Explicar pontos de extremidade de serviço de rede virtual
Sua organização migra um aplicativo ERP existente com servidores de banco de dados para máquinas virtuais do Azure. Agora, para reduzir os custos e os requisitos administrativos, você está pensando em usar alguns serviços PaaS (plataforma como serviço) do Azure. Especificamente, serviços de armazenamento para armazenar grandes arquivos de ativos, como diagramas de engenharia. Esses diagramas de engenharia têm informações proprietárias e precisam permanecer seguros contra o acesso não autorizado. Esses arquivos só precisam ser acessíveis em sistemas específicos.
Nesta unidade, você explorará como usar pontos de extremidade de serviço de rede virtual para proteger os serviços do Azure.
O que é um ponto de extremidade de serviço de rede virtual?
O ponto de extremidade de serviço de Rede Virtual (VNet) fornece conectividade segura e direta aos serviços do Azure. Os pontos de extremidade de serviço permitem proteger seus recursos de serviço críticos do Azure para apenas suas redes virtuais. Os Pontos de Extremidade de Serviço permitem que endereços IP privados na VNet alcancem o ponto de extremidade de um serviço do Azure sem precisar de um endereço IP público.
Por padrão, os serviços do Azure foram projetados para acesso direto à Internet. Todos os recursos do Azure têm endereços IP públicos e isso inclui serviços PaaS, tais como o Banco de Dados SQL do Azure e o Armazenamento do Azure. Como esses serviços são expostos à Internet, qualquer pessoa pode potencialmente acessar os serviços do Azure.
Os pontos de extremidade de serviço podem conectar determinados serviços de PaaS diretamente ao seu espaço de endereço privado no Azure. Os pontos de extremidade de serviço usam seu espaço de endereço privado para acessar os serviços de PaaS diretamente. Adicionar pontos de extremidade de serviço não remove o ponto de extremidade público. Ele simplesmente fornece um redirecionamento de tráfego.
Preparação para a implementação dos pontos de extremidade de serviço
Para habilitar um Ponto de Extremidade de Serviço, você deve fazer duas coisas.
- Desligar o acesso público ao serviço.
- Adicionar o ponto de extremidade de serviço a uma rede virtual.
Quando você habilita um ponto de extremidade de serviço, restringe o fluxo de tráfego e permite que as VMs do Azure acessem o serviço diretamente no seu espaço de endereço privado. Os dispositivos não podem acessar o serviço em uma rede pública. Em uma vNIC de VM implantada, se você observar as Rotas Efetivas, perceberá que o Ponto de Extremidade de Serviço é o Tipo de Próximo Salto.
Aqui está um exemplo de tabela de rotas, antes de habilitar um Ponto de Extremidade de Serviço.
| FONTE | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DO PRÓXIMO SALTO |
|---|---|---|---|
| Padrão | Ativo | 10.1.1.0/24 | VNET |
| Padrão | Ativo | 0.0.0.0./0 | Internet |
| Padrão | Ativo | 10.0.0.0/8 | Nenhum |
| Padrão | Ativo | 100.64.0.0./ | Nenhum |
| Padrão | Ativo | 192.168.0.0/16 | Nenhum |
Aqui está um exemplo de tabela de rotas depois que você adiciona dois Pontos de Extremidade de Serviço à rede virtual.
| FONTE | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DO PRÓXIMO SALTO |
|---|---|---|---|
| Padrão | Ativo | 10.1.1.0/24 | VNET |
| Padrão | Ativo | 0.0.0.0./0 | Internet |
| Padrão | Ativo | 10.0.0.0/8 | Nenhum |
| Padrão | Ativo | 100.64.0.0./ | Nenhum |
| Padrão | Ativo | 192.168.0.0/16 | Nenhum |
| Padrão | Ativo | 20.38.106.0/23, mais 10 | VirtualNetworkServiceEndpoint |
| Padrão | Ativo | 20.150.2.0/23, mais 9 | VirtualNetworkServiceEndpoint |
Agora, todo o tráfego para o serviço é roteado para o ponto de extremidade de serviço de rede virtual e permanece interno no Azure.
Criar pontos de extremidade de serviço
Como engenheiro de rede, você pretende mover arquivos confidenciais de diagrama de engenharia para o Armazenamento do Azure. Os arquivos só precisam ser acessíveis em computadores da rede corporativa. Você quer criar um ponto de extremidade de serviço de rede virtual para o Armazenamento do Azure a fim de proteger a conectividade com suas contas de armazenamento.
No tutorial de ponto de extremidade de serviço, você aprenderá a:
- Habilitar um ponto de extremidade de serviço para uma sub-rede
- Usar regras de rede para restringir o acesso ao Armazenamento do Azure
- Criar um ponto de extremidade de serviço de rede virtual para o Armazenamento do Azure
- Verificar se o acesso está configurado adequadamente
Configurar marcas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede.
Você pode usar marcas de serviço para definir os controles de acesso à rede em grupos de segurança de rede ou Firewall do Azure. Use marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço, como Gerenciamento de API, no campo correto de origem ou destino de uma regra, você poderá permitir ou negar o tráfego para o serviço correspondente.
A partir de março de 2021, você também pode usar Marcas de Serviço no lugar de intervalos de IP explícitos em rotas definidas pelo usuário. Esse recurso está atualmente em visualização pública.
Você pode usar as marcas de serviço para obter o isolamento da rede e proteger os recursos do Azure da Internet em geral ao acessar os serviços do Azure que tenham pontos de extremidade públicos. Crie regras de entrada/saída para o grupo de segurança de rede a fim de negar o tráfego de/para a Internet e permitir o tráfego de/para o AzureCloud ou outras marcas de serviço disponíveis de serviços específicos do Azure.
Marcas de serviço disponíveis
Essa tabela inclui todas as marcas de serviço disponíveis para uso em regras de grupo de segurança de rede. As colunas indicam se a marca:
- É adequada para regras que abrangem o tráfego de entrada ou de saída.
- Dá suporte a um escopo regional.
- Pode ser usada em regras do Firewall do Azure.
Por padrão, as marcas de serviço são para toda a nuvem. Algumas marcas de serviço também permitem um controle mais granular ao restringir os intervalos de IP correspondentes a uma região especificada. Por exemplo, a marca de serviço Armazenamento representa o Armazenamento do Microsoft Azure para toda a nuvem. O Oeste dos EUA reduz o intervalo para apenas os intervalos de endereços IP de armazenamento da região Oeste dos EUA.
As marcas de serviços do Azure indicam os prefixos de endereços de uma nuvem específica a ser usada. Por exemplo, os intervalos de IP que correspondem ao valor da marca SQL na nuvem pública do Azure são diferentes dos intervalos na nuvem do Azure Governamental.
Se você implementar um Ponto de Extremidade de Serviço de rede virtual para um serviço, o Azure adicionará uma rota a uma sub-rede de rede virtual. Os prefixos de endereço na rota são os mesmos prefixos de endereço da marca de serviço correspondente.