá suporte ao link privado ou ao seu próprio Serviço de Link Privado.
• Serviço de Link Privado do Azure : o Serviço de Link Privado do Azure é um serviço criado por um provedor de serviços. Atualmente, um Serviço de Link Privado pode ser anexado à configuração de IP de front-end de um Standard Load Balancer.

O tráfego é enviado de forma privada usando o backbone da Microsoft. Ele não atravessa a Internet. O Link Privado do Azure não armazena dados do cliente.

• Pontos de Extremidade Privados concedem acesso à rede para recursos específicos por trás de um determinado serviço, fornecendo segmentação granular. O tráfego pode acessar o recurso de serviço no local sem usar pontos de extremidade públicos.
• Um Ponto de Extremidade de Serviço permanece um endereço de IP roteável publicamente. Um Ponto de Extremidade Privado é um IP privado no espaço de endereço da rede virtual em que o ponto de extremidade privado está configurado.

Vários tipos de recursos de link privado dão suporte ao acesso por meio do Pontos de Extremidade Privados. Os recursos incluem os serviços de PaaS do Azure e seu próprio Serviço de Link Privado. É uma relação um para muitos.

Um serviço de Link Privado recebe conexões de vários Pontos de Extremidade Privados. Um ponto de extremidade privado se conecta a um Serviço de Link Privado.

Yes. O Serviço de Link Privado precisa desabilitar as políticas de rede para funcionar corretamente.

Yes. Para utilizar políticas como Rotas Definidas pelo Usuário e Grupos de Segurança de Rede, você precisa habilitar as políticas de rede de uma sub-rede em uma rede virtual do Ponto de Extremidade Privado. Essa configuração afeta todos os pontos de extremidade privados na sub-rede.

Há duas etapas a seguir para proteger um recurso do serviço do Azure por meio dos pontos de extremidade de serviço:

1. Ativar os pontos de extremidade de serviço para o serviço do Azure.
2. Configure listas de controle de acesso à rede virtual (ACLs) no serviço do Azure.

A primeira etapa é uma operação do lado da rede e a segunda etapa é uma operação do lado do recurso de serviço. O mesmo administrador ou administradores diferentes podem executar as etapas, com base nas permissões de controle de acesso baseado em função (RBAC) do Azure concedidas à função de administrador.

Recomendamos que você ative os pontos de extremidade de serviço para sua rede virtual antes de configurar as ACLs da rede virtual no lado do serviço do Azure. Para configurar os ponto de extremidade de serviço de rede virtual, você deve executar as etapas na sequência anterior.

Certos serviços (como o SQL do Azure e o Azure Cosmos DB) permitem exceções à sequência anterior através do indicador IgnoreMissingVnetServiceEndpoint. Após definir o sinalizador como True, você pode configurar ACLs de rede virtual no lado do serviço do Azure antes de ativar os pontos de extremidade de serviço no lado da rede. Os serviços do Azure fornecem esse sinalizador para ajudar os clientes nos casos em que os firewalls de IP específicos estão configurados nos serviços do Azure.

A ativação dos pontos de extremidade de serviço no lado da rede pode resultar em uma queda de conectividade, pois o IP de origem é alterado de um endereço IPv4 público para um endereço privado. Configurar ACLs de rede virtual no lado do serviço do Azure antes de ativar os pontos de extremidade de serviço no lado da rede pode ajudar a evitar uma queda de conectividade.

Nem todos os serviços do Azure residem na rede virtual do cliente. A maioria dos serviços de dados do Azure (como o Armazenamento do Microsoft Azure, o SQL do Azure e o Azure Cosmos DB) são serviços multilocatários que podem ser acessados por endereços IP públicos. Para obter mais informações, consulte Implantar serviços dedicados do Azure em redes virtuais.

Quando você ativa os ponto de extremidade de serviço de rede virtual no lado da rede e configura as ACLs de rede virtual apropriadas no lado do serviço do Azure, o acesso a um serviço do Azure é restrito a uma rede e sub-rede virtual permitida.

Os ponto de extremidade de serviço de rede virtual limitam o acesso do serviço do Azure à rede virtual e à sub-rede permitidas. Dessa forma, eles fornecem segurança em nível de rede e isolamento do tráfego do serviço do Azure.

Todo o tráfego que utiliza pontos de extremidade de serviço de rede virtual flui pelo backbone da Microsoft para fornecer outra camada de isolamento da Internet pública. Os clientes também podem optar por remover totalmente o acesso público à Internet aos recursos do serviço do Azure e permitir o tráfego somente da sua rede virtual por meio de uma combinação de firewall de IP e ACLs de rede virtual. A remoção do acesso à Internet ajuda a proteger os recursos do serviço do Azure contra o acesso não autorizado.

Os ponto de extremidade de serviço de rede virtual ajudam a proteger os recursos do serviço do Azure. Os recursos da rede virtual são protegidos por meio de grupos de recursos de segurança de rede.

No. Não existe custo adicional para utilizar os ponto de extremidade de serviço de rede virtual.

Sim, é possível. As redes virtuais e os recursos de serviço do Azure podem estar na mesma assinatura ou em assinaturas diferentes. O único requisito é que tanto a rede virtual quanto os recursos de serviço do Azure estejam sob o mesmo locatário do Microsoft Entra.

Sim, isso é possível quando você está utilizando pontos de extremidade de serviço para o Armazenamento do Microsoft Azure e o Azure Key Vault. Para outros serviços, não há suporte para pontos de extremidade de serviço de rede virtual e ACLs de rede virtual entre os locatários do Microsoft Entra.

Por padrão, os recursos do serviço do Azure garantidos para redes virtuais não podem ser acessados nas redes locais. Se você deseja permitir o tráfego do local, também deve permitir endereços IP públicos (normalmente, NAT) do local ou do ExpressRoute. Você pode adicionar esses endereços IP por meio da configuração do firewall do Azure para os recursos de serviço do Azure.

Alternatively, you can implement private endpoints for supported services.

Para proteger os serviços do Azure em várias sub-redes em uma rede virtual ou em várias redes virtuais, habilite os pontos de extremidade de serviço no lado da rede em cada uma das sub-redes de forma independente. Em seguida, proteja os recursos de serviço do Azure em todas as sub-redes, configurando as ACLs de rede virtual apropriadas no lado do serviço do Azure.

Se deseja verificar ou filtrar o tráfego destinado a um serviço do Azure por meio de uma rede virtual, implante um dispositivo de rede virtual na rede virtual. Em seguida, você pode aplicar os pontos de extremidade de serviço à sub-rede em que o dispositivo virtual de rede está implantado e proteger os recursos de serviço do Azure somente para essa sub-rede por meio de ACLs de rede virtual.

Esse cenário também pode ser útil se você desejar restringir o acesso ao serviço do Azure da sua rede virtual apenas a recursos específicos do Azure utilizando a filtragem de dispositivos virtuais de rede. Para obter mais informações, confira Implantar NVAs altamente disponíveis.

O serviço retorna um erro HTTP 403 ou HTTP 404.

Yes. Para a maioria dos serviços do Azure, as redes virtuais criadas em diferentes regiões podem acessar os serviços do Azure em outra região por meio dos ponto de extremidade de serviço de rede virtual. Por exemplo, se uma conta do Azure Cosmos DB estiver na Oeste dos EUA ou Leste dos EUA e as redes virtuais estiverem em várias regiões, as redes virtuais poderão acessar o Azure Cosmos DB.

O SQL do Azure é uma exceção e é de natureza regional. Tanto a rede virtual quanto o serviço do Azure precisam estar na mesma região.

Yes. Uma ACL de rede virtual e um firewall IP podem coexistir. Os recursos se complementam para ajudar a garantir o isolamento e a segurança.

A exclusão de redes virtuais e sub-redes são operações independentes. Eles têm suporte mesmo quando você ativa os pontos de extremidade de serviço para os serviços do Azure.

Se você configurar ACLs de rede virtual para os serviços do Azure, as informações da ACL associadas a esses serviços do Azure serão desabilitadas quando você excluir uma rede ou sub-rede virtual que tenha pontos de extremidade de serviço de rede virtual ativados.

A exclusão de uma conta de serviço do Azure é uma operação independente. Ele é tem suporte mesmo que você tenha ativado o ponto de extremidade de serviço no lado da rede e configurado ACLs de rede virtual no lado do serviço do Azure.

Quando você ativa os pontos de extremidade de serviço de rede virtual, os endereços IP de origem dos recursos na sub-rede da sua rede virtual alternam do uso de endereços IPv4 públicos para o uso dos endereços IP privados da rede virtual do Azure para o tráfego para os serviços do Azure. Essa alternância pode fazer com que os firewalls de IP específicos que estão definidos como um endereço IPv4 público anteriormente nos serviços do Azure falhem.

Os pontos de extremidade de serviço adicionam uma rota do sistema que tem precedência sobre as rotas do BGP (Border Gateway Protocol) e fornece um roteamento ideal para o tráfego do ponto de extremidade de serviço. Os pontos de extremidade sempre usam o tráfego do serviço diretamente da sua rede virtual para o serviço na rede de backbone do Microsoft Azure.

Para obter mais informações sobre como o Azure seleciona uma rota, consulte o roteamento de tráfego de rede virtual.

No. O tráfego ICMP proveniente de uma sub-rede com pontos de extremidade de serviço habilitados não seguirá o caminho do túnel de serviço até o ponto de extremidade desejado. Os pontos de extremidade de serviço tratam apenas do tráfego TCP. Se você deseja testar a latência ou a conectividade com um ponto de extremidade por meio de pontos de extremidade de serviço, ferramentas como ping e tracert não mostrarão o verdadeiro caminho que os recursos dentro da sub-rede tomarão.

Para alcançar o serviço do Azure, os NSGs precisam permitir a conectividade de saída. Se seus NSGs estiverem abertos para todo o tráfego de saída da Internet, o tráfego do ponto de extremidade de serviço deverá funcionar. Você também pode limitar o tráfego de saída a apenas endereços IP de serviço utilizando as marcas de serviço.

Você pode configurar pontos de extremidade de serviço em uma rede virtual independentemente se você tiver acesso de gravação a essa rede.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Por padrão, essa permissão é incluída na função de administrador de serviços internos e pode ser modificada por meio da criação de funções personalizadas.

Para obter mais informações sobre funções internas e atribuir permissões específicas a funções personalizadas, consulte as funções personalizadas do Azure.

Você pode utilizar políticas de ponto de extremidade de serviço de rede virtual para filtrar o tráfego de rede virtual para os serviços do Azure, permitindo apenas os recursos específicos do serviço do Azure nos pontos de extremidade de serviço. As políticas de ponto de extremidade de serviço fornecem controle de acesso granular para tráfego de rede virtual para serviços do Azure.

Para obter mais informações, confira Ponto de extremidade de serviço de rede virtual para o Armazenamento do Microsoft Azure.

O Microsoft Entra ID não dá suporte nativo a pontos de extremidade de serviço. Para obter uma lista completa dos serviços do Azure que dão suporte a pontos de extremidade de serviço de rede virtual, consulte pontos de extremidade de serviço de rede virtual.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. A integração de rede virtual para o Data Lake Storage Gen1 usa a segurança do ponto de extremidade do serviço de rede virtual entre sua rede virtual e o Microsoft Entra ID para gerar declarações de segurança adicionais no token de acesso. Essas declarações, em seguida, são usadas para autenticar sua rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso.

Não há limite para o número total de pontos de extremidade de serviço em uma rede virtual. Para um recurso de serviço do Azure (como uma conta de Armazenamento do Microsoft Azure), os serviços podem impor limites ao número de sub-redes que você deve usar para proteger o recurso. A tabela a seguir mostra limites de exemplo:

Para alcançar o serviço do Azure, os NSGs precisam permitir a conectividade de saída. Se seus NSGs estiverem abertos para todo o tráfego de saída da Internet, o tráfego do ponto de extremidade de serviço deverá funcionar. Você também pode limitar o tráfego de saída a apenas endereços IP de serviço utilizando as marcas de serviço.

Você pode configurar pontos de extremidade de serviço em uma rede virtual independentemente se você tiver acesso de gravação a essa rede.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Por padrão, essa permissão é incluída na função de administrador de serviços internos e pode ser modificada por meio da criação de funções personalizadas.

Para obter mais informações sobre funções internas e atribuir permissões específicas a funções personalizadas, consulte as funções personalizadas do Azure.

Você pode utilizar políticas de ponto de extremidade de serviço de rede virtual para filtrar o tráfego de rede virtual para os serviços do Azure, permitindo apenas os recursos específicos do serviço do Azure nos pontos de extremidade de serviço. As políticas de ponto de extremidade de serviço fornecem controle de acesso granular para tráfego de rede virtual para serviços do Azure.

Para obter mais informações, confira Ponto de extremidade de serviço de rede virtual para o Armazenamento do Microsoft Azure.

O Microsoft Entra ID não dá suporte nativo a pontos de extremidade de serviço. Para obter uma lista completa dos serviços do Azure que dão suporte a pontos de extremidade de serviço de rede virtual, consulte pontos de extremidade de serviço de rede virtual.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. A integração de rede virtual para o Data Lake Storage Gen1 usa a segurança do ponto de extremidade do serviço de rede virtual entre sua rede virtual e o Microsoft Entra ID para gerar declarações de segurança adicionais no token de acesso. Essas declarações, em seguida, são usadas para autenticar sua rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso.

Não há limite para o número total de pontos de extremidade de serviço em uma rede virtual. Para um recurso de serviço do Azure (como uma conta de Armazenamento do Microsoft Azure), os serviços podem impor limites ao número de sub-redes que você deve usar para proteger o recurso. A tabela a seguir mostra limites de exemplo:

Yes. Você pode ter vários pontos de extremidade privados na mesma rede virtual ou sub-rede. Eles podem se conectar a diferentes serviços.

Não há suporte para a criação de várias zonas com o mesmo nome para uma única rede virtual.

No. Você não precisa de uma sub-rede dedicada para Pontos de Extremidade Privados. Você pode escolher um IP de ponto de extremidade privado de qualquer sub-rede da rede virtual na qual seu serviço está implantado.

Yes. Os pontos de extremidade privados podem se conectar aos serviços de Link Privado ou a um PaaS do Azure entre os locatários do Microsoft Entra. Pontos de Extremidade Privados entre locatários exigem uma aprovação de solicitação manual.

Yes. Pontos de Extremidade Privado podem se conectar aos recursos de PaaS do Azure nas regiões do Azure.

Quando um ponto de extremidade privado é criado, uma NIC somente leitura é atribuída. A NIC não pode ser modificada e permanecerá durante o ciclo de vida do ponto de extremidade privado.

Pontos de Extremidade Privados são recursos altamente disponíveis com SLA de acordo com o SLA para o Link Privado do Azure. No entanto, como são recursos regionais, qualquer interrupção de região do Azure pode afetar a disponibilidade. Para obter disponibilidade se houver falhas regionais, várias PEs conectadas ao mesmo recurso de destino podem ser implantadas em regiões diferentes. Dessa forma, se uma região ficar inativa, você ainda poderá rotear o tráfego para seus cenários de recuperação por meio do PE em uma região diferente para acessar o recurso de destino. Para obter informações sobre como as falhas regionais são tratadas no lado do serviço de destino, consulte a documentação do serviço em failover e recuperação. O tráfego de Link Privado segue a resolução de DNS do Azure para o ponto de extremidade de destino.

Pontos de Extremidade Privados são recursos altamente disponíveis com SLA de acordo com o SLA para o Link Privado do Azure. Os Pontos de Extremidade Privados são independentes de zona: uma falha de zona de disponibilidade na região do Ponto de Extremidade Privado não afetará a disponibilidade do Ponto de Extremidade Privado.

O tráfego TCP e UDP só é compatível com um ponto de extremidade privado. Para mais informações, confira Limitações do Link Privado.

Os back-ends de seu serviço devem estar em uma rede virtual e por trás de um Standard Load Balancer.

Você pode dimensionar seu Serviço de Link Privado de algumas maneiras diferentes:

• Adicionar VMs de back-end ao pool por trás de seu Standard Load Balancer
• Adicione um IP ao Serviço de Link Privado. Permitimos até oito IPs por Serviço de Link Privado.
• Adicione um novo Serviço de Link Privado ao Standard Load Balancer. Permitimos até oito Serviços de Link Privado por Standard Load Balancer.

• A configuração de IP da NAT garante que o espaço de endereço de origem (consumidor) e destino (provedor de serviços) não tenha conflitos de IP. A configuração fornece NAT de origem para o tráfego de link privado para o destino. O endereço IP de NAT aparece como IP de origem para todos os pacotes recebidos pelo seu serviço e IP de destino para todos os pacotes enviados pelo seu serviço. O IP de NAT pode ser escolhido de qualquer sub-rede na Rede Virtual do provedor de serviços.
• Cada IP de NAT fornece conexões TCP de 64K (portas de 64K) por VM por trás do Standard Load Balancer. Para dimensionar e adicionar mais conexões, você pode adicionar novos IPs de NAT ou adicionar mais VMs por trás do Standard Load Balancer. Isso dimensiona a disponibilidade da porta e permite mais conexões. As conexões são distribuídas entre IPs de NAT e VMs por trás do Standard Load Balancer.

Yes. Um Serviço de Link Privado pode receber conexões de vários Pontos de Extremidade Privados. No entanto, um Ponto de Extremidade Privado só pode se conectar a um Serviço de Link Privado.

Você pode controlar a exposição usando a configuração de visibilidade no serviço de Link Privado. A visibilidade dá suporte a três configurações:

• None - Only subscriptions with role based access can locate the service.
• Restrictive - Only subscriptions that are approved and with role based access can locate the service.
• All - Everyone can locate the service.

No. Não há suporte para o Serviço de Link Privado em um Load Balancer Básico.

No. Uma sub-rede dedicada não é necessária para o Serviço de Link Privado. Você pode escolher qualquer sub-rede em sua rede virtual onde o serviço está implantado.

No. O Link Privado do Azure fornece essa funcionalidade para você. Não é necessário ter espaço de endereço não sobreposto com o espaço de endereço do cliente.

Next steps

• Saiba mais sobre o Link Privado do Azure