Explicar os pontos de extremidade do serviço de rede virtual
Sua organização migra um aplicativo ERP existente com servidores de banco de dados para máquinas virtuais do Azure. Agora, para reduzir os custos e requisitos administrativos, está a considerar utilizar alguns serviços PaaS (plataforma como serviço) do Azure. Especificamente, serviços de armazenamento para armazenar ativos de arquivos grandes, como diagramas de engenharia. Esses diagramas de engenharia têm informações proprietárias e devem permanecer protegidos contra acesso não autorizado. Estes ficheiros têm de ser acessíveis somente a partir de sistemas específicos.
Nesta unidade, você explora como usar pontos de extremidade de serviço de rede virtual para proteger os serviços do Azure.
O que é um ponto de extremidade de serviço de rede virtual?
O ponto de extremidade do serviço de Rede Virtual (VNet) fornece conectividade segura e direta aos serviços do Azure. Os pontos de extremidade de serviço permitem que você proteja seus recursos críticos de serviço do Azure apenas para suas redes virtuais. Os Pontos de Extremidade de Serviço permitem que os endereços IP privados na VNet alcancem o ponto de extremidade de um serviço do Azure sem a necessidade de um endereço IP público.
Por predefinição, os serviços do Azure são concebidos para o acesso direto à Internet. Todos os recursos do Azure têm endereços IP públicos, incluindo serviços PaaS, tais como a Base de Dados SQL do Azure e o Armazenamento do Microsoft Azure. Como estes serviços estão expostos à Internet, qualquer pessoa pode potencialmente aceder aos seus serviços do Azure.
Os pontos de extremidade de serviço podem conectar determinados serviços PaaS diretamente ao seu espaço de endereço privado no Azure. Os pontos de extremidade de serviço usam seu espaço de endereço privado para acessar os serviços PaaS diretamente. A adição de pontos finais de serviço não remove o ponto final público. Apenas fornece um redirecionamento de tráfego.
Preparando-se para implementar pontos de extremidade de serviço
Para habilitar um ponto de extremidade de serviço, você deve fazer duas coisas.
- Desativar o acesso público ao serviço.
- Adicione o Service Endpoint a uma rede virtual.
Ao habilitar um Ponto de Extremidade de Serviço, você restringe o fluxo de tráfego e habilita suas VMs do Azure para acessar o serviço diretamente do seu espaço de endereço privado. Os dispositivos não podem aceder ao serviço a partir de uma rede pública. Em uma VM vNIC implantada, se você olhar para Rotas efetivas, perceberá que o ponto de extremidade de serviço é o tipo de próximo salto.
Aqui está um exemplo de tabela de rotas, antes de habilitar um ponto de extremidade de serviço.
| FONTE | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DE SALTO SEGUINTE |
|---|---|---|---|
| Predefinido | Ativos | 10.1.1.0/24 | VNet |
| Predefinido | Ativos | 0.0.0.0./0 | Internet |
| Predefinido | Ativos | 10.0.0.0/8 | Nenhuma |
| Predefinido | Ativos | 100.64.0.0./ | Nenhuma |
| Predefinido | Ativos | 192.168.0.0/16 | Nenhuma |
Aqui está um exemplo de tabela de rotas depois de adicionar dois pontos de extremidade de serviço à rede virtual.
| FONTE | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DE SALTO SEGUINTE |
|---|---|---|---|
| Predefinido | Ativos | 10.1.1.0/24 | VNet |
| Predefinido | Ativos | 0.0.0.0./0 | Internet |
| Predefinido | Ativos | 10.0.0.0/8 | Nenhuma |
| Predefinido | Ativos | 100.64.0.0./ | Nenhuma |
| Predefinido | Ativos | 192.168.0.0/16 | Nenhuma |
| Predefinido | Ativos | 20.38.106.0/23, mais 10 | Ponto Final de Serviço de Rede Virtual |
| Predefinido | Ativos | 20.150.2.0/23, mais 9 | Ponto Final de Serviço de Rede Virtual |
Todo o tráfego do serviço agora é roteado para o Ponto de Extremidade do Serviço de Rede Virtual e permanece interno ao Azure.
Criar pontos de extremidade de serviço
Como engenheiro de rede, você está planejando mover arquivos de diagrama de engenharia confidenciais para o Armazenamento do Azure. Os ficheiros têm de ser acessíveis apenas a partir dos computadores dentro da rede empresarial. Você deseja criar um Ponto de Extremidade de Serviço de rede virtual para o Armazenamento do Azure para proteger a conectividade com suas contas de armazenamento.
No tutorial do ponto de extremidade de serviço, você aprenderá a:
- Habilitar um ponto de extremidade de serviço em uma sub-rede
- Usar regras de rede para restringir o acesso ao Armazenamento do Azure
- Criar um ponto final de serviço de rede virtual do Armazenamento do Microsoft Azure
- Verifique se o acesso é negado adequadamente
Configurar tags de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes das regras de segurança de rede.
Pode utilizar etiquetas de serviço para definir controlos de acesso à rede em grupos de segurança de rede ou no Azure Firewall. Utilize etiquetas de serviço em vez de endereços IP específicos quando criar regras de segurança. Ao especificar o nome da etiqueta de serviço, como Gerenciamento de API, no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
A partir de março de 2021, você também pode usar tags de serviço no lugar de intervalos de IP explícitos em rotas definidas pelo usuário. Esta funcionalidade está atualmente em Pré-visualização Pública.
Você pode usar marcas de serviço para obter isolamento de rede e proteger seus recursos do Azure da Internet geral enquanto acessa os serviços do Azure que têm pontos de extremidade públicos. Crie regras de grupo de segurança de rede de entrada/saída para negar tráfego de/para a Internet e permitir tráfego de/para o AzureCloud ou outras marcas de serviço disponíveis de serviços específicos do Azure.
Etiquetas de serviço disponíveis
Esta tabela inclui todas as tags de serviço disponíveis para uso em regras de grupo de segurança de rede. As colunas indicam se a tag:
- É adequado para regras que abrangem o tráfego de entrada ou de saída.
- Suporta âmbito regional.
- É utilizável nas regras do Firewall do Azure.
Por padrão, as tags de serviço são para toda a nuvem. Algumas tags de serviço também permitem um controle mais granular, restringindo os intervalos de IP correspondentes a uma região especificada. Por exemplo, a etiqueta de serviço Armazenamento representa o Armazenamento do Azure para toda a nuvem. Oeste dos EUA reduz o intervalo para apenas os intervalos de endereços IP de armazenamento da região Oeste dos EUA.
As marcas de serviço dos serviços do Azure indicam os prefixos de endereço da nuvem específica que está sendo usada. Por exemplo, os intervalos de IP que correspondem ao valor da marca SQL na nuvem pública do Azure são diferentes dos intervalos na nuvem do Azure Government.
Se você implementar um Ponto de Extremidade de Serviço de rede virtual para um serviço, o Azure adicionará uma rota a uma sub-rede de rede virtual. Os prefixos de endereço na rota são os mesmos prefixos de endereço para a tag de serviço correspondente.