Partilhar via


O que é um ponto final privado?

Um ponto final privado é uma interface de rede que utiliza um endereço IP privado a partir da rede virtual. Esta interface de rede liga-o a um serviço de forma privada e segura com a tecnologia do Azure Private Link. Ao ativar um ponto final privado, está a trazer o serviço para a rede virtual.

O serviço pode ser um serviço do Azure, como:

  • Armazenamento do Azure
  • Azure Cosmos DB
  • Base de Dados SQL do Azure
  • O seu próprio serviço, usando o serviço Private Link.

Propriedades de ponto de extremidade privado

Um ponto de extremidade privado especifica as seguintes propriedades:

Property Descrição
Name Um nome exclusivo dentro do grupo de recursos.
Sub-rede A sub-rede a ser implantada, onde o endereço IP privado é atribuído. Para requisitos de sub-rede, consulte a seção Limitações mais adiante neste artigo.
Recurso de link privado O recurso de link privado para se conectar usando um ID de recurso ou alias, da lista de tipos disponíveis. Um identificador de rede exclusivo é gerado para todo o tráfego enviado para este recurso.
Subrecurso de destino O subrecurso a ser conectado. Cada tipo de recurso de link privado tem várias opções para selecionar com base na preferência.
Método de aprovação da ligação Automático ou manual. Dependendo das permissões de controle de acesso baseadas em função do Azure, seu ponto de extremidade privado pode ser aprovado automaticamente. Se você estiver se conectando a um recurso de link privado sem permissões baseadas em função do Azure, use o método manual para permitir que o proprietário do recurso aprove a conexão.
Solicitar mensagem Você pode especificar uma mensagem para que as conexões solicitadas sejam aprovadas manualmente. Esta mensagem pode ser utilizada para identificar um pedido específico.
Estado da ligação Uma propriedade somente leitura que especifica se o ponto de extremidade privado está ativo. Somente pontos de extremidade privados em um estado aprovado podem ser usados para enviar tráfego. Mais estados disponíveis:
  • Aprovado: A conexão foi aprovada automática ou manualmente e está pronta para ser usada.
  • Pendente: A conexão foi criada manualmente e está pendente de aprovação pelo proprietário do recurso de link privado.
  • Rejeitada: a conexão foi rejeitada pelo proprietário do recurso de link privado.
  • Desconectado: a conexão foi removida pelo proprietário do recurso de link privado. O ponto de extremidade privado torna-se informativo e deve ser excluído para limpeza.
  • Ao criar pontos de extremidade privados, considere o seguinte:

    • Os endpoints privados permitem a conectividade entre os clientes dos mesmos:

      • Rede virtual
      • Redes virtuais emparelhadas regionalmente
      • Redes virtuais globalmente emparelhadas
      • Ambientes locais que usam VPN ou Rota Expressa
      • Serviços que são alimentados por Private Link
    • As conexões de rede podem ser iniciadas somente por clientes que estão se conectando ao ponto de extremidade privado. Os provedores de serviços não têm uma configuração de roteamento para criar conexões com clientes de serviços. As conexões podem ser estabelecidas em uma única direção.

    • Uma interface de rede somente leitura é criada automaticamente para o ciclo de vida do ponto de extremidade privado. A interface recebe um endereço IP privado dinâmico da sub-rede que mapeia para o recurso de link privado. O valor do endereço IP privado permanece inalterado durante todo o ciclo de vida do ponto de extremidade privado.

    • O ponto de extremidade privado deve ser implantado na mesma região e assinatura que a rede virtual.

    • O recurso de link privado pode ser implantado em uma região diferente daquela da rede virtual e do ponto de extremidade privado.

    • Vários pontos de extremidade privados podem ser criados com o mesmo recurso de link privado. Para uma única rede usando uma configuração de servidor DNS comum, a prática recomendada é usar um único ponto de extremidade privado para um recurso de link privado especificado. Use essa prática para evitar entradas duplicadas ou conflitos na resolução de DNS.

    • Vários pontos de extremidade privados podem ser criados na mesma sub-rede ou em sub-redes diferentes dentro da mesma rede virtual. Há limites para o número de pontos de extremidade privados que você pode criar em uma assinatura. Para obter mais informações, consulte Limites do Azure.

    • A assinatura que contém o recurso de link privado deve ser registrada no provedor de recursos de rede da Microsoft. A assinatura que contém o ponto de extremidade privado também deve ser registrada no provedor de recursos de rede da Microsoft. Para obter mais informações, consulte Provedores de recursos do Azure.

    Um recurso de link privado é o destino de destino de um ponto de extremidade privado especificado. A tabela a seguir lista os recursos disponíveis que oferecem suporte a um ponto de extremidade privado:

    Nome do recurso de link privado Tipo de recurso Sub-recursos
    Gateway de Aplicação Microsoft.Network/applicationgateways Nome da configuração de IP de frontend
    Pesquisa de IA do Azure Microsoft.Search/searchServices searchService
    Serviços de IA do Azure Microsoft.CognitiveServices/contas conta
    API do Azure para FHIR (Fast Healthcare Interoperability Resources) Microsoft.HealthcareApis/services FHIR
    API Management do Azure Microsoft.ApiManagement/service Gateway
    Configuração da Aplicação Azure Microsoft.Appconfiguration/configurationStores configurationLojas
    Serviço de Aplicações do Azure Microsoft.Web/hostingEnvironments ambiente de hospedagem
    Serviço de Aplicações do Azure Microsoft.Web/sites Sítios Web
    Serviço de Atestado do Azure Microsoft.Attestation/attestationProviders padrão
    Azure Automation Microsoft.Automation/automationContas Webhook, DSCAndHybridWorker
    Azure Backup Microsoft.RecoveryServices/cofres AzureBackup, AzureSiteRecovery
    Azure Batch Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Cache do Azure para Redis Microsoft.Cache/Redis redisCache
    Cache do Azure para Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure Container Apps Microsoft.App/ManagedEnvironments ambiente gerenciado
    Registo de Contentores do Azure Microsoft.ContainerRegistry/registries registo
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Tabela
    vCore do Azure Cosmos DB for MongoDB Microsoft.DocumentDb/mongoClusters mongoCluster
    Azure Cosmos DB para PostgreSQL Microsoft.DBforPostgreSQL/serverGroupsv2 Coordenador
    Azure Data Explorer Microsoft.Kusto/clusters cluster
    Azure Data Factory Microsoft.DataFactory/fábricas Fábrica de dados
    Azure Database for MariaDB Microsoft.DBforMariaDB/servidores mariadbServer
    Banco de Dados do Azure para MySQL - Servidor Flexível Microsoft.DBforMySQL/flexibleServers mysqlServer
    Banco de Dados do Azure para MySQL - Servidor Único Microsoft.DBforMySQL/servidores mysqlServer
    Banco de Dados do Azure para PostgreSQL - Servidor flexível Microsoft.DBforPostgreSQL/flexibleServers postgresqlServer
    Banco de Dados do Azure para PostgreSQL - Servidor único Microsoft.DBforPostgreSQL/servidores postgresqlServer
    Azure Databricks Microsoft.Databricks/espaços de trabalho databricks_ui_api, browser_authentication
    Serviço de Provisionamento de Dispositivo do Azure Microsoft.Devices/provisioningServices iotDps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances API
    Grelha de Eventos do Azure Microsoft.EventGrid/domínios domínio
    Grelha de Eventos do Azure Microsoft.EventGrid/topics topic
    Hub de Eventos do Azure Microsoft.EventHub/namespaces espaço de nomes
    Azure File Sync Microsoft.StorageSync/storageSyncServices Serviço de sincronização de arquivos
    Azure HDInsight Microsoft.HDInsight/clusters cluster
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Hub IoT do Azure Microsoft.Devices/IotHubs iotHub [en]
    Azure Key Vault Microsoft.KeyVault/cofres cofre
    Azure Key Vault HSM (módulo de segurança de hardware) Microsoft.Keyvault/managedHSMs HSM
    Serviço Kubernetes do Azure - API do Kubernetes Microsoft.ContainerService/managedClusters gestão
    Azure Machine Learning Microsoft.MachineLearningServices/registos amlregistry
    Azure Machine Learning Microsoft.MachineLearningServices/espaços de trabalho amlworkspace
    Managed Disks do Azure Microsoft.Compute/diskAccesses disco gerenciado
    Serviços de Multimédia do Azure Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint
    Azure Migrate Microsoft.Migrate/assessmentProjects project
    Escopo do Link Privado do Azure Monitor Microsoft.Insights/privatelinkscopes azuremonitor
    Reencaminhamento do Azure Microsoft.Relay/namespaces espaço de nomes
    Azure Service Bus Microsoft.ServiceBus/namespaces espaço de nomes
    Azure SignalR Service Microsoft.SignalRService/SignalR signalr
    Azure SignalR Service Microsoft.SignalRService/webPubSub WebPubSub
    Base de Dados SQL do Azure Microsoft.Sql/servers SQL Server (sqlServer)
    Instância Gerida do Azure SQL Microsoft.Sql/managedInstances managedInstance
    Aplicações Web Estáticas do Azure Microsoft.Web/staticSites staticSites
    Armazenamento do Azure Microsoft.Storage/storageAccounts Blob (blob, blob_secondary)
    Tabela (tabela, table_secondary)
    Fila (fila, queue_secondary)
    Arquivo (arquivo, file_secondary)
    Web (web, web_secondary)
    DFS (dfs, dfs_secondary)
    Azure Synapse Microsoft.Synapse/privateLinkHubs web
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Desenvolvimento
    Área de Trabalho Virtual do Azure - pools de hosts Microsoft.DesktopVirtualization/hostpools ligação
    Área de Trabalho Virtual do Azure - espaços de trabalho Microsoft.DesktopVirtualization/workspaces feed
    global
    Atualização de Dispositivo para o Hub IoT Microsoft.DeviceUpdate/contas DeviceUpdate
    Conta de Integração (Premium) Microsoft.Logic/integrationAccounts integrationAccount
    Microsoft Purview Microsoft.Purview/contas conta
    Microsoft Purview Microsoft.Purview/contas portal
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Serviço Private Link (seu próprio serviço) Microsoft.Network/privateLinkServices empty
    Links privados de gerenciamento de recursos Microsoft.Authorization/resourceManagementPrivateLinks Gestão de Recursos

    Nota

    Você pode criar pontos de extremidade privados somente em uma conta de armazenamento GPv2 (General Purpose v2).

    Segurança da rede de terminais privados

    Quando você usa pontos de extremidade privados, o tráfego é protegido para um recurso de link privado. A plataforma valida conexões de rede, permitindo apenas aquelas que alcançam o recurso de link privado especificado. Para acessar mais subrecursos dentro do mesmo serviço do Azure, são necessários mais pontos de extremidade privados com destinos correspondentes. No caso do Armazenamento do Azure, por exemplo, você precisaria de pontos de extremidade privados separados para acessar os subrecursos de arquivo e blob .

    Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não restringem necessariamente o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem controles de acesso adicionais. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.

    Os pontos finais privados suportam políticas de rede. As políticas de rede permitem o suporte para Grupos de Segurança de Rede (NSG), Rotas Definidas pelo Utilizador (UDR) e Grupos de Segurança de Aplicações (ASG). Para obter mais informações sobre como ativar políticas de rede para um ponto final privado, veja Gerir políticas de rede para pontos finais privados. Para utilizar um ASG com um ponto final privado, veja Configurar um grupo de segurança de aplicações (ASG) com um ponto final privado.

    Você pode se conectar a um recurso de link privado usando os seguintes métodos de aprovação de conexão:

    • Aprovar automaticamente: use este método quando possuir ou tiver permissões para o recurso de link privado específico. As permissões necessárias são baseadas no tipo de recurso de link privado no seguinte formato:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Solicitar manualmente: use este método quando não tiver as permissões necessárias e quiser solicitar acesso. Um fluxo de trabalho de aprovação é iniciado. O ponto de extremidade privado e as conexões de ponto de extremidade privado posteriores são criados em um estado Pendente . O proprietário do recurso de link privado é responsável por aprovar a conexão. Depois de aprovado, o ponto de extremidade privado é habilitado para enviar tráfego normalmente, conforme mostrado no diagrama de fluxo de trabalho de aprovação a seguir:

    Diagrama do processo de aprovação do fluxo de trabalho.

    Em uma conexão de ponto de extremidade privado, um proprietário de recurso de link privado pode:

    • Analise todos os detalhes da conexão de ponto final privado.
    • Aprove uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente está habilitado para enviar tráfego para o recurso de link privado.
    • Rejeitar uma conexão de ponto de extremidade privado. O ponto de extremidade privado correspondente é atualizado para refletir o status.
    • Exclua uma conexão de ponto de extremidade privado em qualquer estado. O ponto de extremidade privado correspondente é atualizado com um estado desconectado para refletir a ação. O proprietário do ponto de extremidade privado pode excluir apenas o recurso neste momento.

    Nota

    Somente pontos de extremidade privados em um estado Aprovado podem enviar tráfego para um recurso de link privado especificado.

    Conectar-se usando um alias

    Um alias é um apelido exclusivo que é gerado quando um proprietário de serviço cria um serviço de link privado atrás de um balanceador de carga padrão. Os proprietários de serviços podem compartilhar esse alias offline com os consumidores do seu serviço.

    Os consumidores podem solicitar uma conexão com um serviço de link privado usando o URI do recurso ou o alias. Para se conectar usando o alias, crie um ponto de extremidade privado usando o método de aprovação de conexão manual. Para usar o método de aprovação de conexão manual, defina o parâmetro de solicitação manual como True durante o fluxo de criação de ponto de extremidade privado. Para obter mais informações, consulte New-AzPrivateEndpoint e az network private-endpoint create.

    Nota

    Esta solicitação manual pode ser aprovada automaticamente se a assinatura do consumidor estiver listada no lado do provedor. Para saber mais, vá para controlar o acesso ao serviço.

    Configuração do DNS

    As configurações de DNS que você usa para se conectar a um recurso de link privado são importantes. Os serviços existentes do Azure podem já ter uma configuração de DNS que pode utilizar quando estiver a ligar através de um ponto de extremidade público. Para se conectar ao mesmo serviço através do ponto de extremidade privado, são necessárias configurações de DNS separadas, geralmente configuradas por meio de zonas DNS privadas. Verifique se as configurações de DNS estão corretas ao usar o FQDN (nome de domínio totalmente qualificado) para a conexão. As configurações devem ser resolvidas para o endereço IP privado do ponto de extremidade privado.

    A interface de rede associada ao ponto de extremidade privado contém as informações necessárias para configurar o DNS. As informações incluem o FQDN e o endereço IP privado de um recurso de link privado.

    Para obter informações completas e detalhadas sobre recomendações para configurar o DNS para pontos de extremidade privados, consulte Configuração de DNS de ponto de extremidade privado.

    Limitações

    As informações a seguir listam as limitações conhecidas para o uso de pontos de extremidade privados:

    Endereço IP estático

    Limitação Description
    Configuração de endereço IP estático atualmente não suportada. Azure Kubernetes Service (AKS)
    Azure Application Gateway
    HD Insight
    Recovery Services Vaults Serviços de

    Link Privado de Terceiros

    Grupo de segurança de rede

    Limitação Description
    Rotas eficazes e regras de segurança indisponíveis para interface de rede de ponto final privado. Rotas efetivas e regras de segurança não serão exibidas para a NIC de ponto de extremidade privada no portal do Azure.
    Logs de fluxo NSG sem suporte. Logs de fluxo NSG indisponíveis para tráfego de entrada destinado a um ponto de extremidade privado.
    Não mais de 50 membros em um Grupo de Segurança de Aplicativos. Cinquenta é o número de configurações de IP que podem ser vinculadas a cada ASG respetivo acoplado ao NSG na sub-rede de ponto de extremidade privado. Podem ocorrer falhas de ligação com mais de 50 membros.
    Intervalos de portas de destino suportados até um fator de 250 K. Os intervalos de portas de destino são suportados como uma multiplicação SourceAddressPrefixes, DestinationAddressPrefixes e DestinationPortRanges.

    Exemplo de regra de entrada:
    Uma fonte * um destino * 4K portRanges = 4K Válido
    10 fontes * 10 destinos * 10 portRanges = 1 K Válido
    50 fontes * 50 destinos * 50 portRanges = 125 K Válido
    50 fontes * 50 destinos * 100 portRanges = 250 K Válido
    100 fontes * 100 destinos * 100 portRanges = 1M Inválido, NSG tem muitas fontes/destinos/portas.
    A filtragem da porta de origem é interpretada como * A filtragem de porta de origem não é usada ativamente como cenário válido de filtragem de tráfego para tráfego destinado a um ponto de extremidade privado.
    Recurso indisponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    Índia
    Ocidental Austrália Central 2
    África do Sul Oeste
    Brasil Sudeste
    Todas as regiões Governo Todas as regiões
    China

    NSG mais considerações

    • O tráfego de saída negado de um ponto de extremidade privado não é um cenário válido, pois o provedor de serviços não pode originar tráfego.

    • Os seguintes serviços podem exigir que todas as portas de destino estejam abertas ao usar um ponto de extremidade privado e adicionar filtros de segurança NSG:

      • Azure Cosmos DB - Para obter mais informações, consulte Intervalos de portas de serviço.

    UDR

    Limitação Description
    SNAT é recomendado sempre. Devido à natureza variável do plano de dados do ponto de extremidade privado, recomenda-se o tráfego SNAT destinado a um ponto de extremidade privado para garantir que o tráfego de retorno seja respeitado.
    Recurso indisponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    Índia Ocidental
    Austrália Central 2
    África do Sul Oeste
    Brasil Sudeste

    Grupo de segurança de aplicações

    Limitação Description
    Recurso indisponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    Índia Ocidental
    Austrália Central 2
    África do Sul Oeste
    Brasil Sudeste

    Próximos passos