Perguntas mais frequentes (FAQ) sobre o Azure Private Link

• Ponto de Extremidade Privado do Azure: o Ponto de Extremidade Privado do Azure é uma interface de rede que o conecta de forma privada e segura a um serviço desenvolvido pelo Azure Private Link. Você pode usar Pontos de Extremidade Privados para se conectar a um serviço PaaS do Azure que ofereça suporte ao Link Privado ou ao seu próprio Serviço de Link Privado.
• Serviço de Link Privado do Azure: o serviço de Link Privado do Azure é um serviço criado por um provedor de serviços. Atualmente, um serviço de Link Privado pode ser anexado à configuração IP frontend de um Balanceador de Carga Padrão.

O tráfego é enviado de forma privada usando o backbone da Microsoft. Não atravessa a internet. O Azure Private Link não armazena dados do cliente.

• Os endpoints privados concedem acesso à rede a recursos específicos por trás de um determinado serviço, fornecendo segmentação granular. O tráfego pode chegar ao recurso de serviço a partir do local sem usar pontos de extremidade públicos.
• Um ponto de extremidade de serviço continua sendo um endereço IP roteável publicamente. Um ponto de extremidade privado é um IP privado no espaço de endereço da rede virtual onde o ponto de extremidade privado está configurado.

Vários tipos de recursos de link privado suportam o acesso por meio de pontos de extremidade privados. Os recursos incluem serviços de PaaS do Azure e seu próprio Serviço de Link Privado. É uma relação um-para-muitos.

Um serviço de Link Privado recebe conexões de vários Pontos de Extremidade Privados. Um ponto de extremidade privado se conecta a um Serviço de Link Privado.

Yes. O Serviço de Link Privado precisa desabilitar as políticas de rede para funcionar corretamente.

Yes. Para utilizar políticas como Rotas Definidas pelo Usuário e Grupos de Segurança de Rede, você precisa habilitar políticas de Rede para uma sub-rede em uma rede virtual para o Ponto de Extremidade Privado. Essa configuração afeta todos os pontos de extremidade privados dentro da sub-rede.

Existem duas etapas para proteger um recurso de serviço do Azure por meio de endpoints de serviço.

1. Ative os pontos de extremidade de serviço para o serviço do Azure.
2. Configure listas de controle de acesso à rede virtual (ACLs) no serviço do Azure.

A primeira etapa é uma operação do lado da rede, e a segunda etapa é uma operação do lado do recurso do serviço. O mesmo administrador ou administradores diferentes podem executar as etapas, com base nas permissões RBAC (controle de acesso baseado em função) do Azure concedidas à função de administrador.

Recomendamos que ative os endpoints de serviço para a sua rede virtual antes de configurar ACLs de rede virtual do lado do serviço Azure. Para configurar pontos de extremidade de serviço de rede virtual, deve executar as etapas pela ordem apresentada anteriormente.

Determinados serviços (como o Azure SQL e o Azure Cosmos DB) permitem exceções à sequência anterior através do IgnoreMissingVnetServiceEndpoint sinalizador. Depois de definir o sinalizador como True, você pode configurar ACLs de rede virtual no lado do serviço do Azure antes de ativar os pontos de extremidade de serviço no lado da rede. Os serviços do Azure fornecem esse sinalizador para ajudar os clientes nos casos em que os firewalls IP específicos são configurados nos serviços do Azure.

Ativar os pontos de extremidade de serviço no lado da rede pode levar a uma queda de conectividade, porque o IP de origem muda de um endereço IPv4 público para um endereço privado. Configurar as ACLs da rede virtual no lado do serviço Azure antes de ativar os endpoints de serviço no lado da rede pode ajudar a evitar uma queda na conectividade.

Nem todos os serviços do Azure residem na rede virtual do cliente. A maioria dos serviços de dados do Azure (como o Armazenamento do Azure, o Azure SQL e o Azure Cosmos DB) são serviços multilocatários que podem ser acessados por endereços IP públicos. Para obter mais informações, consulte Implantar serviços dedicados do Azure em redes virtuais.

Quando se ativam pontos de extremidade de serviço de rede virtual no lado da rede, e se configuram ACLs de rede virtual apropriadas no lado do serviço do Azure, o acesso a um serviço do Azure é restrito a uma rede virtual e sub-rede permitida.

Os pontos de extremidade do serviço de rede virtual limitam o acesso do serviço do Azure à rede virtual e à sub-rede permitidas. Dessa forma, eles fornecem segurança em nível de rede e isolamento do tráfego de serviço do Azure.

Todo o tráfego que utiliza pontos de extremidade de serviço de rede virtual flui pela rede principal da Microsoft para garantir uma camada extra de isolamento em relação à Internet pública. Os clientes também podem optar por remover totalmente o acesso público à Internet aos recursos de serviço do Azure e permitir o tráfego apenas da sua rede virtual através de uma combinação de firewall IP e ACLs de rede virtual. Remover o acesso à Internet ajuda a proteger os recursos de serviço do Azure contra acesso não autorizado.

Os pontos de extremidade do serviço de rede virtual ajudam a proteger os recursos do serviço do Azure. Os recursos de rede virtual são protegidos por meio de grupos de segurança de rede.

No. Não há custo adicional para o uso de pontos de extremidade de serviço de rede virtual.

Sim, é possível. As redes virtuais e os recursos de serviço do Azure podem estar na mesma assinatura ou em assinaturas diferentes. O único requisito é que a rede virtual e os recursos de serviço do Azure estejam no mesmo locatário Microsoft Entra.

Sim, é possível quando você estiver usando pontos de extremidade de serviço para o Armazenamento do Azure e o Cofre da Chave do Azure. Para outros serviços, não há suporte para pontos de extremidade de serviço de rede virtual e ACLs de rede virtual entre locatários do Microsoft Entra.

Por padrão, os recursos de serviço do Azure protegidos para redes virtuais não podem ser acessados a partir de redes locais. Se quiser permitir o tráfego a partir de instalações locais, deve também permitir endereços IP públicos (normalmente, NAT) a partir de instalações locais ou via ExpressRoute. Você pode adicionar esses endereços IP por meio da configuração do firewall IP para os recursos de serviço do Azure.

Alternatively, you can implement private endpoints for supported services.

Para proteger os serviços do Azure a várias sub-redes dentro de uma rede virtual ou em várias redes virtuais, habilite pontos de extremidade de serviço no lado da rede em cada uma das sub-redes de forma independente. Em seguida, proteja os recursos de serviço do Azure para todas as sub-redes configurando ACLs de rede virtual apropriadas no lado do serviço do Azure.

Se quiser inspecionar ou filtrar o tráfego destinado a um serviço do Azure a partir de uma rede virtual, você pode implantar um dispositivo virtual de rede na rede virtual. Em seguida, você pode aplicar pontos de extremidade de serviço à sub-rede onde o dispositivo virtual de rede é implantado e proteger os recursos de serviço do Azure somente a essa sub-rede por meio de ACLs de rede virtual.

Esse cenário também pode ser útil se você quiser restringir o acesso ao serviço do Azure de sua rede virtual apenas a recursos específicos do Azure usando a filtragem de dispositivo virtual de rede. Para mais informações, consulte Implantar NVAs altamente disponíveis.

O serviço retorna um erro HTTP 403 ou HTTP 404.

Yes. Para a maioria dos serviços do Azure, as redes virtuais criadas em diferentes regiões podem acessar os serviços do Azure em outra região por meio dos pontos de extremidade do serviço de rede virtual. Por exemplo, se uma conta do Azure Cosmos DB estiver na região Oeste dos EUA ou Leste dos EUA e as redes virtuais estiverem em várias regiões, as redes virtuais poderão acessar o Azure Cosmos DB.

O Azure SQL é uma exceção e é de natureza regional. A rede virtual e o serviço do Azure precisam estar na mesma região.

Yes. Uma ACL de rede virtual e um firewall IP podem coexistir. As funcionalidades complementam-se para ajudar a garantir o isolamento e a segurança.

A exclusão de redes virtuais e a exclusão de sub-redes são operações independentes. Eles são suportados mesmo quando você ativa pontos de extremidade de serviço para serviços do Azure.

Se você configurar ACLs de rede virtual para serviços do Azure, as informações de ACL associadas a esses serviços do Azure serão desabilitadas quando você excluir uma rede virtual ou sub-rede que tenha pontos de extremidade de serviço de rede virtual ativados.

A exclusão de uma conta de serviço do Azure é uma operação independente. É suportado mesmo que tenha ativado o endpoint de serviço no lado da rede e configurado ACLs de rede virtual no lado do serviço Azure.

Quando você ativa os pontos de extremidade do serviço de rede virtual, os endereços IP de origem dos recursos na sub-rede da sua rede virtual mudam do uso de endereços IPv4 públicos para o uso dos endereços IP privados da rede virtual do Azure para o tráfego para os serviços do Azure. Este interruptor pode fazer com que firewalls IP específicos configurados para um endereço IPv4 público anteriormente nos serviços do Azure falhem.

Os endpoints de serviço adicionam uma rota de sistema que tem precedência sobre as rotas BGP (Border Gateway Protocol) e proporciona rotas ótimas para o tráfego dos endpoints de serviço. Os pontos finais de serviço sempre encaminham o tráfego de serviço diretamente da sua rede virtual para o serviço na rede principal do Microsoft Azure.

Para obter mais informações sobre como o Azure seleciona uma rota, consulte Roteamento de tráfego de rede virtual.

No. Tráfego ICMP proveniente de uma sub-rede com pontos de extremidade de serviço ativados não seguirá o caminho do túnel de serviço para o ponto de extremidade desejado. Os pontos de extremidade de serviço lidam apenas com o tráfego TCP. Se quiser testar a latência ou a conectividade com um ponto de extremidade por meio de interfaces de serviço, ferramentas como o ping e o tracert não mostram o caminho real que os recursos dentro da sub-rede seguirão.

Para acessar o serviço do Azure, os NSGs precisam permitir a conectividade de saída. Se os NSGs estiverem abertos para todo o tráfego de saída da Internet, o tráfego do ponto de extremidade do serviço deverá funcionar. Você também pode limitar o tráfego de saída a apenas endereços IP de serviço usando as tags de serviço.

Você pode configurar endpoints de serviço numa rede virtual de forma independente, caso tenha permissão de escrita para essa rede.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Essa permissão está incluída na função interna de administrador de serviço por padrão e pode ser modificada por meio da criação de funções personalizadas.

Para obter mais informações sobre funções internas e atribuição de permissões específicas a funções personalizadas, consulte Funções personalizadas do Azure.

Você pode usar políticas de ponto de extremidade de serviço de rede virtual para filtrar o tráfego de rede virtual para os serviços do Azure, permitindo que apenas recursos específicos desses serviços sejam acessados através dos pontos de extremidade de serviço. As políticas de endpoints fornecem controle de acesso granular do tráfego da rede virtual para os serviços do Azure.

Para saber mais, consulte Políticas de endpoints de serviço de rede virtual para Azure Storage.

O Microsoft Entra ID não suporta pontos de extremidade de serviço nativamente. Para obter uma lista completa dos serviços do Azure que dão suporte a pontos de extremidade de serviço de rede virtual, consulte Pontos de extremidade de serviço de rede virtual.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. A integração de rede virtual para o Data Lake Storage Gen1 usa a segurança de ponto de extremidade do serviço de rede virtual entre sua rede virtual e o ID do Microsoft Entra para gerar declarações de segurança adicionais no token de acesso. Essas afirmações são, posteriormente, utilizadas para autenticar a rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso.

Não há limite para o número total de pontos de extremidade de serviço em uma rede virtual. Para um recurso de serviço do Azure (como uma conta de Armazenamento do Azure), os serviços podem impor limites ao número de sub-redes que você usa para proteger o recurso. A tabela a seguir mostra alguns limites de exemplo:

Para acessar o serviço do Azure, os NSGs precisam permitir a conectividade de saída. Se os NSGs estiverem abertos para todo o tráfego de saída da Internet, o tráfego do ponto de extremidade do serviço deverá funcionar. Você também pode limitar o tráfego de saída a apenas endereços IP de serviço usando as tags de serviço.

Você pode configurar endpoints de serviço numa rede virtual de forma independente, caso tenha permissão de escrita para essa rede.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Essa permissão está incluída na função interna de administrador de serviço por padrão e pode ser modificada por meio da criação de funções personalizadas.

Para obter mais informações sobre funções internas e atribuição de permissões específicas a funções personalizadas, consulte Funções personalizadas do Azure.

Você pode usar políticas de ponto de extremidade de serviço de rede virtual para filtrar o tráfego de rede virtual para os serviços do Azure, permitindo que apenas recursos específicos desses serviços sejam acessados através dos pontos de extremidade de serviço. As políticas de endpoints fornecem controle de acesso granular do tráfego da rede virtual para os serviços do Azure.

Para saber mais, consulte Políticas de endpoints de serviço de rede virtual para Azure Storage.

O Microsoft Entra ID não suporta pontos de extremidade de serviço nativamente. Para obter uma lista completa dos serviços do Azure que dão suporte a pontos de extremidade de serviço de rede virtual, consulte Pontos de extremidade de serviço de rede virtual.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. A integração de rede virtual para o Data Lake Storage Gen1 usa a segurança de ponto de extremidade do serviço de rede virtual entre sua rede virtual e o ID do Microsoft Entra para gerar declarações de segurança adicionais no token de acesso. Essas afirmações são, posteriormente, utilizadas para autenticar a rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso.

Não há limite para o número total de pontos de extremidade de serviço em uma rede virtual. Para um recurso de serviço do Azure (como uma conta de Armazenamento do Azure), os serviços podem impor limites ao número de sub-redes que você usa para proteger o recurso. A tabela a seguir mostra alguns limites de exemplo:

Yes. Você pode ter vários pontos de extremidade privados na mesma rede virtual ou sub-rede. Eles podem se conectar a diferentes serviços.

Não, não há suporte para a criação de várias zonas com o mesmo nome para uma única rede virtual.

No. Você não precisa de uma sub-rede dedicada para pontos de extremidade privados. Você pode escolher um IP de ponto de extremidade privado de qualquer sub-rede da rede virtual onde seu serviço é implantado.

Yes. Os pontos de extremidade privados podem se conectar a serviços de Link Privado ou a um PaaS do Azure entre locatários do Microsoft Entra. Os pontos de extremidade privados entre locatários exigem uma aprovação de solicitação manual.

Yes. Os Pontos de Extremidade Privados podem se conectar aos recursos de PaaS do Azure em todas as regiões do Azure.

Quando um ponto de extremidade privado é criado, uma NIC somente leitura é atribuída. A NIC não pode ser modificada e permanecerá durante o ciclo de vida do ponto de extremidade Privado.

Os Pontos de Extremidade Privados são recursos altamente disponíveis com um SLA de acordo com o SLA do Azure Private Link. No entanto, como são recursos regionais, qualquer interrupção de região do Azure pode afetar a disponibilidade. Para obter disponibilidade se houver falhas regionais, várias PEs conectadas ao mesmo recurso de destino podem ser implantadas em regiões diferentes. Dessa forma, se uma região ficar inativa, você ainda poderá rotear o tráfego para seus cenários de recuperação por meio de PE em região diferente para acessar o recurso de destino. Para obter informações sobre como as falhas regionais são tratadas no lado do serviço de destino, consulte a documentação do serviço sobre failover e recuperação. O tráfego de Link Privado segue a resolução DNS do Azure para o ponto de extremidade de destino.

Os Pontos de Extremidade Privados são recursos altamente disponíveis com um SLA de acordo com o SLA do Azure Private Link. Os Pontos de Extremidade Privados são agnósticos em relação à zona: uma falha na zona de disponibilidade na região do Ponto de Extremidade Privado não afetará a disponibilidade do Ponto de Extremidade Privado.

O tráfego TCP e UDP só é suportado para um ponto de extremidade privado. Para obter mais informações, consulte Limitações de Link privado.

Seus back-ends de serviço devem estar em uma rede virtual e atrás de um balanceador de carga padrão.

Você pode dimensionar seu Serviço de Link Privado de algumas maneiras diferentes:

• Adicionar VMs de back-end ao pool por trás do seu Standard Load Balancer
• Adicione um IP ao Serviço de Link Privado. Permitimos até 8 IPs por Serviço de Link Privado.
• Adicione o novo Serviço de Link Privado ao Balanceador de Carga Padrão. Permitimos até oito Serviços de Link Privado por Balanceador de Carga Padrão.

• A configuração NAT IP garante que o espaço de endereçamento de origem (consumidor) e destino (provedor de serviços) não tenha conflitos de IP. A configuração fornece NAT de origem para o tráfego de link privado para o destino. O endereço IP NAT aparece como IP de origem para todos os pacotes recebidos pelo seu serviço e IP de destino para todos os pacotes enviados pelo seu serviço. NAT IP pode ser escolhido a partir de qualquer sub-rede na rede virtual de um provedor de serviços.
• Cada IP NAT fornece conexões TCP de 64k (portas de 64k) por VM atrás do Balanceador de Carga Padrão. Para dimensionar e adicionar mais conexões, você pode adicionar novos IPs NAT ou adicionar mais VMs por trás do Balanceador de Carga Padrão. Isso dimensiona a disponibilidade da porta e permite mais conexões. As conexões são distribuídas entre IPs NAT e VMs por trás do Balanceador de Carga Padrão.

Yes. Um Serviço de Link Privado pode receber conexões de vários Pontos de Extremidade Privados. No entanto, um ponto de extremidade privado só pode se conectar a um serviço de link privado.

Você pode controlar a exposição usando a configuração de visibilidade no serviço Private Link. A visibilidade suporta três configurações:

• None - Only subscriptions with role based access can locate the service.
• Restrictive - Only subscriptions that are approved and with role based access can locate the service.
• All - Everyone can locate the service.

No. O Serviço de Link Privado sobre um Balanceador de Carga Básico não é suportado.

No. Uma sub-rede dedicada não é necessária para o Serviço de Link Privado. Você pode escolher qualquer sub-rede em sua rede virtual onde o serviço é implantado.

No. O Azure Private Link fornece essa funcionalidade para você. Não é necessário ter espaço de endereço não sobreposto com o espaço de endereçamento do cliente.

Next steps

• Saiba mais sobre o Azure Private Link