Pontos de extremidade do serviço de rede virtual do Azure

Os pontos de extremidade do serviço de rede virtual do Azure fornecem conectividade segura e direta aos serviços do Azure em uma rota otimizada por meio da rede de backbone do Azure. Esses pontos de extremidade permitem que você proteja recursos críticos de serviço do Azure exclusivamente para suas redes virtuais, permitindo que endereços IP privados alcancem os serviços do Azure sem exigir endereços IP públicos. Este guia aborda como configurar pontos de extremidade de serviço, seus benefícios e práticas recomendadas para implementação.

Os pontos de extremidade de serviço estão disponíveis para os seguintes serviços e regiões do Azure. O recurso Microsoft.* está entre parênteses. Habilite este recurso do lado da sub-rede ao configurar pontos de extremidade de serviço para seu serviço:

Disponível em Geral

• Armazenamento do Azure (Microsoft.Storage): disponível em geral em todas as regiões do Azure.

• Endpoints de serviço do Armazenamento do Azure entre regiões (Microsoft.Storage.Global): disponibilidade geral em todas as regiões do Azure.

• Azure SQL Database (Microsoft.Sql): geralmente disponível em todas as regiões do Azure.

• Azure Synapse Analytics (Microsoft.Sql): disponível em geral em todas as regiões do Azure para pools SQL dedicados (anteriormente SQL DW).

• Banco de Dados do Azure para MariaDB (Microsoft.Sql): disponível em geral nas regiões do Azure onde o serviço de banco de dados está disponível.

• Azure Cosmos DB (Microsoft.AzureCosmosDB): disponível em geral em todas as regiões do Azure.

• Azure Key Vault (Microsoft.KeyVault): disponível em geral em todas as regiões do Azure.

• Azure Service Bus (Microsoft.ServiceBus): disponível em geral em todas as regiões do Azure.

• Azure Event Hubs (Microsoft.EventHub): Disponível em todas as regiões do Azure.

• Serviço de Aplicativo do Azure (Microsoft.Web): disponível em geral em todas as regiões do Azure onde o Serviço de Aplicativo está disponível.

• Serviços Cognitivos do Azure (Microsoft.CognitiveServices): Geralmente disponíveis em todas as regiões do Azure onde os serviços de IA do Azure estão disponíveis.

• Registro de Contêiner do Azure (Microsoft.ContainerRegistry): disponível em geral em todas as regiões do Azure onde o Registro de Contêiner do Azure está disponível.

Pré-visualização Pública

Para obter as notificações mais atualizadas, veja a página Atualizações da Rede Virtual do Azure.

Principais benefícios

Os pontos finais de serviço oferecem as seguintes vantagens:

• Segurança melhorada para os recursos de serviço do Azure: os espaços de endereço privado da rede virtual podem sobrepor-se. Não é possível usar espaços sobrepostos para identificar exclusivamente o tráfego originado da sua rede virtual. Os pontos de extremidade do serviço permitem associar e proteger os recursos de serviços do Azure à sua rede virtual, ao estender a identidade da rede virtual para o serviço. Depois de habilitar pontos de extremidade de serviço em sua rede virtual, você pode adicionar uma regra de rede virtual para proteger os recursos de serviço do Azure à sua rede virtual. A adição de regras fornece segurança aprimorada, removendo totalmente o acesso público à Internet aos recursos e permitindo o tráfego apenas da sua rede virtual.

• Roteamento ideal para o tráfego de serviço do Azure de sua rede virtual: hoje, todas as rotas em sua rede virtual que forçam o tráfego da Internet para seus dispositivos locais e/ou virtuais também forçam o tráfego de serviço do Azure a tomar a mesma rota que o tráfego da Internet. Os pontos finais de serviço fornecem encaminhamento ótimo para o tráfego do Azure.

  Os pontos finais recebem sempre o tráfego de serviço diretamente da rede virtual para o serviço na rede principal do Microsoft Azure. Manter o tráfego na rede backbone do Azure permite-lhe continuar a auditar e monitorizar o tráfego de Internet de saída das suas redes virtuais, através de encaminhamento forçado, sem impactar o tráfego de serviço. Para obter mais informações sobre rotas definidas pelo usuário e túnel forçado, consulte Roteamento de tráfego de rede virtual do Azure.

• Fácil de configurar com menos overhead de gestão: já não necessita de endereços IP reservados e públicos nas redes virtuais para proteger os recursos do Azure através da firewall do IP. Não é necessária a tradução de endereços de rede (NAT) ou dispositivos de gateway para configurar os pontos de extremidade de serviço. Você pode configurar pontos de extremidade de serviço através de uma única seleção numa sub-rede. Não há sobrecarga extra para manter os pontos de extremidade.

Limitações

• A funcionalidade só está disponível para redes virtuais implementadas através do modelo de implementação Azure Resource Manager.

• Os pontos finais estão ativados nas sub-redes configuradas em redes virtuais do Azure. Os pontos de extremidade não podem ser usados para tráfego dos seus serviços no local para serviços do Azure. Para obter mais informações, consulte Proteger o acesso ao serviço do Azure a partir do local

• No Azure SQL, um ponto final de serviço aplica-se apenas ao tráfego de serviço do Azure numa região da rede virtual.

• Para o Azure Data Lake Storage (ADLS) Gen 1, o recurso de integração de rede virtual só está disponível para redes virtuais dentro da mesma região. A integração de rede virtual para ADLS Gen1 usa a segurança de ponto de extremidade do serviço de rede virtual entre sua rede virtual e o ID do Microsoft Entra para gerar declarações de segurança adicionais no token de acesso. Essas afirmações são, posteriormente, utilizadas para autenticar a rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso. A tag Microsoft.AzureActiveDirectory listada em serviços que suportam pontos finais de serviço é usada apenas para suportar pontos finais de serviço para o ADLS Gen 1. O Microsoft Entra ID não suporta pontos de extremidade de serviço nativamente. Para obter mais informações sobre a integração de rede virtual do Azure Data Lake Store Gen 1, consulte Segurança de rede no Azure Data Lake Storage Gen1.

• Uma rede virtual pode ser associada a até 200 assinaturas e regiões diferentes por cada serviço suportado com regras de rede virtual ativas configuradas.

Proteger os serviços do Azure para redes virtuais

• Um ponto final de serviço de rede virtual transmite a identidade da sua rede virtual ao serviço do Azure. Depois de habilitar pontos de extremidade de serviço em sua rede virtual, você pode adicionar uma regra de rede virtual para proteger os recursos de serviço do Azure à sua rede virtual.

• Atualmente, o tráfego de serviço do Azure a partir de uma rede virtual utiliza endereços IP públicos como endereços IP de origem. Com os pontos finais de serviço, o tráfego de serviço muda para utilizar endereços privados da rede virtual como endereços IP de origem ao aceder ao serviço Azure a partir de uma rede virtual. Esta comutação permite-lhe aceder aos serviços sem necessitar de endereços IP reservados públicos utilizados nas firewalls IP.

  Nota

  Com pontos finais de serviço, os endereços IP de origem das máquinas virtuais na sub-rede para tráfego de serviço mudam da utilização de endereços IPv4 públicos para a utilizam de endereços IPv4 privados. As regras de firewall de serviço existentes do Azure que usam endereços IP públicos do Azure deixam de funcionar com esta mudança. Verifique se as regras de firewall do serviço do Azure permitem essa mudança antes de configurar pontos de extremidade de serviço. Você também pode enfrentar uma interrupção temporária do tráfego dos serviços dessa sub-rede enquanto configura pontos finais de serviço.

Proteja o acesso ao serviço do Azure a partir do local

Por padrão, os recursos de serviço do Azure protegidos para redes virtuais não podem ser acessados a partir de redes locais. Se pretender permitir o tráfego proveniente das instalações locais, tem também de permitir endereços IP públicos (normalmente NAT) das suas instalações locais ou do ExpressRoute. Você pode adicionar esses endereços IP por meio da configuração do firewall IP para recursos de serviço do Azure.

ExpressRoute: Se estiver a usar o ExpressRoute para emparelhamento com a Microsoft a partir das suas instalações, identifique os endereços IP NAT que está a usar. Os endereços IP NAT são fornecidos pelo cliente ou fornecidos pelo provedor de serviços. Para permitir o acesso aos seus recursos de serviço, deve permitir estes endereços IP públicos na configuração da firewall do IP dos recursos. Para obter mais informações sobre NAT para o peering de Microsoft ExpressRoute, consulte os Requisitos de NAT do ExpressRoute.

Configuração

• Configure pontos de extremidade de serviço em uma sub-rede em uma rede virtual. Os pontos finais funcionam com qualquer tipo de instância de computação em execução nessa sub-rede.

• Você pode configurar vários pontos de extremidade de serviço para todos os serviços do Azure com suporte (Armazenamento do Azure ou Banco de Dados SQL do Azure, por exemplo) em uma sub-rede.

• Na Base de Dados SQL do Azure, as redes virtuais têm de estar na mesma região que o recurso de serviço do Azure. Para todos os outros serviços, você pode proteger os recursos de serviço do Azure para redes virtuais em qualquer região.

• A rede virtual onde o ponto final está configurado pode existir na mesma subscrição ou numa subscrição diferente que a do recurso de serviço do Azure. Para obter mais informações sobre as permissões necessárias para configurar pontos finais e para proteger serviços do Azure, veja Aprovisionamento.

• Para os serviços suportados, pode assegurar recursos novos ou existentes em redes virtuais através de pontos finais de serviço.

Considerações

• Após a implantação do ponto de extremidade do serviço, os endereços IP de origem mudam do uso de endereços IPv4 públicos para o uso de seu endereço IPv4 privado ao se comunicar com o serviço a partir dessa sub-rede. Todas as ligações TCP abertas existentes para o serviço serão fechadas durante esta mudança. Certifique-se de que não existem tarefas críticas em execução quando ativar ou desativar um ponto final de serviço para um serviço para uma sub-rede. Verifique também se as aplicações conseguem ligar-se automaticamente aos serviços do Azure após esta mudança do endereço IP.

  A mudança do endereço IP só afeta o tráfego de serviço da rede virtual. Não há efeito para qualquer outro tráfego endereçado de ou para os endereços IPv4 públicos atribuídos às suas máquinas virtuais. Nos serviços do Azure, se tiver regras de firewall existente que utilizem IPs públicos do Azure, estas regras deixam de funcionar com a mudança para os endereços privados da rede virtual.

• Com os pontos de extremidade de serviço, as entradas DNS para serviços do Azure permanecem como estão hoje e continuam a ser resolvidas para endereços IP públicos atribuídos ao serviço do Azure.

• Grupos de segurança de rede (NSGs) com pontos finais de serviço:

  • Por padrão, os NSGs permitem o tráfego de saída da Internet e também permitem o tráfego de sua rede virtual para os serviços do Azure. O tráfego continua a funcionar com os pontos de extremidade de serviço tal como estão.

  • Se quiser negar todo o tráfego de saída da Internet e permitir apenas o tráfego para serviços específicos do Azure, você pode fazer isso usando tags de serviço em seus NSGs. Você pode especificar serviços Azure suportados como destino nas regras NSG, e a Azure também fornece a manutenção dos endereços IP subjacentes a cada tag. Para obter mais informações, consulte Etiquetas de Serviço do Azure para NSGs.

Cenários

• Redes virtuais emparelhadas, conectadas ou múltiplas: para proteger os serviços do Azure a várias sub-redes dentro de uma rede virtual ou em várias redes virtuais, habilite pontos de extremidade de serviço em cada uma das sub-redes de forma independente. Este procedimento protege os recursos de serviço do Azure para todas as sub-redes.

• Filtrar o tráfego de saída de uma rede virtual para os serviços do Azure: se pretender inspecionar ou filtrar o tráfego enviado para um serviço do Azure a partir de uma rede virtual, pode implementar uma ferramenta virtual de rede na rede virtual. Em seguida, pode aplicar pontos finais de serviço à sub-rede onde está implementada a aplicação de rede virtual e proteger o recurso de serviço do Azure apenas nesta sub-rede. Esse cenário pode ser útil se você quiser usar a filtragem de dispositivo virtual de rede para restringir o acesso ao serviço do Azure de sua rede virtual apenas para recursos específicos do Azure. Para obter mais informações, veja saída com aplicações de rede virtual.

• Protegendo recursos do Azure para serviços implantados diretamente em redes virtuais: você pode implantar diretamente vários serviços do Azure em sub-redes específicas em uma rede virtual. Pode proteger recursos de serviço do Azure para sub-redes de serviços geridos ao configurar um ponto final de serviço na sub-rede do serviço gerido.

• Tráfego de disco de uma máquina virtual do Azure: as alterações de roteamento de pontos de extremidade de serviço para o Armazenamento do Azure não afetam o tráfego de disco da máquina virtual para discos gerenciados e não gerenciados. Esse tráfego inclui E/S de disco e operações de montagem e desmontagem. Você pode usar pontos de extremidade de serviço e regras de rede do Armazenamento do Azure para restringir o acesso REST a blobs de páginas em redes específicas.

Registo e diagnóstico de problemas

Depois de configurar os pontos de extremidade de serviço para um serviço específico, verifique se a rota do ponto de extremidade do serviço é aplicada:

• Validação do endereço IP de origem de qualquer pedido de serviço no diagnóstico do serviço. Todos os novos pedidos com pontos finais de serviço mostram o endereço IP de origem para o pedido como o endereço IP privado da rede virtual atribuído ao cliente que efetua o pedido a partir da sua rede virtual. Sem o ponto final, o endereço é um endereço IP público do Azure.

• Visualização das rotas efetivas em qualquer interface de rede numa sub-rede. A rota para o serviço:

  • Mostra uma rota predefinida mais específica para endereçar intervalos de prefixo de cada serviço

  • Tem um "nextHopType" de VirtualNetworkServiceEndpoint

  • Indica que uma conexão mais direta com o serviço está em vigor em comparação com quaisquer rotas de tunelamento forçado

Aprovisionamento

Os utilizadores com acesso de gravação a uma rede virtual podem configurar autonomamente os pontos de extremidade de serviço nas redes virtuais. Para proteger os recursos de serviço do Azure em uma rede virtual, os usuários devem ter a permissão Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action para as sub-redes adicionadas. As funções internas de administrador de serviço incluem essa permissão por padrão, mas você pode modificá-la criando funções personalizadas.

Para obter mais informações sobre funções internas, consulte Funções internas do Azure. Para obter mais informações sobre como atribuir permissões específicas a funções personalizadas, consulte Funções personalizadas do Azure.

As redes virtuais e os recursos de serviço do Azure podem pertencer às mesmas subscrições ou a subscrições diferentes. Determinados Serviços do Azure (não todos), como o Armazenamento do Azure e o Cofre da Chave do Azure, também oferecem suporte a pontos de extremidade de serviço em diferentes locatários do Microsoft Entra ID. A rede virtual e o recurso de serviço do Azure podem estar em diferentes locatários do Microsoft Entra ID. Consulte a documentação de serviço individual para obter mais detalhes.

Preços e limites

Não há cobrança extra pelo uso de endpoints de serviço. O modelo de preços atual para serviços do Azure (Armazenamento do Azure, Banco de Dados SQL do Azure, etc.) se aplica como está hoje.

Não há limite para o número total de pontos de extremidade de serviço em uma rede virtual.

Determinados serviços do Azure, como Contas de Armazenamento do Azure, podem impor limites ao número de sub-redes usadas para proteger o recurso. Consulte a documentação de vários serviços na seção Próximas etapas para obter detalhes.

Políticas de ponto de extremidade do serviço de rede virtual

As políticas de ponto de extremidade do serviço de rede virtual permitem filtrar o tráfego de rede virtual para os serviços do Azure. Esse filtro permite apenas recursos de serviço específicos do Azure sobre pontos de extremidade de serviço. As políticas de ponto de extremidade de serviço permitem um controlo de acesso mais detalhado para o tráfego de rede virtual aos serviços Azure. Para obter mais informações, consulte Políticas de ponto de extremidade do serviço de rede virtual.

Perguntas frequentes

Para perguntas frequentes, consulte Perguntas Frequentes sobre Endpoint do Serviço de Rede Virtual.

Próximos passos

• Configurar pontos finais de serviço de rede virtual

• Associar uma conta de Armazenamento do Azure a uma rede virtual

• Associar um Banco de Dados SQL do Azure a uma rede virtual

• Integre o Azure Synapse Analytics a uma rede virtual

• Compare pontos de extremidade privados e pontos de extremidade de serviço

• Políticas de ponto de extremidade do serviço de rede virtual

• Modelo Azure Resource Manager