Compartilhar via


O que é um ponto de extremidade privado?

Um ponto de extremidade privado é uma adaptador de rede que usa um endereço IP privado de sua rede virtual. Essa interface de rede conecta você de forma privada e segura a um serviço da plataforma do Link Privado do Azure. Ao habilitar um ponto de extremidade privado, você está trazendo o serviço para sua rede virtual.

O serviço pode ser um serviço do Azure, como:

  • Armazenamento do Azure
  • Azure Cosmos DB
  • Banco de Dados SQL do Azure
  • Seu próprio serviço, usando o serviço do Link Privado.

Propriedades do ponto de extremidade privado

Um ponto de extremidade privado especifica as seguintes propriedades:

Propriedade Descrição
Nome Um nome exclusivo dentro do grupo de recursos.
Sub-rede A sub-rede a ser implantada e onde o endereço IP privado está atribuído. Para obter os requisitos de sub-rede, confira a seção Limitações mais adiante neste artigo.
Recurso do link privado O recurso do link privado para conectar-se usando a ID do recurso ou alias da lista de tipos disponíveis. Um identificador de rede exclusivo é gerado para todo o tráfego que é enviado para esse recurso.
Sub-recurso de destino O sub-recurso a ser conectado. Cada tipo de recurso do link privado tem opções diferentes para selecionar com base na preferência.
Método de aprovação de conexão Automático ou manual. Dependendo das permissões do controle de acesso baseado em função do Azure, seu ponto de extremidade privado pode ser aprovado automaticamente. Se você estiver se conectando a um recurso do link privado sem as permissões baseadas em função do Azure, use o método manual para permitir que o proprietário do recurso aprove a conexão.
Mensagem de solicitação Você pode especificar uma mensagem para que as conexões solicitadas sejam aprovadas manualmente. Essa mensagem pode ser usada para identificar uma solicitação específica.
Status da conexão Uma propriedade somente leitura que especifica se o ponto de extremidade privado está ativo ou não. Somente os pontos de extremidade privados no estado aprovado podem ser usados para enviar tráfego. Mais estados disponíveis:
  • Aprovado: a conexão foi aprovada automaticamente ou manualmente e está pronta para ser usada.
  • Pendente: a conexão foi criada manualmente e está pendente de aprovação pelo proprietário do recurso do link privado.
  • Rejeitado: a conexão foi rejeitada pelo proprietário do recurso do link privado.
  • Desconectado: a conexão foi removida pelo proprietário do recurso do link privado. O ponto de extremidade privado se torna informativo e deve ser excluído para limpeza.
  • Ao criar pontos de extremidade privados, considere o seguinte:

    • Os pontos de extremidade privados habilitam a conectividade entre os clientes do(s)/da(s) mesmo(s)/mesma(s):

      • Rede virtual
      • Redes virtuais emparelhadas regionalmente
      • Redes virtuais emparelhadas mundialmente
      • Ambientes locais que usam VPN ou Express Route
      • Serviços que são alimentados pelo Link Privado
    • As conexões de rede podem ser iniciadas somente por clientes que estão se conectando ao ponto de extremidade privado. Os provedores de serviços não têm a configuração de roteamento para criar conexões nos clientes do serviço. As conexões só podem ser estabelecidas em uma única direção.

    • Um interface de rede somente leitura é criado automaticamente para o ciclo de vida do ponto de extremidade privado. A interface recebe é atribuída com um endereço IP privado dinâmico da sub-rede que mapeia o recurso do link privado. O valor do endereço IP privado permanece inalterado durante todo o ciclo de vida do ponto de extremidade privado.

    • O ponto de extremidade privado deve ser implantado na mesma região e assinatura que a rede virtual.

    • O recurso do link privado pode ser implantado em uma região diferente daquela da rede virtual e do ponto de extremidade privado.

    • Vários pontos de extremidade privados podem ser criados com o mesmo recurso do link privado. Para uma única rede que usa uma configuração de servidor DNS comum, a prática recomendada é usar um único ponto de extremidade privado para um recurso do link privado especificado. Use esta prática para evitar entradas duplicadas ou conflitos na resolução de DNS.

    • Vários pontos de extremidade privados podem ser criados na mesma sub-rede ou em sub-redes diferentes na mesma rede virtual. Há limites para o número de pontos de extremidade privados que você pode criar em uma assinatura. Para obter mais informações, confira Limites do Azure.

    • A assinatura que contém o recurso de link privado precisa ser registrada no provedor de recursos de rede da Microsoft. A assinatura que contém o ponto de extremidade privado também precisa ser registrada no provedor de recursos de rede da Microsoft. Para saber mais, confira Provedores e tipos de recursos do Azure.

    Um recurso do link privado é o destino pretendido de um ponto de extremidade privado especificado. A tabela a seguir lista os recursos disponíveis que dão suporte a um ponto de extremidade privado:

    Nome do recurso do link privado Tipo de recurso Sub-recursos
    Gateway de Aplicativo Microsoft.Network/applicationgateways Nome de configuração de IP de frontend
    Azure AI Search Microsoft.Search/searchServices searchService
    Serviços de IA do Azure Microsoft.CognitiveServices/accounts conta
    API do Azure para FHIR (Fast Healthcare Interoperability Resources) Microsoft.HealthcareApis/services fhir
    Gerenciamento de API do Azure Microsoft.ApiManagement/service Gateway
    Configuração de Aplicativo do Azure Microsoft.Appconfiguration/configurationStores configurationStores
    Serviço do Aplicativo do Azure Microsoft.Web/hostingEnvironments ambiente de hospedagem
    Serviço de aplicativo do Azure Microsoft.Web/sites sites
    Serviço de Atestado do Azure Microsoft.Attestation/attestationProviders padrão
    Automação do Azure Microsoft.Automation/automationAccounts Webhook, DSCAndHybridWorker
    Serviço de Backup do Azure Microsoft.RecoveryServices/vaults AzureBackup, AzureSiteRecovery
    Lote do Azure Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Cache Redis do Azure Microsoft.Cache/Redis redisCache
    Cache do Azure para Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Aplicativos de Contêiner do Azure Microsoft.App/ManagedEnvironments managedEnvironment
    Registro de Contêiner do Azure Microsoft.ContainerRegistry/registries Registro
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Table
    Azure Cosmos DB para MongoDB vCore Microsoft.DocumentDb/mongoClusters mongoCluster
    Azure Cosmos DB para PostgreSQL Microsoft.DBforPostgreSQL/serverGroupsv2 coordenador
    Azure Data Explorer Microsoft.Kusto/clusters cluster
    Azure Data Factory Microsoft.DataFactory/factories dataFactory
    Banco de Dados do Azure para MariaDB Microsoft.DBforMariaDB/servers mariadbServer
    Banco de Dados do Azure para MySQL – Servidor flexível Microsoft.DBforMySQL/flexibleServers mysqlServer
    Banco de Dados do Azure para MySQL – Servidor Único Microsoft.DBforMySQL/servers mysqlServer
    Banco de Dados do Azure para PostgreSQL – Servidor Flexível Microsoft.DBforPostgreSQL/flexibleServers postgresqlServer
    Banco de Dados do Azure para PostgreSQL – Servidor único Microsoft.DBforPostgreSQL/servers postgresqlServer
    Azure Databricks Microsoft.Databricks/workspaces databricks_ui_api, browser_authentication
    Serviço de provisionamento de dispositivo do Azure Microsoft.Devices/provisioningServices iotDps
    Gêmeos Digitais do Azure Microsoft.DigitalTwins/digitalTwinsInstances API
    Grade de Eventos do Azure Microsoft.EventGrid/domains domínio
    Grade de Eventos do Azure Microsoft.EventGrid/topics topic
    Hub de Eventos do Azure Microsoft.EventHub/namespaces namespace
    Sincronização de Arquivos do Azure Microsoft.StorageSync/storageSyncServices Serviço de Sincronização de Arquivos
    Azure HDInsight Microsoft.HDInsight/clusters cluster
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Hub IoT do Azure Microsoft.Devices/IotHubs iotHub
    Cofre de Chave do Azure Microsoft.KeyVault/vaults cofre
    HSM (módulo de segurança de hardware) do Azure Key Vault Microsoft.Keyvault/managedHSMs HSM
    Serviço de Kubernetes do Azure – API Kubernetes Microsoft.ContainerService/managedClusters gerenciamento
    Azure Machine Learning Microsoft.MachineLearningServices/registries amlregistry
    Azure Machine Learning Microsoft.MachineLearningServices/workspaces amlworkspace
    Azure Managed Disks Microsoft.Compute/diskAccesses disco gerenciado
    Serviços de Mídia do Azure Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint
    Migrações para Azure Microsoft.Migrate/assessmentProjects project
    Escopo de Link Privado do Azure Monitor Microsoft.Insights/privatelinkscopes azuremonitor
    Retransmissão do Azure Microsoft.Relay/namespaces namespace
    Barramento de Serviço do Azure Microsoft.ServiceBus/namespaces namespace
    Serviço do Azure SignalR Microsoft.SignalRService/SignalR signalr
    Serviço do Azure SignalR Microsoft.SignalRService/webPubSub webpubsub
    Banco de Dados SQL do Azure Microsoft.Sql/servers SQL Server (sqlServer)
    Instância Gerenciada do Azure SQL Microsoft.Sql/managedInstances managedInstance
    Aplicativos Web Estáticos do Azure Microsoft.Web/staticSites staticSites
    Armazenamento do Azure Microsoft.Storage/storageAccounts Blob (blob, blob_secondary)
    Tabela (tabela, table_secondary)
    Fila (fila, queue_secondary)
    Arquivo (arquivo, file_secondary)
    Web (Web, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure Synapse Microsoft.Synapse/privateLinkHubs web
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Dev
    Área de Trabalho Virtual do Azure - pools do host Microsoft.DesktopVirtualization/hostpools connection
    Área de Trabalho Virtual do Azure - workspaces Microsoft.DesktopVirtualization/workspaces feed
    global
    Documentação da Atualização de dispositivo para o Hub IoT Microsoft.DeviceUpdate/accounts DeviceUpdate
    Conta de Integração (Premium) Microsoft.Logic/integrationAccounts integrationAccount
    Microsoft Purview Microsoft.Purview/accounts account
    Microsoft Purview Microsoft.Purview/accounts Portal
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Serviço do Link Privado (seu próprio serviço) Microsoft.Network/privateLinkServices empty
    Links privados de gerenciamento de recursos Microsoft.Authorization/resourceManagementPrivateLinks ResourceManagement

    Observação

    Você só pode criar pontos de extremidade privados em uma conta de armazenamento GPv2 (Uso Geral v2).

    Segurança de rede dos pontos de extremidade privados

    Quando você usa pontos de extremidade privados, o tráfego é protegido para um recurso do link privado. A plataforma valida as conexões de rede, permitindo apenas aquelas que alcançam o recurso de link privado especificado. Para acessar mais sub-recursos dentro do mesmo serviço do Azure, são necessários mais pontos de extremidade privados com os destinos correspondentes. No caso do Armazenamento do Microsoft Azure, por exemplo, você precisaria de pontos de extremidade privados separados para acessar os sub-recursos arquivo e blob.

    Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não necessariamente restringem o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem controles de acesso adicionais. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.

    Os pontos de extremidade privados dão suporte a políticas de rede. As políticas de rede habilitam o suporte para NSG (grupos de segurança de rede), UDR (rotas definidas pelo usuário) e ASG (grupos de segurança de aplicativo). Para saber como habilitar políticas de rede para um ponto de extremidade privado, confira Gerenciar políticas de rede para pontos de extremidade privados. Para usar um ASG com um ponto de extremidade privado, confira Configurar um ASG (grupo de segurança de aplicativo) com um ponto de extremidade privado.

    Você pode se conectar a um recurso do link privado usando os seguintes métodos de aprovação de conexão:

    • Aprovar automaticamente: use esse método quando você for o proprietário ou tiver as permissões do recurso de link privado específico. As permissões exigidas são baseadas no tipo de recurso do link privado no seguinte formato:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Solicitar manualmente: use esse método quando você não tiver as permissões necessárias e quiser solicitar o acesso. Um fluxo de trabalho de aprovação é iniciado. O ponto de extremidade privado e as conexões do ponto de extremidade particular posteriores são criados em um estado Pendente. O proprietário do recurso do link privado é responsável por aprovar a conexão. Depois de aprovado, o ponto de extremidade privado é habilitado para enviar o tráfego normalmente, conforme mostrado no diagrama de fluxo de trabalho de aprovação a seguir:

    Diagrama do processo de aprovação do fluxo de trabalho.

    Em uma conexão de ponto de extremidade privado, um proprietário do recurso do link privado pode:

    • Examinar todos detalhes das conexões de ponto de extremidade privado.
    • Aprovar de uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é habilitado para enviar tráfego para o recurso do link privado.
    • Rejeitar uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é atualizado para refletir o status.
    • Excluir uma conexão de ponto de extremidade privado em qualquer estado. O ponto de extremidade privado correspondente é atualizado com um estado desconectado para refletir a ação. O proprietário do ponto de extremidade privado pode excluir apenas o recurso nesse ponto.

    Observação

    Somente os pontos de extremidade privados em um estado Aprovado podem enviar tráfego para determinado recurso do link privado.

    Conexão usando um alias

    Um alias é um moniker exclusivo gerado quando o proprietário do serviço cria um serviço do link privado subjacente a um balanceador de carga padrão. Os proprietários do serviço podem compartilhar esse alias offline com os consumidores do seu serviço.

    Os consumidores podem solicitar uma conexão com o serviço do link privado usando o URI do recurso ou o alias. Para se conectar usando o alias, crie um ponto de extremidade privado usando o método de aprovação de conexão manual. Para usar o método de aprovação de conexão manual, defina o parâmetro de solicitação manual como True durante o fluxo de criação do ponto de extremidade privado. Para obter mais informações, veja New-AzPrivateEndpoint e az network private-endpoint create.

    Observação

    Observe que essa solicitação manual poderá ser aprovada automaticamente se a assinatura do consumidor estiver na lista de permitidas no lado do provedor. Para saber mais, vá até controlar o acesso ao serviço.

    Configuração de DNS

    As configurações de DNS que você usa para se conectar a um recurso do link privado são importantes. Os serviços do Azure existentes já podem ter uma configuração de DNS que você pode usar ao se conectar por meio de um ponto de extremidade público. Para se conectar ao mesmo serviço por meio do ponto de extremidade privado, são necessárias configurações de DNS separadas, geralmente configuradas por meio de zonas DNS privadas. Verifique se as configurações de DNS estão corretas ao usar o FQDN (nome de domínio totalmente qualificado) para a conexão. As configurações devem resolver o endereço IP privado do ponto de extremidade privado.

    A interface de rede associada o ponto de extremidade privado contém as informações necessárias para configurar o DNS. As informações incluem o FQDN e o endereço IP privado para um recurso do link privado.

    Para obter informações detalhadas completas sobre as recomendações para configurar o DNS para pontos de extremidade privados, consulte a Configuração de DNS do ponto de extremidade privado.

    Limitações

    As informações a seguir listam as limitações conhecidas para o uso de pontos de extremidade privados:

    Endereço IP estático

    Limitação Descrição
    Atualmente, não há suporte para a configuração de endereço de IP estático. AKS (Serviço de Kubernetes do Azure)
    Gateway de Aplicativo do Azure
    HDInsight
    Cofres dos Serviços de Recuperação
    Serviços de Link Privado de terceiros

    Grupo de segurança de rede

    Limitação Descrição
    Rotas efetivas e regras de segurança indisponíveis para adaptador de rede de ponto de extremidade privado. Rotas efetivas e regras de segurança não serão exibidas para a NIC do ponto de extremidade privado no portal do Azure.
    Logs de fluxo de NSG sem suporte. Logs de fluxo de NSG não disponíveis para o tráfego de entrada destinado a um ponto de extremidade privado.
    Não mais do que 50 membros em um Grupo de Segurança de Aplicativo. Cinquenta é o número de configurações de IP que podem ser vinculadas a cada ASG respectivo que está acoplado ao NSG na sub-rede do ponto de extremidade privado. Falhas de conexão podem ocorrer com mais de 50 membros.
    Intervalos de porta de destino com suporte até um fator de 250 mil. Os intervalos de porta de destino têm suporte como multiplicação SourceAddressPrefixes, DestinationAddressPrefixes e DestinationPortRanges.

    Exemplo de regra de entrada:
    Uma origem * um destino * 4 mil portRanges = 4 mil Válidos
    10 origens * 10 destinos * 10 portRanges = 1 mil Válidos
    50 origens * 50 destinos * 50 portRanges = 125 mil Válidos
    50 origens * 50 destinos * 100 portRanges = 250 mil Válidos
    100 origens * 100 destinos * 100 portRanges = 1M Inválidos, o NSG tem origens/destinos/portas demais.
    A filtragem da porta de origem é interpretada como * A filtragem de porta de origem não é usada ativamente como cenário válido de filtragem de tráfego para tráfego destinado a um ponto de extremidade privado.
    Funcionalidade não disponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    Oeste da Índia
    Austrália Central 2
    Oeste da África do Sul
    Sudeste do Brasil
    Todas as regiões do Governo
    Todas as regiões da China

    Mais considerações sobre o NSG

    • O tráfego de saída negado de um ponto de extremidade privado não é um cenário válido, pois o provedor de serviços não pode originar tráfego.

    • Os serviços a seguir podem exigir que todas as portas de destino sejam abertas ao usar um ponto de extremidade privado e adicionar filtros de segurança de NSG:

    UDR

    Limitação Descrição
    O SNAT é sempre recomendado. Por causa da natureza variável do plano de dados do ponto de extremidade privado, é recomendável o tráfego de SNAT destinado a um ponto de extremidade privado para garantir que o tráfego de retorno seja respeitado.
    Funcionalidade não disponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    Oeste da Índia
    Austrália Central 2
    Oeste da África do Sul
    Sudeste do Brasil

    Grupo de segurança do aplicativo

    Limitação Descrição
    Funcionalidade não disponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    Oeste da Índia
    Austrália Central 2
    Oeste da África do Sul
    Sudeste do Brasil

    Próximas etapas