Tutorial: inspecionar o tráfego de ponto de extremidade privado com o Firewall do Azure
O ponto de extremidade privado do Azure é o bloco de construção fundamental do Link Privado do Azure. Pontos de extremidade privados permitem que recursos do Azure implantados em uma rede virtual se comuniquem de maneira privada com recursos de link privado.
Pontos de extremidade privados permitem que recursos acessem o serviço de link privado implantado em uma rede virtual. O acesso ao ponto de extremidade privado por meio do emparelhamento de rede virtual e as conexões de rede locais estendem a conectividade.
Talvez seja necessário inspecionar ou bloquear o tráfego de clientes para os serviços expostos por meio de pontos de extremidade privados. Conclua essa inspeção usando o Firewall do Azure ou uma solução de virtualização de uma rede de terceiros.
Para obter mais informações e cenários que envolvem pontos de extremidade privados e o Firewall do Azure, confira Cenários do Firewall do Azure para inspecionar o tráfego destinado a um ponto de extremidade privado.
Neste tutorial, você aprenderá a:
- Crie uma rede virtual e um bastion host para a máquina virtual de teste.
- Crie a rede virtual de ponto de extremidade privado.
- Crie uma máquina virtual de teste.
- Implantar o Firewall do Azure.
- Criar um banco de dados SQL do Azure.
- Crie um ponto de extremidade privado para o SQL do Azure.
- Crie um par de rede entre a rede virtual do ponto de extremidade privado e a rede virtual da máquina virtual de teste.
- Vincule as redes virtuais a uma zona DNS privada.
- Configure as regras de aplicativos no Firewall do Azure para o SQL do Azure.
- Roteie o tráfego entre a máquina virtual de teste e o SQL do Azure por meio do Firewall do Azure.
- Teste a conexão com o SQL do Azure e valide-a nos logs do Firewall do Azure.
Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
Pré-requisitos
Uma conta do Azure com uma assinatura ativa.
Um espaço de trabalho do Log Analytics. Para obter mais informações sobre a criação de um espaço de trabalho de análise de logs, confira Criar um espaço de trabalho do Log Analytics no portal do Azure.
Entre no Portal do Azure
Entre no portal do Azure.
Criar uma rede virtual e um host do Azure Bastion
O seguinte procedimento cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host do Bastion:
No portal do Azure, pesquise e selecione Redes virtuais.
Na página Redes virtuais, selecione + Criar.
Na guia Informações Básicas em Criar rede virtual, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione Criar novo.
Insira test-rg para o nome.
Selecione
.Detalhes da instância Nome Insira vnet-1. Região Selecione Leste dos EUA 2. 
Selecione Avançar para prosseguir para a guia Segurança.
Na seção Azure Bastion, selecione Habilitar o Azure Bastion.
O Bastion usa seu navegador para se conectar às VMs em sua rede virtual por meio do Secure Shell (SSH) ou do Protocolo de Área de Trabalho Remota (RDP) usando os respectivos endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações, confira O que é o Azure Bastion?.
Observação
Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.
Em Azure Bastion, digite ou selecione as seguintes informações:
Configuração Valor Nome do host do Azure Bastion Insira bastion. Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
Insira public-ip-bastion em Nome.
Selecione
.
Selecione Avançar para prosseguir para a guia Endereços IP.
Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão.
Em Editar sub-rede, insira ou selecione as seguintes informações:
Configuração Valor Finalidade da sub-rede Mantenha o padrão como Padrão. Nome Insira sub-rede-1. IPv4 Intervalo de endereços IPv4 Mantenha o padrão de 10.0.0.0/16. Endereço inicial Deixe o padrão de 10.0.0.0. Tamanho Deixe o padrão de /24 (256 endereços). 
Selecione Salvar.
Selecione Examinar + criar na parte inferior da página. Quando a validação for aprovada na validação, selecione Criar.
Criar uma rede virtual para um ponto de extremidade privado
O procedimento a seguir cria uma rede virtual com uma sub-rede.
No portal do Azure, pesquise e selecione Redes virtuais.
Na página Redes virtuais, selecione + Criar.
Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg Detalhes da instância Nome Insira vnet-private-endpoint. Região Selecione Leste dos EUA 2. Selecione Avançar para prosseguir para a guia Segurança.
Selecione Avançar para prosseguir para a guia Endereços IP.
Selecione Excluir espaço de endereços IP com o ícone de lixeira para remover o espaço de endereços IP padrão.
Selecione Adicionar espaço de endereços IPv4.
Insira 10.1.0.0 e deixe a caixa suspensa no padrão de /16 (65.536 endereços).
Selecione +Adicionar uma sub-rede.
Em Adicionar uma sub-rede, insira ou selecione as seguintes informações:
Configuração Valor Detalhes da sub-rede Modelo de sub-rede Deixe o padrãoPadrão. Nome Insira subnet-private. Endereço inicial Deixe o padrão de 10.1.0.0. Tamanho da sub-rede Deixe o padrão /24(256 endereços). Selecione Adicionar.
Selecione Examinar + criar na parte inferior da tela e, quando a validação for aprovada, selecione Criar.
Criar máquina virtual de teste
O procedimento a seguir cria uma máquina virtual de teste (VM) chamada vm-1 na rede virtual.
No portal, pesquise e selecione Máquinas virtuais.
Em Máquinas virtuais, selecione + Criar e, em seguida, Máquina virtual do Azure.
Na guia Informações Básicas em Criar uma máquina virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome da máquina virtual Insira vm-1. Região Selecione Leste dos EUA 2. Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária. Tipo de segurança Deixe o padrão de Standard. Imagem Selecione Ubuntu Server 22.04 LTS - x64 Gen2. Arquitetura de VMs; Mantenha o padrão x64. Tamanho Selecione um tamanho. Conta de administrador Tipo de autenticação Selecione Senha. Nome de Usuário insira azureuser. Senha Digite uma senha. Confirmar senha Digitar novamente a senha. Regras de porta de entrada Porta de entrada públicas Selecione Nenhum. Selecione a guia Rede na parte superior da página.
Insira ou selecione as seguintes informações na guia Rede:
Configuração Valor Interface de rede Rede virtual Selecione vnet-1. Sub-rede Selecione sub-rede-1 (10.0.0.0/24). IP público Selecione Nenhum. Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione Criar novo.
Insira nsg-1 no nome.
Deixe os demais valores como padrão e selecione OK.Deixe o restante das configurações nos padrões e selecione Revisar + criar.
Examine as configurações e selecione Criar.
Observação
Máquinas virtuais em uma rede virtual com um bastion host não precisam de endereços IP públicos. O Bastion fornece o IP público e as VMs usam IPs privados para se comunicar dentro da rede. Você pode remover os IPs públicos de qualquer VM em redes virtuais hospedadas no bastion. Para obter mais informações, confira dissociar um endereço IP público de uma VM do Azure.
Observação
O Azure fornece um IP de acesso de saída padrão para VMs que não receberam um endereço IP público ou que estão no pool de back-end de um balanceador de carga do Azure básico interno. O mecanismo de IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.
O IP de acesso de saída padrão é desabilitado quando um dos seguintes eventos acontece:
- Um endereço IP público é atribuído à VM.
- A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
- Um recurso da Gateway da NAT do Azure é atribuído à sub-rede da VM.
As VMs criadas por conjuntos de dimensionamento de máquinas virtuais no modo de orquestração flexível não têm acesso de saída padrão.
Para mais informações sobre conexões de saída no Azure, confira Acesso de saída padrão no Azure e Usar SNAT (conversão de endereços de rede de origem) para conexões de saída.
implantar o Firewall do Azure
Na caixa de pesquisa na parte superior do portal, insira Firewall. Selecione Firewalls nos resultados da pesquisa.
Em Firewalls, selecione + Criar.
Insira ou selecione as seguintes informações na guia Informações básicas de Criar um firewall:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome Insira firewall. Região Selecione Leste dos EUA 2. Zona de disponibilidade Selecione Nenhum. SKU do Firewall Selecione Padrão. Gerenciamento do firewall Selecione Usar uma política de firewall para gerenciar este firewall. Política de firewall Selecione Adicionar nova.
Insira firewall-policy em Nome da política.
Selecione Leste dos EUA 2 na região.
Selecione OK.Escolher uma rede virtual Selecione Criar novo. Nome da rede virtual Insira vnet-firewall. Espaço de endereço Insira 10.2.0.0/16. Espaço de endereço da sub-rede Insira 10.2.1.0/26. Endereço IP público Selecione Adicionar nova.
Insira public-ip-firewall em Nome.
Selecione
.Selecione Examinar + criar.
Selecione Criar.
Aguarde a conclusão da implantação do firewall antes de continuar.
Habilitar logs de firewall
Nesta seção, você habilitará os logs de firewall e os enviará para o espaço de trabalho de análise de logs.
Observação
É necessário ter um espaço de trabalho de análise de logs na sua assinatura para poder habilitar os logs de firewall. Para obter mais informações, veja Pré-requisitos.
Na caixa de pesquisa na parte superior do portal, insira Firewall. Selecione Firewalls nos resultados da pesquisa.
Selecione firewall.
Em Monitoramento, selecione Configurações de diagnóstico.
Selecione + Adicionar configuração de diagnóstico.
Em Configuração de diagnóstico, insira ou selecione as seguintes informações:
Configuração Valor Nome da configuração de diagnóstico Insira diagnostic-setting-firewall. Logs Categorias Selecione Regra de Aplicativo do Firewall do Azure (Diagnóstico do Azure Herdado) e Regra de Rede do Firewall do Azure (Diagnóstico do Azure Herdado). Detalhes do destino Destino Selecione Enviar para o workspace do Log Analytics. Subscription Selecione sua assinatura. Espaço de trabalho do Log Analytics Selecione seu espaço de trabalho de análise de logs. Selecione Salvar.
Criar um banco de dados SQL do Azure
Na caixa de pesquisa na parte superior do portal, insira SQL. Selecione Bancos de dados SQL nos resultados da pesquisa.
Nos bancos de dados SQL, selecione + Criar.
Na guia Informações Básicas de Criar Banco de Dados SQL, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes do banco de dados Nome do banco de dados Insira sql-db. Servidor Selecione Criar novo.
Insira o server-name em nome do servidor (os nomes do servidor devem ser exclusivos, substitua o server-name por um valor exclusivo).
Selecione Leste dos EUA 2 (EUA) em Localização.
Selecione Usar autenticação SQL.
Insira as credenciais e a senha de um administrador do servidor.
Selecione OK.Deseja usar o pool elástico SQL? Selecione Não. Ambiente de carga de trabalho Deixe o padrão de Produção. Redundância do armazenamento de backup Redundância do armazenamento de backup Selecione Armazenamento de backup redundante localmente. Selecione Avançar: Rede.
Na guia Rede de Criar Banco de Dados SQL, insira ou selecione as seguintes informações:
Configuração Valor Conectividade de rede Método de conectividade Selecione Ponto de extremidade privado. Pontos de extremidade privados Selecione + Adicionar ponto de extremidade privado. Criar ponto de extremidade privado Subscription Selecione sua assinatura. Resource group Selecione test-rg. Location Selecione Leste dos EUA 2. Nome Insira private-endpoint-sql. Sub-recurso de destino Selecione SqlServer. Rede Rede virtual Selecione vnet-private-endpoint. Sub-rede Selecione subnet-private-endpoint. Integração de DNS privado Integrar com a zona DNS privado Selecione Sim na barra superior. Zona DNS privada Deixe o padrão de privatelink.database.windows.net. Selecione OK.
Selecione Examinar + criar.
Selecione Criar.
Conectar redes virtuais ao emparelhamento de rede virtual
Nesta seção, você conectará as redes virtuais com o emparelhamento de redes virtuais. As redes vnet-1 e vnet-private-endpoint estão conectadas ao vnet-firewall. Não há conectividade direta entre a vnet-1 e o vnet-private-endpoint.
Na caixa de pesquisa na parte superior do portal, insira Redes virtuais. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-firewall.
Em Configurações, selecione Emparelhamentos.
Em Emparelhamentos, selecione + Adicionar.
Em Adicionar emparelhamento, insira ou selecione as seguintes informações:
Configuração Valor Esta rede virtual Nome do link de emparelhamento Insira vnet-firewall-to-vnet-1. Tráfego para a rede virtual remota Selecione Permitir (padrão). Tráfego encaminhado da rede virtual remota Selecione Permitir (padrão). Gateway de rede virtual ou Servidor de Rota Selecione Nenhum (padrão). Rede virtual remota Nome do link de emparelhamento Insira vnet-1-to-vnet-firewall. Modelo de implantação de rede virtual Selecione Gerenciador de recursos. Subscription Selecione sua assinatura. Rede virtual Selecione vnet-1. Tráfego para a rede virtual remota Selecione Permitir (padrão). Tráfego encaminhado da rede virtual remota Selecione Permitir (padrão). Gateway de rede virtual ou Servidor de Rota Selecione Nenhum (padrão). Selecione Adicionar.
Em Emparelhamentos, selecione + Adicionar.
Em Adicionar emparelhamento, insira ou selecione as seguintes informações:
Configuração Valor Esta rede virtual Nome do link de emparelhamento Insira vnet-firewall-to-vnet-private-endpoint. Permitir que 'vnet-1' acesse 'vnet-private-endpoint' Deixe o padrão marcado. Permitir que 'vnet-1' receba tráfego encaminhado de 'vnet-private-endpoint' Selecione a caixa de seleção. Permitir que o gateway em 'vnet-1' encaminhe o tráfego para 'vnet-private-endpoint' Deixe o padrão desmarcado. Habilitar 'vnet-1' para usar o gateway remoto 'vnet-private-endpoint' Deixe o padrão desmarcado. Rede virtual remota Nome do link de emparelhamento Insira vnet-private-endpoint-to-vnet-firewall. Modelo de implantação de rede virtual Selecione Gerenciador de recursos. Subscription Selecione sua assinatura. Rede virtual Selecione vnet-private-endpoint. Permitir que 'vnet-private-endpoint' acesse 'vnet-1' Deixe o padrão marcado. Permitir que 'vnet-private-endpoint' receba tráfego encaminhado de 'vnet-1' Selecione a caixa de seleção. Permitir que o gateway em 'vnet-private-endpoint' encaminhe o tráfego para 'vnet-1' Deixe o padrão desmarcado. Habilitar 'vnet-private-endpoint' para usar o gateway remoto 'vnet-1' Deixe o padrão desmarcado. Selecione Adicionar.
Verifique se o Status de emparelhamento exibe Conectado para ambos os pares de rede.
Vincular as redes virtuais à zona DNS privada
A zona DNS privada criada durante a criação do ponto de extremidade privado na seção anterior deve ser vinculada às redes virtuais vnet-1 e vnet-firewall.
Na caixa de pesquisa na parte superior do portal, insira Zona DNS Privado. Selecione Zonas DNS Privados nos resultados da pesquisa.
Selecione privatelink.database.windows.net.
Em Configurações, selecione Links de rede virtual.
Selecione + Adicionar.
Em Adicionar link de rede virtual, insira ou selecione as seguintes informações:
Configuração Valor Link de rede virtual Nome do link de rede virtual Insira link-to-vnet-1. Subscription Selecione sua assinatura. Rede virtual Selecione vnet-1 (test-rg). Configuração Deixe o padrão de desmarcado para Habilitar registro automático. Selecione OK.
Selecione + Adicionar.
Em Adicionar link de rede virtual, insira ou selecione as seguintes informações:
Configuração Valor Link de rede virtual Nome do link de rede virtual Insira link-to-vnet-firewall. Subscription Selecione sua assinatura. Rede virtual Selecione vnet-firewall (test-rg). Configuração Deixe o padrão de desmarcado para Habilitar registro automático. Selecione OK.
Criar rota entre vnet-1 e vnet-private-endpoint
Não existe um link de rede entre vnet-1 e vnet-private-endpoint. Você deve criar uma rota para permitir que o tráfego flua entre as redes virtuais por meio do Firewall do Azure.
A rota envia o tráfego da vnet-1 para o espaço de endereço da rede virtual vnet-private-endpoint, por meio do Firewall do Azure.
Na caixa de pesquisa na parte superior do portal, insira Tabelas de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione + Criar.
Na guia Informações Básicas de Criar Tabela de Rotas, insira ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Região Selecione Leste dos EUA 2. Nome Insira vnet-1-to-vnet-firewall. Propagar rotas de gateway Mantenha o padrão Sim. Selecione Examinar + criar.
Selecione Criar.
Na caixa de pesquisa na parte superior do portal, insira Tabelas de rotas. Selecione Tabela de rotas nos resultados da pesquisa.
Selecione vnet-1-to-vnet-firewall.
Em Configurações, selecione Rotas.
Selecione + Adicionar.
Em Adicionar rota, insira ou selecione as seguintes informações:
Configuração Valor Nome da rota Insira subnet-1-to-subnet-private-endpoint. Tipo de destino Selecione Endereços IP. Intervalos de CIDR /endereço IP de destino Insira 10.1.0.0/16. Tipo do próximo salto Selecione Solução de virtualização. Endereço do próximo salto Insira 10.2.1.4. Selecione Adicionar.
Em Configurações, selecione Sub-redes.
Selecione + Associar.
Em Associar sub-rede, insira ou selecione as seguintes informações:
Configuração Valor Rede virtual Selecione vnet-1(test-rg). Sub-rede Selecione sub-rede-1. Selecione OK.
Configurar uma regra de aplicativo no Firewall do Azure
Crie uma regra de aplicativo para permitir a comunicação da vnet-1 com o ponto de extremidade privado do servidor SQL do Azure server-name.database.windows.net. Substitua server-name pelo nome do servidor SQL do Azure.
Na caixa de pesquisa na parte superior do portal, insira Firewall. Selecione Políticas de Firewall nos resultados da pesquisa.
Em Políticas de Firewall, selecione firewall-policy.
Em Configurações, selecione Regras do aplicativo.
Selecione + Adicionar uma coleção de regras.
Em Adicionar uma coleção de regras, insira ou selecione as seguintes informações:
Configuração Valor Nome Insira rule-collection-sql. Tipo de coleção de regras Deixe a seleção de Aplicativo. Prioridade Insira 100. Ação da coleção de regras selecione Permitir. Grupo de coleções de regras Deixe o padrão de DefaultApplicationRuleCollectionGroup. Regras Regra 1 Nome Insira SQLPrivateEndpoint. Tipo de origem Selecione Endereço IP. Fonte Insira 10.0.0.0/16 Protocolo Insira mssql:1433 Tipo de destino Selecione FQDN. Destino Insira server-name.database.windows.net. Selecione Adicionar.
Teste a conexão com o SQL do Azure a partir da máquina virtual
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-1.
Em Operações, selecione Bastion.
Insira o nome de usuário e a senha da máquina virtual.
Selecione Conectar.
Para verificar a resolução de nomes do ponto de extremidade privado, insira o seguinte comando na janela do terminal:
nslookup server-name.database.windows.netVocê recebe uma mensagem semelhante ao exemplo a seguir. O endereço IP retornado é o endereço IP privado do ponto de extremidade privado.
Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net. Name:sql-server-8675.privatelink.database.windows.net Address: 10.1.0.4Instale as ferramentas de linha de comando do SQL Server em Instalar as ferramentas de linha de comando do SQL Server sqlcmd e bcp no Linux. Prossiga com as próximas etapas após a conclusão da instalação.
Use os seguintes comandos para se conectar ao servidor SQL criado nas etapas anteriores.
Substitua <server-admin> pelo nome de usuário administrador que você inseriu durante a criação do servidor SQL.
Substitua <admin-password> pela senha de administrador inserida durante a criação do servidor SQL.
Substitua server-name pelo nome do seu servidor SQL.
sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'Um prompt de comando SQL é exibido na entrada bem-sucedida. Insira Sair para sair da ferramenta sqlcmd.
Validar o tráfego nos logs do Firewall do Azure
Na caixa de pesquisa na parte superior do portal, insira Log Analytics. Selecione Log Analytics nos resultados da pesquisa.
Selecione seu espaço de trabalho de análise de logs. Neste exemplo, o espaço de trabalho é denominado log-analytics-workspace.
Nas Configurações gerais, selecione Logs.
No exemplo Consultas, na caixa de pesquisa, Insira Regra do aplicativo. Nos resultados retornados em Rede, selecione o botão Executar para Dados de log de regra do aplicativo.
Na saída da consulta de log, verifique se server-name.database.windows.net está listado em FQDN e se SQLPrivateEndpoint está listado em Regra.
Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.
No portal do Azure, procure por Grupos de recursos e selecione essa opção.
Na página Grupos de recursos, selecione o grupo de recursos test-rg.
Na página test-rg, selecione Excluir grupo de recursos .
Insira test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e, em seguida, selecione Excluir.
Próximas etapas
Vá para o próximo artigo para saber como usar um ponto de extremidade privado com o Resolvedor Privado de DNS do Azure: