Planejar e implementar pontos de extremidade privados
Um ponto de extremidade privado é uma adaptador de rede que usa um endereço IP privado de sua rede virtual. Essa interface de rede conecta você de forma privada e segura a um serviço da plataforma do Link Privado do Azure. Ao habilitar um ponto de extremidade privado, você está trazendo o serviço para sua rede virtual.
O serviço pode ser um serviço do Azure, como:
- Armazenamento do Microsoft Azure
- Azure Cosmos DB
- Banco de Dados SQL do Azure
- Seu próprio serviço, usando o serviço do Link Privado.
Propriedades do ponto de extremidade privado
Um ponto de extremidade privado especifica as seguintes propriedades:
| Propriedade | Descrição |
|---|---|
| Nome | Um nome exclusivo dentro do grupo de recursos. |
| Sub-rede | A sub-rede a ser implantada, onde o endereço IP privado é atribuído. |
| Recurso de link privado | Recurso do Link Privado para conectar-se usando a ID do recurso ou alias da lista de tipos disponíveis. Um identificador de rede exclusivo é gerado para todo o tráfego que é enviado a este recurso. |
| Sub-recurso de destino | O subrecurso ao qual se conectar. Cada tipo de recurso de link privado tem opções diferentes para selecionar com base na preferência. |
| Método de aprovação de conexão | Automático ou manual. Dependendo das permissões de controle de acesso baseado em função do Azure, seu ponto de extremidade privado pode ser aprovado automaticamente. Se você está se conectando a um recurso do link privado sem permissões baseadas em função do Azure, use o método manual para permitir que o proprietário do recurso aprove a conexão. |
| Mensagem de solicitação | Mensagem de solicitação específica para que as conexões solicitadas sejam aprovadas manualmente. Esta mensagem pode ser usada para identificar uam solicitação específica. |
| Status da conexão | Uma propriedade somente leitura que especifica se o ponto de extremidade privado está ativo. Somente os pontos de extremidade privados em um estado aprovado podem ser usados para enviar tráfego. Mais estados disponíveis: Aprovado: a conexão foi aprovada automaticamente ou manualmente e está pronta para ser usada. Pendente: a conexão foi criada manualmente e está aguardando aprovação pelo proprietário do recurso de link privado. Rejeitada: a conexão foi rejeitada pelo proprietário do recurso de link privado. Desconectado: a conexão foi removida pelo proprietário do recurso de link privado. O ponto de extremidade privado torna-se informativo e deve ser excluído para limpeza. |
Ao criar pontos de extremidade privados, considere o seguinte:
Os pontos de extremidade privados habilitam a conectividade entre os clientes do(s)/da(s) mesmo(s)/mesma(s):
- Rede virtual
- Redes virtuais emparelhadas regionalmente
- Redes virtuais emparelhadas mundialmente
- Ambientes locais que usam VPN ou Express Route
- Serviços que são alimentados pelo Link Privado
- Rede virtual
As conexões de rede podem ser iniciadas somente por clientes que estão se conectando ao ponto de extremidade privado. Os provedores de serviços não têm a configuração de roteamento para criar conexões nos clientes do serviço. As conexões só podem ser estabelecidas em uma única direção.
Um adaptador de rede somente leitura é criado automaticamente para o ciclo de vida do ponto de extremidade privado. A interface recebe é atribuída com um endereço IP privado dinâmico da sub-rede que mapeia o recurso do link privado. O valor do endereço IP privado permanece inalterado durante todo o ciclo de vida do ponto de extremidade privado.
O ponto de extremidade privado deve ser implantado na mesma região e assinatura que a rede virtual.
O recurso do link privado pode ser implantado em uma região diferente daquela da rede virtual e do ponto de extremidade privado.
Vários pontos de extremidade privados podem ser criados com o mesmo recurso do link privado. Para uma única rede que usa uma configuração de servidor DNS comum, a prática recomendada é usar um único ponto de extremidade privado para um recurso do link privado especificado. Use esta prática para evitar entradas duplicadas ou conflitos na resolução de DNS.
Vários pontos de extremidade privados podem ser criados na mesma sub-rede ou em sub-redes diferentes na mesma rede virtual. Há limites para o número de pontos de extremidade privados que você pode criar em uma assinatura.
A assinatura que contém o recurso de link privado precisa ser registrada no provedor de recursos de rede da Microsoft. A assinatura que contém o ponto de extremidade privado também precisa ser registrada no provedor de recursos de rede da Microsoft.
Segurança de rede dos pontos de extremidade privados
Quando você usa pontos de extremidade privados, o tráfego é protegido para um recurso do link privado. A plataforma valida as conexões de rede, permitindo apenas aquelas que alcançam o recurso de link privado especificado. Para acessar mais sub-recursos dentro do mesmo serviço do Azure, são necessários mais pontos de extremidade privados com os destinos correspondentes. No caso do Armazenamento do Microsoft Azure, por exemplo, você precisaria de pontos de extremidade privados separados para acessar os sub-recursos arquivo e blob.
Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não necessariamente restringem o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem controles de acesso adicionais. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.
Os pontos de extremidade privados dão suporte a políticas de rede. As políticas de rede habilitam o suporte para NSG (grupos de segurança de rede), UDR (rotas definidas pelo usuário) e ASG (grupos de segurança de aplicativo).
Em uma conexão de ponto de extremidade privado, um proprietário de recurso de link privado pode:
- Examine todos os detalhes da conexão de ponto de extremidade privado.
- Aprovar uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente está habilitado para enviar tráfego para o recurso de link privado.
- Rejeitar uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é atualizado para refletir o status.
- Exclua uma conexão de ponto de extremidade privado em qualquer estado. O ponto de extremidade privado correspondente é atualizado com um estado desconectado para refletir a ação. O proprietário do ponto de extremidade privado pode excluir apenas o recurso neste momento.
Acesso a um recurso de link privado usando o fluxo de trabalho de aprovação
Você pode se conectar a um recurso de link privado usando os seguintes métodos de aprovação de conexão:
Aprovar automaticamente: use esse método quando tiver ou tiver permissões para o recurso de link privado específico. As permissões necessárias são baseadas no tipo de recurso de link privado no seguinte formato:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
Solicitação manual: use esse método quando você não tiver as permissões necessárias e quiser solicitar acesso. Um fluxo de trabalho de aprovação é iniciado. O ponto de extremidade privado e as conexões de ponto de extremidade privado posteriores são criados no Estado Pendente. O proprietário do recurso de link privado é responsável por aprovar a conexão. Depois de aprovado, o ponto de extremidade privado é habilitado para enviar tráfego normalmente, conforme mostrado no seguinte diagrama de fluxo de trabalho de aprovação:
Em uma conexão de ponto de extremidade privado, um proprietário de recurso de link privado pode:
- Examine todos os detalhes da conexão de ponto de extremidade privado.
- Aprovar uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente está habilitado para enviar tráfego para o recurso de link privado.
- Rejeitar uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é atualizado para refletir o status.
- Exclua uma conexão de ponto de extremidade privado em qualquer estado. O ponto de extremidade privado correspondente é atualizado com um estado desconectado para refletir a ação. O proprietário do ponto de extremidade privado pode excluir apenas o recurso neste momento.
Observação
Somente pontos de extremidade privados no Estado Aprovado podem enviar tráfego para um recurso de link privado especificado.
Conectar usando um alias
Um alias é um moniker exclusivo gerado quando um proprietário de serviço cria um serviço de link privado por trás de um balanceador de carga padrão. Os proprietários de serviços podem compartilhar esse alias offline com os consumidores do seu serviço.
Os consumidores podem solicitar uma conexão a um serviço de link privado usando o Uniform Resource Identifier (URI) do recurso ou o alias. Para se conectar usando o alias, crie um ponto de extremidade privado usando o método manual de aprovação de conexão. Para usar o método de aprovação de conexão manual, defina o parâmetro de solicitação manual como True durante o fluxo de criação do ponto de extremidade privado.
Observação
Essa solicitação manual poderá ser aprovada automaticamente se a assinatura do consumidor estiver listada no lado do provedor.
Configuração de DNS
As configurações de DNS que você usa para se conectar a um recurso de link privado são importantes. Os serviços existentes do Azure podem já ter uma configuração de DNS que você pode usar quando estiver se conectando por um ponto de extremidade público. Para se conectar ao mesmo serviço por ponto de extremidade privado, são necessárias configurações DNS separadas, muitas vezes configuradas por meio de zonas DNS privadas. Verifique se as configurações de DNS estão corretas quando você usa o FQDN (nome de domínio totalmente qualificado) para a conexão. As configurações devem ser resolvidas para o endereço IP privado do ponto de extremidade privado.
A interface de rede associada ao ponto de extremidade privado contém as informações necessárias para configurar o DNS. As informações incluem o FQDN e o endereço IP privado para um recurso de link privado.
Limitações
As informações a seguir listam as limitações conhecidas para o uso de pontos de extremidade privados:
Endereço IP estático
| Limitação | Descrição |
|---|---|
| Atualmente, a configuração de endereço IP estático não tem suporte. | AKS (Serviço de Kubernetes do Azure) Gateway de Aplicativo do Azure HDInsight Cofres dos Serviços de Recuperação Serviços de Link Privado de terceiros |
Grupo de segurança de rede
| Limitação | Descrição |
|---|---|
| Rotas efetivas e regras de segurança indisponíveis para a interface de rede de ponto de extremidade privado. | As rotas efetivas e as regras de segurança não serão exibidas para a NIC do ponto de extremidade privado no portal do Azure. |
| Logs de fluxo NSG sem suporte. | Logs de fluxo NSG indisponíveis para tráfego de entrada destinado a um ponto de extremidade privado. |
| Não mais do que 50 membros em um Grupo de Segurança de Aplicativo. | Cinquenta é o número de configurações de IP que podem ser vinculadas a cada ASG respectivo que está acoplado ao NSG na sub-rede do ponto de extremidade privado. Falhas de conexão podem ocorrer com mais de 50 membros. |
| Intervalos de portas de destino compatíveis com até um fator de 250 K. | Há suporte para intervalos de porta de destino como uma multiplicação SourceAddressPrefixes, DestinationAddressPrefixes e DestinationPortRanges. Exemplo de regra de entrada: Uma origem * um destino * 4K portRanges = 4K Válido 10 fontes * 10 destinos * 10 portRanges = 1 K Válido 50 fontes * 50 destinos * 50 portRanges = 125 K Válidos 50 fontes * 50 destinos * 100 portRanges = 250 K Válidos 100 fontes * 100 destinos * 100 portRanges = 1M Inválido, O NSG tem muitas fontes/destinos/portas. |
| Filtragem da porta de origem. | A filtragem de porta de origem não é usada ativamente como um cenário válido de filtragem de tráfego para tráfego destinado a um ponto de extremidade privado. |
| Recurso indisponível em regiões selecionadas. | Atualmente indisponível nas seguintes regiões: Índia Ocidental Austrália Central 2 Oeste da África do Sul Sudeste do Brasil Todas as regiões do Governo Todas as regiões da China |
Mais considerações do NSG
O tráfego de saída negado de um ponto de extremidade privado não é um cenário válido, pois o provedor de serviços não pode originar o tráfego.
Os serviços a seguir podem exigir que todas as portas de destino sejam abertas ao usar um ponto de extremidade privado e adicionar filtros de segurança NSG:
- Azure Cosmos DB
- Azure Cosmos DB
UDR
| Limitação | Descrição |
|---|---|
| O SNAT é sempre recomendado. | Devido à natureza variável do plano de dados do ponto de extremidade privado, é recomendável usar o tráfego SNAT destinado a um ponto de extremidade privado para garantir que o tráfego de retorno seja respeitado. |
| Recurso indisponível em regiões selecionadas. | Atualmente indisponível nas seguintes regiões: Índia Ocidental Austrália Central 2 Oeste da África do Sul Sudeste do Brasil |
Grupo de segurança do aplicativo
| Limitação | Descrição |
|---|---|
| Recurso indisponível em regiões selecionadas. | Atualmente indisponível nas seguintes regiões: Índia Ocidental Austrália Central 2 Oeste da África do Sul Sudeste do Brasil |