Definire il servizio di collegamento privato e l'endpoint privato

Completato

Che cos'è Collegamento privato di Azure?

Collegamento privato di Azure consente di accedere ai servizi PaaS di Azure e ai servizi di proprietà di clienti/partner ospitati in Azure tramite un endpoint privato nella rete virtuale.

Prima di acquisire informazioni sul collegamento privato di Azure e le relative funzionalità e vantaggi, esaminiamo il problema per la cui risoluzione il collegamento privato è progettato.

Contoso dispone di una rete virtuale di Azure e ci si vuole connettere a una risorsa PaaS, ad esempio un database SQL di Azure. Quando si creano tali risorse, in genere si specifica un endpoint pubblico come metodo di connettività.

La presenza di un endpoint pubblico significa che alla risorsa viene assegnato un indirizzo IP pubblico. Dunque, anche se la rete virtuale e il database SQL di Azure si trovano all'interno del cloud di Azure, la connessione tra di essi avviene tramite Internet.

L'aspetto problematico è legato all'esposizione in Internet del database SQL di Azure tramite l'indirizzo IP pubblico. Questa esposizione comporta più rischi per la sicurezza. Questi rischi di sicurezza sono presenti quando si accede a una risorsa di Azure tramite un indirizzo IP pubblico da:

• Una rete virtuale di Azure con peering.
• Una rete locale che si connette ad Azure tramite ExpressRoute e peering Microsoft.
• Una rete virtuale di Azure di un cliente che si connette a un servizio di Azure offerto dall'azienda.

Il collegamento privato è progettato per eliminare questi rischi di sicurezza rimuovendo la parte pubblica della connessione.

Il collegamento privato consente di accedere in modo sicuro ai servizi di Azure. Il collegamento privato consente di ottenere tale sicurezza sostituendo l'endpoint pubblico di una risorsa con un'interfaccia di rete privata. Con questa nuova architettura è necessario considerare tre punti chiave:

• La risorsa di Azure diventa, in un certo senso, parte integrante della rete virtuale.
• La connessione alla risorsa usa adesso la rete backbone di Microsoft Azure invece della rete Internet pubblica.
• È possibile configurare la risorsa di Azure in modo che non esponga più il proprio indirizzo IP pubblico, eliminando così i potenziali rischi per la sicurezza.

Che cos'è l'endpoint privato di Azure?

La tecnologia chiave alla base del collegamento privato è rappresentata dall'endpoint privato. L'endpoint privato è un'interfaccia di rete che consente una connessione privata e sicura tra la rete virtuale e un servizio di Azure. In altre parole, l'endpoint privato è l'interfaccia di rete che sostituisce l'endpoint pubblico della risorsa.

Il collegamento privato consente di accedere in modo sicuro ai servizi di Azure. Il collegamento privato consente di ottenere tale sicurezza sostituendo l'endpoint pubblico di una risorsa con un'interfaccia di rete privata. L'endpoint privato utilizza l'indirizzo IP privato per i servizi nella rete virtuale.

Quali sono le differenze tra Endpoint privato di Azure e un endpoint servizio?

Gli endpoint privati concedono l'accesso di rete a risorse specifiche dietro un determinato servizio con la segmentazione granulare. Il traffico può raggiungere la risorsa del servizio dall'ambiente locale senza usare endpoint pubblici.

Un endpoint servizio rimane un indirizzo IP instradabile pubblicamente. Un endpoint privato è un indirizzo IP privato nello spazio indirizzi della rete virtuale in cui l'endpoint privato è configurato.

Nota

Microsoft consiglia di usare Collegamento privato di Azure per l'accesso sicuro e privato ai servizi ospitati nella piattaforma Azure.

Che cos'è il servizio di collegamento privato di Azure?

Il collegamento privato consente di accedere privatamente dalla rete virtuale di Azure ai servizi PaaS e ai servizi partner in Azure. Ma cosa succede se l'azienda dispone di servizi di Azure propri? È possibile offrire ai clienti una connessione privata ai servizi della società?

Sì, usando il servizio di collegamento privato di Azure. Questo servizio consente di offrire connessioni private ai servizi di Azure personalizzati. Gli utenti dei servizi personalizzati potranno quindi accedere a tali servizi privatamente, ovvero senza usare Internet, dalle proprie reti virtuali di Azure.

Il servizio Collegamento privato di Azure è il riferimento a un servizio personalizzato basato su Collegamento privato di Azure. Il servizio in esecuzione dietro Load Balancer Standard di Azure può essere abilitato per l'accesso con collegamento privato, in modo che i consumer del servizio possano accedervi privatamente dalle proprie reti virtuali. I clienti possono creare un endpoint privato all'interno della loro rete virtuale ed eseguirne il mapping a questo servizio. Un servizio di collegamento privato riceve le connessioni da più endpoint privati. Un endpoint privato si connette a un servizio di collegamento privato.

Proprietà dell'endpoint privato

Prima di creare un endpoint privato, prendere in considerazione le proprietà dell'endpoint privato e raccogliere i dati sulle esigenze specifiche da soddisfare.

• Un nome univoco con un gruppo di risorse.
• Una subnet per la distribuzione e l'allocazione di indirizzi IP privati da una rete virtuale.
• La risorsa collegamento privato per la connessione tramite l'alias o l'ID risorsa dall'elenco dei tipi disponibili. Viene generato un identificatore di rete univoco per tutto il traffico inviato a questa risorsa.
• Sottorisorsa a cui connettersi. A ogni tipo di risorsa collegamento privato sono associate opzioni diverse da selezionare in base alle preferenze.
• Un metodo di approvazione della connessione automatico o manuale. In base alle autorizzazioni di controllo degli accessi in base al ruolo di Azure, l'endpoint privato può essere approvato automaticamente. Per il metodo manuale, il proprietario della risorsa approva la connessione.
• Per inviare traffico è possibile usare solo endpoint privati in uno stato approvato.

Inoltre, considera:

• I client avviano connessioni di rete. Le connessioni possono essere stabilite solo in un'unica direzione.
• L'endpoint privato dispone di un'interfaccia di rete di sola lettura per il ciclo di vita della risorsa. All'interfaccia vengono assegnati indirizzi IP privati dinamici dalla subnet che esegue il mapping alla risorsa collegamento privato. Il valore dell'indirizzo IP privato rimane invariato per l'intero ciclo di vita dell'endpoint privato.
• L'endpoint privato deve essere distribuito nella stessa area e con la stessa sottoscrizione della rete virtuale.
• La risorsa collegamento privato può essere distribuita in un'area diversa rispetto alla rete virtuale e all'endpoint privato.
• È possibile creare più endpoint privati usando la stessa risorsa collegamento privato.
• È possibile creare più endpoint privati nella stessa subnet o in subnet diverse all'interno della stessa rete virtuale.

Verificare le conoscenze

1.

Qual è la tecnologia chiave alla base dei collegamenti privati?

Endpoint privato.

Risoluzione DNS.

Reti virtuali.

2.

Qual è la differenza tra un endpoint servizio e un endpoint privato?

Un endpoint privato si connette a sistemi e servizi esterni.

Un endpoint servizio si connette a sistemi e servizi esterni.

Un endpoint di servizio consente una connessione privata e sicura tra la rete virtuale e Azure.

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.