Planejar e implementar pontos de extremidade privados

Concluído

Um ponto de extremidade privado é uma adaptador de rede que usa um endereço IP privado de sua rede virtual. Essa interface de rede conecta você de forma privada e segura a um serviço da plataforma do Link Privado do Azure. Ao habilitar um ponto de extremidade privado, você está trazendo o serviço para sua rede virtual.

O serviço pode ser um serviço do Azure, como:

  • Armazenamento do Azure
  • Azure Cosmos DB
  • Banco de Dados SQL do Azure
  • Seu próprio serviço, usando o serviço do Link Privado.

Propriedades do ponto de extremidade privado

Um ponto de extremidade privado especifica as seguintes propriedades:

Propriedade Descrição
Nome Um nome exclusivo dentro do grupo de recursos.
Sub-rede A sub-rede a ser implantada e onde o endereço IP privado está atribuído.
Recurso do link privado O recurso do link privado para conectar-se usando a ID do recurso ou alias da lista de tipos disponíveis. Um identificador de rede exclusivo é gerado para todo o tráfego que é enviado para esse recurso.
Sub-recurso de destino O sub-recurso a ser conectado. Cada tipo de recurso do link privado tem opções diferentes para selecionar com base na preferência.
Método de aprovação de conexão Automático ou manual. Dependendo das permissões do controle de acesso baseado em função do Azure, seu ponto de extremidade privado pode ser aprovado automaticamente. Se você estiver se conectando a um recurso do link privado sem as permissões baseadas em função do Azure, use o método manual para permitir que o proprietário do recurso aprove a conexão.
Mensagem de solicitação Você pode especificar uma mensagem para que as conexões solicitadas sejam aprovadas manualmente. Essa mensagem pode ser usada para identificar uma solicitação específica.
Status da conexão Uma propriedade somente leitura que especifica se o ponto de extremidade privado está ativo ou não. Somente os pontos de extremidade privados no estado aprovado podem ser usados para enviar tráfego. Mais estados disponíveis: Aprovado: A conexão foi aprovada automaticamente ou manualmente e está pronta para ser usada. Pendente: a conexão foi criada manualmente e está pendente de aprovação pelo proprietário do recurso do link privado. Rejeitado: a conexão foi rejeitada pelo proprietário do recurso do link privado. Desconectado: a conexão foi removida pelo proprietário do recurso do link privado. O ponto de extremidade privado se torna informativo e deve ser excluído para limpeza.

Ao criar pontos de extremidade privados, considere o seguinte:

  • Os pontos de extremidade privados habilitam a conectividade entre os clientes do(s)/da(s) mesmo(s)/mesma(s):

    • Rede virtual
    • Redes virtuais emparelhadas regionalmente
    • Redes virtuais emparelhadas mundialmente
    • Ambientes locais que usam VPN ou Express Route
    • Serviços que são alimentados pelo Link Privado
  • As conexões de rede podem ser iniciadas somente por clientes que estão se conectando ao ponto de extremidade privado. Os provedores de serviços não têm a configuração de roteamento para criar conexões nos clientes do serviço. As conexões só podem ser estabelecidas em uma única direção.

  • Um interface de rede somente leitura é criado automaticamente para o ciclo de vida do ponto de extremidade privado. A interface recebe é atribuída com um endereço IP privado dinâmico da sub-rede que mapeia o recurso do link privado. O valor do endereço IP privado permanece inalterado durante todo o ciclo de vida do ponto de extremidade privado.

  • O ponto de extremidade privado deve ser implantado na mesma região e assinatura que a rede virtual.

  • O recurso do link privado pode ser implantado em uma região diferente daquela da rede virtual e do ponto de extremidade privado.

  • Vários pontos de extremidade privados podem ser criados com o mesmo recurso do link privado. Para uma única rede que usa uma configuração de servidor DNS comum, a prática recomendada é usar um único ponto de extremidade privado para um recurso do link privado especificado. Use esta prática para evitar entradas duplicadas ou conflitos na resolução de DNS.

  • Vários pontos de extremidade privados podem ser criados na mesma sub-rede ou em sub-redes diferentes na mesma rede virtual. Há limites para o número de pontos de extremidade privados que você pode criar em uma assinatura.

  • A assinatura que contém o recurso de link privado precisa ser registrada no provedor de recursos de rede da Microsoft. A assinatura que contém o ponto de extremidade privado também precisa ser registrada no provedor de recursos de rede da Microsoft.

Segurança de rede dos pontos de extremidade privados

Quando você usa pontos de extremidade privados, o tráfego é protegido para um recurso do link privado. A plataforma valida as conexões de rede, permitindo apenas aquelas que alcançam o recurso de link privado especificado. Para acessar mais sub-recursos dentro do mesmo serviço do Azure, são necessários mais pontos de extremidade privados com os destinos correspondentes. No caso do Armazenamento do Microsoft Azure, por exemplo, você precisaria de pontos de extremidade privados separados para acessar os sub-recursos arquivo e blob.

Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não necessariamente restringem o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem controles de acesso adicionais. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.

Os pontos de extremidade privados dão suporte a políticas de rede. As políticas de rede habilitam o suporte para NSG (grupos de segurança de rede), UDR (rotas definidas pelo usuário) e ASG (grupos de segurança de aplicativo).

Em uma conexão de ponto de extremidade privado, um proprietário do recurso do link privado pode:

  • Examinar todos detalhes das conexões de ponto de extremidade privado.
  • Aprovar de uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é habilitado para enviar tráfego para o recurso do link privado.
  • Rejeitar uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é atualizado para refletir o status.
  • Excluir uma conexão de ponto de extremidade privado em qualquer estado. O ponto de extremidade privado correspondente é atualizado com um estado desconectado para refletir a ação. O proprietário do ponto de extremidade privado pode excluir apenas o recurso nesse ponto.

Você pode se conectar a um recurso do link privado usando os seguintes métodos de aprovação de conexão:

Aprovar automaticamente: use esse método quando você for o proprietário ou tiver as permissões do recurso de link privado específico. As permissões exigidas são baseadas no tipo de recurso do link privado no seguinte formato:

Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

Solicitar manualmente: use esse método quando você não tiver as permissões necessárias e quiser solicitar o acesso. Um fluxo de trabalho de aprovação é iniciado. O ponto de extremidade privado e as conexões do ponto de extremidade particular posteriores são criados em um estado Pendente. O proprietário do recurso do link privado é responsável por aprovar a conexão. Depois de aprovado, o ponto de extremidade privado é habilitado para enviar o tráfego normalmente, conforme mostrado no diagrama de fluxo de trabalho de aprovação a seguir:

Diagrama que mostra um exemplo de um fluxo de trabalho de plataforma como serviço de link privado.

Em uma conexão de ponto de extremidade privado, um proprietário do recurso do link privado pode:

  • Examinar todos detalhes das conexões de ponto de extremidade privado.
  • Aprovar de uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é habilitado para enviar tráfego para o recurso do link privado.
  • Rejeitar uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é atualizado para refletir o status.
  • Excluir uma conexão de ponto de extremidade privado em qualquer estado. O ponto de extremidade privado correspondente é atualizado com um estado desconectado para refletir a ação. O proprietário do ponto de extremidade privado pode excluir apenas o recurso nesse ponto.

Observação

Somente os pontos de extremidade privados em um estado Aprovado podem enviar tráfego para determinado recurso do link privado.

Conexão usando um alias

Um alias é um moniker exclusivo gerado quando o proprietário do serviço cria um serviço do link privado subjacente a um balanceador de carga padrão. Os proprietários do serviço podem compartilhar esse alias offline com os consumidores do seu serviço.

Os consumidores podem solicitar uma conexão a um serviço de link privado usando o Uniform Resource Identifier (URI) do recurso ou o alias. Para se conectar usando o alias, crie um ponto de extremidade privado usando o método de aprovação de conexão manual. Para usar o método de aprovação de conexão manual, defina o parâmetro de solicitação manual como True durante o fluxo de criação do ponto de extremidade privado.

Observação

Observe que essa solicitação manual poderá ser aprovada automaticamente se a assinatura do consumidor estiver na lista de permitidas no lado do provedor.

Configuração de DNS

As configurações de DNS que você usa para se conectar a um recurso do link privado são importantes. Os serviços do Azure existentes já podem ter uma configuração de DNS que você pode usar ao se conectar por meio de um ponto de extremidade público. Para se conectar ao mesmo serviço por meio do ponto de extremidade privado, são necessárias configurações de DNS separadas, geralmente configuradas por meio de zonas DNS privadas. Verifique se as configurações de DNS estão corretas ao usar o FQDN (nome de domínio totalmente qualificado) para a conexão. As configurações devem resolver o endereço IP privado do ponto de extremidade privado.

A interface de rede associada o ponto de extremidade privado contém as informações necessárias para configurar o DNS. As informações incluem o FQDN e o endereço IP privado para um recurso do link privado.

Limitações

As informações a seguir listam as limitações conhecidas para o uso de pontos de extremidade privados:

Endereço IP estático

Limitação Descrição
Atualmente, não há suporte para a configuração de endereço de IP estático. AKS (Serviço de Kubernetes do Azure)
Gateway de Aplicativo do Azure
HDInsight
Cofres dos Serviços de Recuperação
Serviços de Link Privado de terceiros

Grupo de segurança de rede

Limitação Descrição
Rotas efetivas e regras de segurança indisponíveis para adaptador de rede de ponto de extremidade privado. Rotas efetivas e regras de segurança não serão exibidas para a NIC do ponto de extremidade privado no portal do Azure.
Logs de fluxo de NSG sem suporte. Logs de fluxo de NSG não disponíveis para o tráfego de entrada destinado a um ponto de extremidade privado.
Não mais do que 50 membros em um Grupo de Segurança de Aplicativo. Cinquenta é o número de configurações de IP que podem ser vinculadas a cada ASG respectivo que está acoplado ao NSG na sub-rede do ponto de extremidade privado. Falhas de conexão podem ocorrer com mais de 50 membros.
Intervalos de porta de destino com suporte até um fator de 250 mil. Os intervalos de porta de destino têm suporte como multiplicação SourceAddressPrefixes, DestinationAddressPrefixes e DestinationPortRanges.

Exemplo de regra de entrada:
Uma origem * um destino * 4K portRanges = 4K Válido
10 fontes * 10 destinos * 10 portRanges = 1 K Válido
50 fontes * 50 destinos * 50 portRanges = 125 K Válidos
50 fontes * 50 destinos * 100 portRanges = 250 K Válidos
100 fontes * 100 destinos * 100 portRanges = 1M Inválido, O NSG tem muitas fontes/destinos/portas.
Filtragem da porta de origem. A filtragem de porta de origem não é usada ativamente como cenário válido de filtragem de tráfego para tráfego destinado a um ponto de extremidade privado.
Funcionalidade não disponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
Índia Ocidental
Austrália Central 2
Oeste da África do Sul
Sudeste do Brasil
Todas as regiões do Governo
Todas as regiões da China

Mais considerações sobre o NSG

  • O tráfego de saída negado de um ponto de extremidade privado não é um cenário válido, pois o provedor de serviços não pode originar tráfego.

  • Os serviços a seguir podem exigir que todas as portas de destino sejam abertas ao usar um ponto de extremidade privado e adicionar filtros de segurança de NSG:

    • Azure Cosmos DB

UDR

Limitação Descrição
O SNAT é sempre recomendado. Por causa da natureza variável do plano de dados do ponto de extremidade privado, é recomendável o tráfego de SNAT destinado a um ponto de extremidade privado para garantir que o tráfego de retorno seja respeitado.
Funcionalidade não disponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
Índia Ocidental
Austrália Central 2
Oeste da África do Sul
Sudeste do Brasil

Grupo de segurança do aplicativo

Limitação Descrição
Funcionalidade não disponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
Índia Ocidental
Austrália Central 2
Oeste da África do Sul
Sudeste do Brasil