Definir o serviço de Link Privado e o ponto de extremidade privado

12 minutos

O que é o Link Privado do Azure?

O Link Privado do Azure permite que você acesse os Serviços PaaS do Azure e os serviços de parceiros/clientes hospedados no Azure em um ponto de extremidade privado na rede virtual.

Antes de aprender sobre o Link Privado do Azure e seus recursos e benefícios, vamos examinar o problema que o Link Privado foi projetado para resolver.

A Contoso tem uma rede virtual do Azure, e você quer se conectar a um recurso de PaaS, como um banco de dados SQL do Azure. Ao criar esses recursos, você normalmente especifica um ponto de extremidade público como método de conectividade.

Ter um ponto de extremidade público significa que um endereço IP público é atribuído ao recurso. De forma que, mesmo que sua rede virtual e o banco de dados SQL do Azure estejam localizados na nuvem do Azure, a conexão entre eles ocorre pela Internet.

A preocupação aqui é que seu banco de dados SQL do Azure seja exposto à Internet por meio de seu endereço IP público. Essa exposição cria vários riscos de segurança. Esses riscos de segurança estão presentes quando qualquer recurso do Azure é acessado por meio de um endereço IP público de:

Uma rede virtual do Azure emparelhada.
Uma rede local que se conecta ao Azure usando o ExpressRoute e o emparelhamento da Microsoft.
A rede virtual do Azure de um cliente que se conecta a um serviço do Azure oferecido por sua empresa.

Diagrama mostrando o ponto de extremidade privado e a zona de link privado.

O Link Privado foi criado para eliminar esses riscos de segurança, ao remover a parte pública da conexão.

O Link Privado fornece acesso seguro aos serviços do Azure. O Link Privado alcança essa segurança substituindo o ponto de extremidade público de um recurso por um adaptador de rede privado. Há três pontos principais a serem considerados com essa nova arquitetura:

De certa forma, o recurso do Azure se torna uma parte de sua rede virtual.
A conexão com o recurso agora usa a rede de backbone do Microsoft Azure em vez da Internet pública.
O recurso do Azure pode ser configurado para não expor mais seu endereço IP público, eliminando o potencial risco de segurança.

O que é o Ponto de Extremidade Privado do Azure?

O ponto de extremidade privado é a principal tecnologia por trás do Link Privado. Trata-se de um adaptador de rede que possibilita uma conexão privada e segura entre sua rede virtual e um serviço do Azure. Em outras palavras, o ponto de extremidade privado é o adaptador de rede que substitui o ponto de extremidade público do recurso.

O Link Privado fornece acesso seguro aos serviços do Azure. O Link Privado alcança essa segurança substituindo o ponto de extremidade público de um recurso por um adaptador de rede privado. O Ponto de Extremidade Privado usa o endereço IP privado para serviços na VNet.

Qual é a diferença entre o ponto de extremidade privado do Azure e um ponto de extremidade de serviço?

Pontos de Extremidade Privados concedem acesso à rede para recursos específicos por trás de um determinado serviço, fornecendo segmentação granular. O tráfego pode acessar o recurso de serviço no local sem usar pontos de extremidade públicos.

Um ponto de extremidade de serviço permanece um endereço de IP roteável publicamente. Um ponto de extremidade privado é um IP privado no espaço de endereço da rede virtual em que o ponto de extremidade privado está configurado.

Observação

A Microsoft recomenda o uso do Link Privado do Azure para acesso seguro e privado aos serviços hospedados na plataforma Azure.

O que é o serviço de Link Privado do Azure?

O Link Privado fornece acesso privado da sua rede virtual do Azure para os serviços de PaaS e os serviços de parceiros da Microsoft no Azure. Mas, e se sua empresa tiver seus próprios serviços do Azure? É possível oferecer a esses clientes uma conexão privada aos serviços de sua empresa?

Sim, usando o serviço de Link Privado do Azure. Esse serviço permite que você ofereça conexões de Link Privado aos seus serviços personalizados do Azure. Os consumidores de seus serviços personalizados podem então acessar esses serviços de forma particular, ou seja, sem usar a Internet, em suas próprias redes virtuais do Azure.

O serviço de Link Privado do Azure é a referência para seu serviço que é desenvolvido com o Link Privado do Azure. Seu serviço que está sendo executado por trás do Azure Standard Load Balancer pode ser habilitado para acesso ao Link Privado para que os consumidores de seu serviço possam acessá-lo de forma privada em suas próprias VNets. Seus clientes podem criar um ponto de extremidade privado dentro de sua VNet e mapeá-lo para esse serviço. Um serviço de Link Privado recebe conexões de vários pontos de extremidade privados. Um ponto de extremidade privado se conecta a um serviço de Link Privado.

Propriedades do Ponto de Extremidade Privado

Antes de criar um ponto de extremidade privado, você deve considerar as propriedades do ponto de extremidade privado e coletar dados sobre necessidades específicas a serem resolvidas.

Um nome exclusivo com um grupo de recursos.
Uma sub-rede para implantar e alocar endereços IP privados de uma rede virtual.
Recurso do Link Privado para conectar-se usando a ID do recurso ou alias da lista de tipos disponíveis. Um identificador de rede exclusivo é gerado para todo o tráfego enviado a esse recurso.
O sub-recurso a ser conectado. Cada tipo de recurso do Link Privado tem opções diferentes para selecionar com base na preferência.
Método de aprovação de conexão automática ou manual. Com base nas permissões de RBAC (controle de acesso baseado em função) do Azure, seu ponto de extremidade privado pode ser aprovado automaticamente. Para o método manual, o proprietário do recurso aprova a conexão.
Somente os pontos de extremidade privados em um estado aprovado podem ser usados para enviar tráfego.

Além disso, considere:

Os clientes iniciam conexões de rede. As conexões só podem ser estabelecidas em uma única direção.
O Ponto de Extremidade Privado tem uma interface de rede somente leitura para o ciclo de vida do recurso. A interface recebe endereços IP privados dinamicamente da sub-rede que mapeia para o recurso do Link Privado. O valor do endereço IP privado permanece inalterado durante todo o ciclo de vida do ponto de extremidade privado.
O ponto de extremidade privado deve ser implantado na mesma região e assinatura que a rede virtual.
O recurso do Link Privado pode ser implantado em uma região diferente da rede virtual e do ponto de extremidade privado.
Vários pontos de extremidade privados podem ser criados usando o mesmo recurso do Link Privado.
Vários pontos de extremidade privados podem ser criados na mesma sub-rede ou em sub-redes diferentes na mesma rede virtual.

Verificar seu conhecimento

Qual é a principal tecnologia por trás dos Links Privados?

Ponto de extremidade privado.

Resolução de DNS.

Redes virtuais.

Qual é a diferença entre um ponto de extremidade de serviço e um ponto de extremidade privado?

Um ponto de extremidade privado conecta-se a sistemas e serviços externos.

Um ponto de extremidade de serviço conecta-se a sistemas e serviços externos.

Um ponto de extremidade de serviço possibilita uma conexão privada e segura entre sua rede virtual e o Azure.

É necessário responder a todas as perguntas antes de verificar o trabalho.