Planejar e implementar pontos de extremidade de serviço de rede virtual
O ponto de extremidade do serviço de Rede Virtual (VNet) oferece conectividade direta e segura aos serviços do Azure em uma rota otimizada pela rede de backbone do Azure. Os pontos de extremidade permitem que você proteja os seus recursos críticos do serviço do Azure apenas para as suas redes virtuais. Os Pontos de Extremidade de Serviço permitem que endereços IP privados na VNet cheguem ao ponto de extremidade de um serviço do Azure sem precisar de um endereço IP público na VNet.
Observação
A Microsoft recomenda o uso do Link Privado do Azure e de pontos de extremidade privados para acesso seguro e privado aos serviços hospedados na plataforma do Azure. O Link Privado do Azure provisiona um adaptador de rede em uma rede virtual de sua escolha para serviços do Azure, como o Armazenamento do Azure ou o SQL do Azure. Para obter mais informações, consulte Link Privado do Azure e o que é um ponto de extremidade privado?.
Os pontos de extremidade de serviço estão disponíveis para os seguintes serviços e regiões do Azure. O recurso da Microsoft está entre parênteses. Habilite esse recurso do lado da sub-rede ao configurar pontos de extremidade de serviço para seu serviço:
Disponível em geral
- Armazenamento do Azure (Microsoft.Storage): geralmente disponível em todas as regiões do Azure.
- Pontos de extremidade de serviço entre regiões do Armazenamento do Microsoft Azure (Microsoft.Storage.Global): Em disponibilidade geral em todas as regiões do Azure.
- Banco de Dados SQL do Azure (Microsoft.Sql): geralmente disponível em todas as regiões do Azure.
- Azure Synapse Analytics (Microsoft.Sql): geralmente disponível em todas as regiões do Azure para pools de SQL dedicados (anteriormente SQL DW).
- Servidor do Banco de Dados do Azure para PostgreSQL (Microsoft.Sql): geralmente disponível em regiões do Azure em que o serviço de banco de dados está disponível.
- Servidor do Banco de Dados do Azure para MySQL (Microsoft.Sql): geralmente disponível em regiões do Azure em que o serviço de banco de dados está disponível.
- Banco de Dados do Azure para MariaDB (Microsoft.Sql): geralmente disponível em regiões do Azure em que o serviço de banco de dados está disponível.
- Azure Cosmos DB (Microsoft.AzureCosmosDB): geralmente disponível em todas as regiões do Azure.
- Azure Key Vault (Microsoft.KeyVault): geralmente disponível em todas as regiões do Azure.
- Barramento de Serviço do Azure (Microsoft.ServiceBus): geralmente disponível em todas as regiões do Azure.
- Hubs de Eventos do Azure (Microsoft.EventHub): geralmente disponíveis em todas as regiões do Azure.
- Serviço de Aplicativo do Azure (Microsoft.Web): geralmente disponível em todas as regiões do Azure em que o serviço de aplicativo está disponível.
- Serviços Cognitivos do Azure (Microsoft.CognitiveServices): geralmente disponível em todas as regiões do Azure em que os serviços de IA do Azure estão disponíveis.
Principais benefícios
Os pontos de extremidade de serviço fornecem os seguintes benefícios:
Segurança aprimorada para seus recursos de serviço do Azure: os espaços de endereço privado da VNet podem se sobrepor. Você não pode usar espaços sobrepostos para identificar exclusivamente o tráfego proveniente da VNet. Os pontos de extremidade de serviço permitem a proteção de recursos de serviço do Azure para sua rede virtual estendendo a identidade da VNet para o serviço. Depois de habilitar pontos de extremidade de serviço em sua rede virtual, você pode adicionar uma regra de rede virtual para proteger os recursos de serviço do Azure à sua rede virtual. A adição da regra proporciona melhor segurança, removendo totalmente o acesso público à Internet dos recursos e permitindo o tráfego somente da rede virtual.
Roteamento ideal do tráfego do serviço do Azure de sua rede virtual:
- Hoje, todas as rotas em sua rede virtual que forcem o tráfego de Internet para seus dispositivos locais e/ou virtuais também forçam o tráfego de serviço do Azure a tomar a mesma rota que o tráfego da Internet. Os pontos de extremidade de serviço fornecem o roteamento ideal para o tráfego do Azure.
Os pontos de extremidade sempre usam o tráfego do serviço diretamente da sua rede virtual para o serviço na rede de backbone do Microsoft Azure. Manter o tráfego na rede do backbone do Azure permite que você continue auditando e monitorando o tráfego da Internet de saída das suas redes virtuais, por meio de túnel forçado, sem afetar o tráfego do serviço. Para obter mais informações, consulte Proteger o acesso ao serviço do Azure no local.
- Hoje, todas as rotas em sua rede virtual que forcem o tráfego de Internet para seus dispositivos locais e/ou virtuais também forçam o tráfego de serviço do Azure a tomar a mesma rota que o tráfego da Internet. Os pontos de extremidade de serviço fornecem o roteamento ideal para o tráfego do Azure.
Simples de configurar com menos sobrecarga de gerenciamento: você não precisa mais de endereços IP públicos reservados em suas redes virtuais para proteger os recursos do Azure por meio do firewall de IP. Não há nenhum NAT (Conversão de Endereços de Rede) ou dispositivos de gateway necessários para configurar os pontos de extremidade de serviço. Você pode configurar pontos de extremidade de serviço por meio de uma única seleção em uma sub-rede. Não há sobrecarga adicional para manter os pontos de extremidade.
Limitações
- O recurso está disponível apenas para redes virtuais implantadas por meio do modelo de implantação do Azure Resource Manager.
- Os pontos de extremidade são habilitados em sub-redes configuradas em redes virtuais do Azure. Os pontos de extremidade não podem ser usados para o tráfego de seus serviços locais para os serviços do Azure. Para obter mais informações, consulte Proteger o acesso ao serviço do Azure no local
- Para o SQL do Azure, um ponto de extremidade de serviço se aplica somente ao tráfego de serviço do Azure dentro da região de uma rede virtual.
- Para o Azure Data Lake Storage (ADLS) Gen1, a funcionalidade de integração de VNet só está disponível para redes virtuais na mesma região. Observe também que a integração de rede virtual para o ADLS Gen1 usa a segurança do ponto de extremidade do serviço de rede virtual entre sua rede virtual e o Microsoft Entra ID para gerar declarações de segurança extras no token de acesso. Essas declarações são usadas para autenticar sua rede virtual em sua conta do Data Lake Storage Gen1 e permitir o acesso. A marca Microsoft.Microsoft Entra ID listada em serviços que dão suporte a pontos de extremidade de serviço é usada apenas para dar suporte a pontos de extremidade de serviço para o ADLS Gen 1. O Microsoft Entra ID não dá suporte a pontos de extremidade de serviço nativamente. Para obter mais informações sobre a integração da VNet do Azure Data Lake Store Gen 1, consulte Segurança de rede no Azure Data Lake Storage Gen1.
- Uma rede virtual pode ser associada a até 200 assinaturas e regiões diferentes por cada serviço com suporte com regras de VNet ativas configuradas.
Proteger serviços do Azure para redes virtuais
- Um ponto de extremidade de serviço de rede virtual fornece a identidade da sua rede virtual para o serviço do Azure. Depois de habilitar pontos de extremidade de serviço em sua rede virtual, você pode adicionar uma regra de rede virtual para proteger os recursos de serviço do Azure à sua rede virtual.
- Hoje, o tráfego de serviço do Azure de uma rede virtual usa endereços IP públicos como endereços IP de origem. Com os pontos de extremidade de serviço, o tráfego de serviço alterna para usar endereços privados de rede virtual como endereços IP de origem ao acessar o serviço do Azure de uma rede virtual. Essa opção permite que você acesse os serviços sem a necessidade dos endereços IP públicos reservados usados nos firewalls de IP.
Observação
Com os pontos de extremidade de serviço, os endereços IP de origem das máquinas virtuais na sub-rede para trocas de tráfego de serviço desde o uso de endereços IPv4 públicos até o uso de endereços IPv4 privados. As regras de firewall existentes do serviço do Azure usando endereços IP públicos do Azure irão parar de funcionar com essa troca. Verifique se as regras de firewall de serviço do Azure permitem essa opção antes de configurar pontos de extremidade de serviço. Você também pode enfrentar interrupções temporárias no tráfego de serviço dessa sub-rede ao configurar pontos de extremidade de serviço.
Proteger o acesso ao serviço do Azure no local
Por padrão, os recursos de serviço do Azure protegidos para redes virtuais não são acessíveis de redes locais. Se você quiser permitir o tráfego do local, também deverá permitir endereços IP públicos (normalmente, NAT) do seu local ou do ExpressRoute. Você pode adicionar esses endereços IP por meio da configuração de firewall de IP para recursos de serviço do Azure.
ExpressRoute: Se você estiver usando o ExpressRoute para emparelhamento público ou emparelhamento da Microsoft de suas instalações, será necessário identificar os endereços IP da NAT que você está usando. Para emparelhamento público, cada circuito do ExpressRoute usa dois endereços IP NAT, por padrão, aplicados ao tráfego de serviço do Azure quando o tráfego entra no backbone de rede do Microsoft Azure. Para emparelhamento da Microsoft, os endereços IP da NAT são fornecidos pelo cliente ou fornecidos pelo provedor de serviços. Para permitir o acesso aos recursos de serviço, você deve permitir esses endereços IP públicos na configuração de firewall de IP do recurso. Para localizar os endereços IP do circuito do ExpressRoute de emparelhamento público, abra um tíquete de suporte com o ExpressRoute por meio do portal do Azure. Para obter mais informações sobre NAT para emparelhamento público do ExpressRoute e Microsoft, consulte os requisitos de NAT do ExpressRoute.
Configuração
- Configure pontos de extremidade de serviço em uma sub-rede em uma rede virtual. Os pontos de extremidade funcionam com qualquer tipo de instância de computação em execução nessa sub-rede.
- Você pode configurar vários pontos de extremidade de serviço para todos os serviços do Azure com suporte (Armazenamento do Azure ou Banco de Dados SQL do Azure, por exemplo) em uma sub-rede.
- Para o Banco de Dados SQL do Azure, as redes virtuais devem estar na mesma região que o recurso de serviço do Azure. Para todos os outros serviços, você pode proteger os recursos de serviço do Azure em redes virtuais em qualquer região.
- A rede virtual em que o ponto de extremidade está configurado pode estar na mesma assinatura ou diferente do recurso de serviço do Azure. Para obter mais informações sobre as permissões necessárias para configurar endpoints e proteger os serviços do Azure, consulte Provisionamento.
- Para serviços com suporte, você pode proteger recursos novos ou existentes em redes virtuais usando pontos de extremidade de serviço.
Considerações
Depois de habilitar um ponto de extremidade de serviço, os endereços IP de origem mudam de usar endereços IPv4 públicos para usar o endereço IPv4 privado ao se comunicar com o serviço dessa sub-rede. Todas as conexões TCP abertas existentes com o serviço são fechadas durante essa opção. Verifique se nenhuma tarefa crítica está em execução ao habilitar ou desabilitar um ponto de extremidade de serviço para um serviço para uma sub-rede. Além disso, verifique se seus aplicativos podem se conectar automaticamente aos serviços do Azure após a opção de endereço IP. A opção de endereço IP afeta apenas o tráfego de serviço da sua rede virtual. Não há nenhum impacto para qualquer outro tráfego endereçado de ou para os endereços IPv4 públicos atribuídos às suas máquinas virtuais. Para os serviços do Azure, se você tiver regras de firewall existentes usando endereços IP públicos do Azure, essas regras deixarão de funcionar com a opção para endereços privados de rede virtual.
Com os pontos de extremidade de serviço, as entradas DNS para os serviços do Azure permanecem como estão hoje e continuam a ser resolvidas para endereços IP públicos atribuídos ao serviço do Azure.
Grupos de segurança de rede (NSGs) com pontos de extremidade de serviço:
- Por padrão, os NSGs permitem o tráfego de saída da Internet e também permitem o tráfego da VNet para os serviços do Azure. Esse tráfego continua funcionando com pontos de extremidade de serviço como está.
- Se você quiser negar todo o tráfego de saída da Internet e permitir apenas o tráfego para serviços específicos do Azure, poderá fazer isso usando marcas de serviço em seus NSGs. Você pode especificar serviços do Azure com suporte como destino em suas regras NSG e o Azure também fornece a manutenção de endereços IP subjacentes a cada marca. Para obter mais informações, consulte as tags de serviço do Azure para NSGs.
- Por padrão, os NSGs permitem o tráfego de saída da Internet e também permitem o tráfego da VNet para os serviços do Azure. Esse tráfego continua funcionando com pontos de extremidade de serviço como está.
Cenários
- Emparelhadas, conectadas ou várias redes virtuais: para proteger os serviços do Azure em várias sub-redes em uma rede virtual ou em várias redes virtuais, você pode habilitar pontos de extremidade de serviço em cada uma das sub-redes de forma independente e proteger os recursos de serviço do Azure para todas as sub-redes.
- Filtrando o tráfego de saída de uma rede virtual para os serviços do Azure: se você quiser inspecionar ou filtrar o tráfego enviado a um serviço do Azure de uma rede virtual, poderá implantar uma solução de virtualização de rede na rede virtual. Em seguida, você pode aplicar pontos de extremidade de serviço à sub-rede em que a solução de virtualização de rede é implantada e proteger os recursos de serviço do Azure somente para essa sub-rede. Esse cenário pode ser útil se você quiser usar a filtragem de dispositivos virtuais de rede para restringir o acesso ao serviço do Azure de sua rede virtual apenas para recursos específicos do Azure. Para obter mais informações, consulte saída com dispositivos virtuais de rede.
- Protegendo recursos do Azure para serviços implantados diretamente em redes virtuais: você pode implantar diretamente vários serviços do Azure em sub-redes específicas em uma rede virtual. Você pode proteger os recursos de serviço do Azure para sub-redes de serviço gerenciadas configurando um ponto de extremidade de serviço na sub-rede de serviço gerenciado.
- Tráfego de disco de uma máquina virtual do Azure: o tráfego de disco de máquina virtual para discos gerenciados e não gerenciados não é afetado por alterações de roteamento de pontos de extremidade de serviço para o Armazenamento do Azure. Esse tráfego inclui diskIO, bem como montagem e desmontagem. Você poderá limitar o acesso REST a blobs de páginas para selecionar redes por meio de pontos de extremidade de serviço e regras de rede do Armazenamento do Microsoft Azure.
Log e solução de problemas
Depois de configurar pontos de extremidade de serviço para um serviço específico, valide se a rota do ponto de extremidade de serviço está em vigor:
Validando o endereço IP de origem de qualquer solicitação de serviço no diagnóstico do serviço. Todas as novas solicitações com pontos de extremidade de serviço mostram o endereço IP de origem da solicitação como o endereço IP privado da rede virtual, atribuído ao cliente que está fazendo a solicitação de sua rede virtual. Sem o ponto de extremidade, o endereço é um endereço IP público do Azure.
Exibindo as rotas efetivas em qualquer interface de rede em uma sub-rede. A rota para o serviço:
- Mostra uma rota padrão mais específica para endereçar intervalos de prefixo de cada serviço
- Tem um nextHopType de VirtualNetworkServiceEndpoint
- Indica que uma conexão mais direta com o serviço está em vigor em comparação com quaisquer rotas de túnel forçado
Observação
As rotas de ponto de extremidade de serviço substituem todas as rotas BGP para a correspondência de prefixo de endereço de um serviço do Azure.
Provisionamento
Os pontos de extremidade de serviço podem ser configurados em redes virtuais de forma independente por um usuário com acesso de gravação a uma rede virtual. Para proteger os recursos de serviço do Azure em uma VNet, o usuário deve ter permissão para Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action para as sub-redes adicionadas. As funções de administrador de serviços internas incluem essa permissão por padrão. Você pode modificar a permissão criando funções personalizadas.
Para obter mais informações sobre funções internas, consulte as funções internas do Azure. Para obter mais informações sobre como atribuir permissões específicas a funções personalizadas, consulte as funções personalizadas do Azure.
Redes virtuais e recursos de serviço do Azure podem estar nas mesmas assinaturas ou em assinaturas diferentes. Determinados Serviços do Azure (nem todos), como o Armazenamento do Microsoft Azure e o Azure Key Vault, também dão suporte a pontos de extremidade de serviço em diferentes locatários do Microsoft Entra ID. Isso significa que a rede virtual e o recurso de serviço do Azure podem estar em diferentes locatários do Microsoft Entra ID.
Preços e limites
Não há custo adicional para o uso de pontos de extremidade de serviço. O modelo de preços atual para os serviços do Azure (Armazenamento do Azure, Banco de Dados SQL do Azure etc.) se aplica como está hoje.
Não há limite no número total de pontos de extremidade de serviço em uma rede virtual.
Determinados serviços do Azure, como contas de armazenamento do Azure, podem impor limites ao número de sub-redes usadas para proteger o recurso. Consulte a documentação de vários serviços na seção Próximas etapas para obter detalhes.
Políticas de ponto de extremidade de serviço da VNet
As políticas de ponto de extremidade do serviço VNet permitem filtrar o tráfego de rede virtual para os serviços do Azure. Esse filtro permite apenas recursos de serviço específicos do Azure em pontos de extremidade de serviço. As políticas de ponto de extremidade de serviço fornecem controle de acesso granular para o tráfego de rede virtual para os serviços do Azure. Para obter mais informações, consulte Políticas de ponto de extremidade de serviço de rede virtual.