Definir Private Link Service e private endpoint

Concluído

O que é a Ligação Privada do Azure?

O Azure Private Link permite que você acesse os Serviços PaaS do Azure e os serviços hospedados pelo Azure de propriedade do cliente/parceiro por meio de um Ponto de Extremidade Privado em sua rede virtual.

Antes de aprender sobre o Azure Private Link e seus recursos e benefícios, vamos examinar o problema que o Private Link foi projetado para resolver.

A Contoso tem uma rede virtual do Azure e você deseja se conectar a um recurso PaaS, como um banco de dados SQL do Azure. Ao criar esses recursos, você normalmente especifica um ponto de extremidade público como o método de conectividade.

Ter um ponto de extremidade público significa que o recurso recebe um endereço IP público. Portanto, mesmo que sua rede virtual e o banco de dados SQL do Azure estejam localizados na nuvem do Azure, a conexão entre eles ocorre pela Internet.

A preocupação aqui é que seu banco de dados SQL do Azure seja exposto à Internet por meio de seu endereço IP público. Esta exposição cria múltiplos riscos de segurança. Esses riscos de segurança estão presentes quando qualquer recurso do Azure é acessado por meio de um endereço IP público de:

• Uma rede virtual do Azure emparelhada.
• Uma rede local que se conecta ao Azure usando o ExpressRoute e o emparelhamento da Microsoft.
• A rede virtual do Azure de um cliente que se conecta a um serviço do Azure oferecido pela sua empresa.

O Private Link foi projetado para eliminar esses riscos de segurança, removendo a parte pública da conexão.

O Private Link fornece acesso seguro aos serviços do Azure. O Private Link alcança essa segurança substituindo o ponto de extremidade público de um recurso por uma interface de rede privada. Há três pontos-chave a considerar com esta nova arquitetura:

• O recurso do Azure torna-se, de certa forma, uma parte da sua rede virtual.
• A conexão com o recurso agora usa a rede de backbone do Microsoft Azure em vez da Internet pública.
• Você pode configurar o recurso do Azure para não expor mais seu endereço IP público, o que elimina esse risco potencial de segurança.

O que é o Ponto Final Privado do Azure?

O Private Endpoint é a principal tecnologia por trás do Private Link. O Ponto de Extremidade Privado é uma interface de rede que permite uma conexão privada e segura entre sua rede virtual e um serviço do Azure. Em outras palavras, Private Endpoint é a interface de rede que substitui o ponto de extremidade público do recurso.

O Private Link fornece acesso seguro aos serviços do Azure. O Private Link alcança essa segurança substituindo o ponto de extremidade público de um recurso por uma interface de rede privada. O Ponto de Extremidade Privado usa o endereço IP privado para serviços na VNet.

Qual é a diferença entre o Ponto de Extremidade Privado do Azure e um ponto de extremidade de serviço?

Os endpoints privados concedem acesso à rede a recursos específicos por trás de um determinado serviço, fornecendo segmentação granular. O tráfego pode chegar ao recurso de serviço a partir do local sem usar pontos de extremidade públicos.

Um ponto de extremidade de serviço permanece um endereço IP publicamente roteável. Um ponto de extremidade privado é um IP privado no espaço de endereço da rede virtual onde o ponto de extremidade privado está configurado.

Nota

A Microsoft recomenda o uso do Azure Private Link para acesso seguro e privado aos serviços hospedados na plataforma Azure.

O que é o Serviço de Link Privado do Azure?

O Private Link dá-lhe acesso privado a partir da sua rede virtual do Azure aos serviços PaaS e aos serviços de Parceiros Microsoft no Azure. Mas, e se a sua empresa tiver os seus próprios serviços do Azure? É possível oferecer a esses clientes uma ligação privada aos serviços da sua empresa?

Sim, usando o Serviço de Link Privado do Azure. Este serviço permite-lhe oferecer ligações de Ligação Privada aos seus serviços personalizados do Azure. Os consumidores de seus serviços personalizados podem acessar esses serviços de forma privada, ou seja, sem usar a Internet, de suas próprias redes virtuais do Azure.

O serviço Azure Private Link é a referência ao seu próprio serviço que é alimentado pelo Azure Private Link. Seu serviço que está sendo executado atrás do balanceador de carga padrão do Azure pode ser habilitado para acesso de Link Privado para que os consumidores ao seu serviço possam acessá-lo de forma privada a partir de suas próprias redes virtuais. Seus clientes podem criar um ponto de extremidade privado dentro de sua rede virtual e mapeá-lo para este serviço. Um serviço Private Link recebe conexões de vários pontos de extremidade privados. Um ponto de extremidade privado se conecta a um serviço de Link Privado.

Propriedades do Ponto Final Privado

Antes de criar um Ponto de Extremidade Privado, você deve considerar as propriedades do Ponto Final Privado e coletar dados sobre necessidades específicas a serem atendidas.

• Um nome exclusivo com um grupo de recursos.
• Uma sub-rede para implantar e alocar endereços IP privados de uma rede virtual.
• O recurso Link privado para se conectar usando ID de recurso ou alias, da lista de tipos disponíveis. Um identificador de rede exclusivo é gerado para todo o tráfego enviado para este recurso.
• O subrecurso a ser conectado. Cada tipo de recurso de Link Privado tem opções diferentes para selecionar com base na preferência.
• Um método de aprovação de ligação automática ou manual. Com base nas permissões de controle de acesso baseado em função (RBAC) do Azure, seu Ponto de Extremidade Privado pode ser aprovado automaticamente. Para o método manual, o proprietário do recurso aprova a conexão.
• Somente pontos de extremidade privados em um estado aprovado podem ser usados para enviar tráfego.

Além disso, considere:

• Os clientes iniciam conexões de rede. As ligações só podem ser estabelecidas numa única direção.
• O Private Endpoint tem uma interface de rede somente leitura para o ciclo de vida do recurso. A interface é atribuída dinamicamente endereços IP privados da sub-rede que mapeia para o recurso Private Link. O valor do endereço IP privado permanece inalterado durante todo o ciclo de vida do ponto de extremidade privado.
• O Ponto de Extremidade Privado deve ser implantado na mesma região e assinatura que a rede virtual.
• O recurso de Link Privado pode ser implantado em uma região diferente da rede virtual e do Ponto de Extremidade Privado.
• Vários pontos de extremidade privados podem ser criados usando o mesmo recurso de link privado.
• Vários pontos de extremidade privados podem ser criados na mesma sub-rede ou em sub-redes diferentes dentro da mesma rede virtual.

Verifique o seu conhecimento

1.

Qual é a tecnologia-chave por trás do Private Links?

Ponto de extremidade privado.

Resolução do DNS.

Redes Virtuais.

2.

Qual é a diferença entre um ponto de extremidade de serviço e um ponto de extremidade privado?

Um Ponto Final Privado liga-se a sistemas e serviços externos.

Um ponto de extremidade de serviço se conecta a sistemas e serviços externos.

Um Ponto de Extremidade de Serviço permite uma conexão privada e segura entre sua rede virtual e o Azure.

Tem de responder a todas as questões antes de verificar o seu trabalho.