Endpoint del servizio Rete virtuale di Azure (2023)

  • Articolo

L'endpoint del servizio Rete virtuale (VNet) fornisce una connessione sicura e diretta ai servizi di Azure tramite un percorso ottimizzato sulla rete backbone di Azure. Gli endpoint ti consentono di proteggere le risorse critiche dei servizi di Azure all'interno delle tue reti virtuali. Gli endpoint del servizio consentono agli indirizzi IP privati ​​nella rete virtuale di raggiungere l'endpoint di un servizio di Azure senza richiedere un indirizzo IP pubblico nella rete virtuale.

Avviso

Microsoft consiglia di utilizzare il collegamento privato di Azure per l'accesso sicuro e privato ai servizi ospitati sulla piattaforma Azure. Per ulteriori informazioni, vedereCollegamento privato di Azure.

Gli endpoint del servizio sono disponibili per i servizi e le aree di Azure seguenti. ILMicrosoft.*-La risorsa è indicata tra parentesi. Abilita questa risorsa dalla pagina Sottoreti durante la configurazione degli endpoint del servizio per il tuo servizio:

Generalmente disponibile

  • Archiviazione di Azure(Microsoft.Storage): disponibile a livello generale in tutte le aree di Azure.
  • Endpoint del servizio di archiviazione di Azure tra regioni(Microsoft.Storage.Global): disponibile a livello generale in tutte le aree di Azure.
  • Banca dati SQL di Azure(Microsoft.Sql): disponibile a livello generale in tutte le aree di Azure.
  • Analisi delle sinapsi di Azure(Microsoft.Sql): disponibile a livello generale in tutte le aree di Azure per pool SQL dedicati (in precedenza SQL DW).
  • Database di Azure per server PostgreSQL(Microsoft.Sql): disponibile a livello generale nelle aree di Azure in cui è disponibile il servizio database.
  • Database di Azure per server MySQL(Microsoft.Sql): disponibile a livello generale nelle aree di Azure in cui è disponibile il servizio database.
  • Database di Azure per MariaDB(Microsoft.Sql): disponibile a livello generale nelle aree di Azure in cui è disponibile il servizio database.
  • Azure Cosmos DB(Microsoft.AzureCosmosDB): disponibile a livello generale in tutte le aree di Azure.
  • Insieme di credenziali delle chiavi di Azure(Microsoft.KeyVault): disponibile a livello generale in tutte le aree di Azure.
  • Bus di servizio di Azure(Microsoft.ServiceBus): disponibile a livello generale in tutte le aree di Azure.
  • Hub eventi di Azure(Microsoft.EventHub): disponibile a livello generale in tutte le aree di Azure.
  • Azure Data Lake Storage Gen1(Microsoft.AzureActiveDirectory): disponibile a livello generale in tutte le aree di Azure in cui è disponibile ADLS Gen1.
  • Servizio app di Azure(Microsoft.Web): disponibile a livello generale in tutte le aree di Azure in cui è disponibile il servizio app.
  • Servizi cognitivi di Azure(Microsoft.CognitiveServices): disponibile a livello generale in tutte le aree di Azure in cui sono disponibili i servizi AzureKI.

Anteprima pubblica

  • Registro Azure Container(Microsoft.ContainerRegistry): anteprima disponibile nelle aree di Azure limitate in cui è disponibile Registro contenitori di Azure.

Controlla la pagina per le ultime notificheAggiornamenti della rete virtuale di Azure.

See Also
Criteri dell'endpoint del servizio di rete virtuale di AzureConfigurare gli endpoint del servizio di rete virtuale per il bus di servizio di Azure - Bus di servizio di Azure

Principali vantaggi

Gli endpoint del servizio offrono i seguenti vantaggi:

  • Sicurezza migliorata per le risorse dei servizi di Azure: gli spazi degli indirizzi privati ​​della rete virtuale possono sovrapporsi. Non è possibile utilizzare intervalli sovrapposti per identificare in modo univoco il traffico proveniente dalla rete virtuale. Gli endpoint del servizio abilitano la protezione delle risorse del servizio di Azure per la rete virtuale estendendo l'identità della rete virtuale al servizio. Dopo aver abilitato gli endpoint del servizio nella rete virtuale, puoi aggiungere una regola di rete virtuale per proteggere le risorse del servizio di Azure nella rete virtuale. Il complemento di regole fornisce maggiore sicurezza impedendo completamente l'accesso alle risorse dalla rete Internet pubblica e consentendo solo il traffico proveniente dalla rete virtuale.

  • Instradamento ottimale del traffico per i servizi di Azure dalla tua rete virtuale: oggi, tutti i percorsi nella rete virtuale che costringono il traffico Internet a passare attraverso le apparecchiature locali/virtuali costringono anche il traffico dai servizi di Azure a seguire lo stesso percorso del traffico Internet. Gli endpoint del servizio consentono il routing ottimale per il traffico di Azure.

    Gli endpoint instradano il traffico del servizio direttamente dalla rete virtuale al servizio sulla rete backbone di Microsoft Azure. La gestione del traffico sulla rete backbone di Azure consente comunque di monitorare e ispezionare il traffico Internet in uscita dalle reti virtuali attraverso il tunneling forzato senza influire sul traffico del servizio. Per ulteriori informazioni sui percorsi personalizzati e sul tunneling forzato, vedereInstradamento del traffico per le reti virtuali di Azure.

  • Configurazione semplice con meno amministrazione: non hai più bisogno di indirizzi IP pubblici riservati nelle tue reti virtuali per proteggere le risorse di Azure tramite firewall IP. Per configurare gli endpoint del servizio non sono necessari dispositivi NAT (Network Address Translation) o gateway. È possibile configurare gli endpoint del servizio su una sottorete con scelta singola. Non sono previsti sforzi aggiuntivi per la gestione degli endpoint.

restrizioni

  • La funzionalità è disponibile solo per le reti virtuali che usano il modello di distribuzione Azure Resource Manager.
  • Gli endpoint sono abilitati per le subnet configurate nelle reti virtuali di Azure. Gli endpoint non possono essere usati per il traffico dai servizi locali ai servizi di Azure. Per ulteriori informazioni, vedereProtezione dell'accesso ai servizi di Azure da locale.
  • Per Azure SQL, un endpoint di servizio si applica solo al traffico proveniente dai servizi di Azure in un'area di rete virtuale.
  • Per Azure Data Lake Storage (ADLS) Gen1, la funzionalità di integrazione VNet è disponibile solo per le reti virtuali nella stessa area. Tieni inoltre presente che l'integrazione della rete virtuale ADLS Gen1 sfrutta la sicurezza degli endpoint del servizio VNet tra la rete virtuale e Azure Active Directory (Azure AD) per generare ulteriori attestazioni di sicurezza nel token di accesso. Queste attestazioni vengono quindi usate per autenticare e consentire l'accesso alla rete virtuale con l'account Data Lake Storage Gen1. ILMicrosoft.AzureActiveDirectoryIl tag elencato nel servizio che supporta gli endpoint del servizio viene utilizzato solo per supportare gli endpoint del servizio per ADLS Gen1. Azure AD non supporta in modo nativo gli endpoint del servizio. Per altre informazioni sull'integrazione della rete virtuale di Azure Data Lake Store di prima generazione, vedereSicurezza di rete in Azure Data Lake Storage Gen1.
  • Ogni servizio supportato con regole VNet attive configurate può essere associato a una rete virtuale composta da un massimo di 200 sottoscrizioni e aree diverse.

Protezione dei servizi di Azure nelle reti virtuali

  • L'endpoint del servizio di rete virtuale fornisce l'identità della rete virtuale al servizio di Azure. Dopo aver abilitato gli endpoint del servizio nella rete virtuale, puoi aggiungere una regola di rete virtuale per proteggere le risorse del servizio di Azure nella rete virtuale.

  • Oggi il traffico proveniente dai servizi di Azure proveniente da una rete virtuale usa indirizzi IP pubblici come indirizzi IP di origine. Quando si usano gli endpoint del servizio, il traffico del servizio passa agli indirizzi di rete virtuale privata come indirizzi IP di origine quando si accede al servizio di Azure da una rete virtuale. Questa opzione consente di accedere ai Servizi senza dover utilizzare indirizzi IP pubblici riservati nei firewall IP.

    Avviso

    Quando si utilizzano gli endpoint del servizio, gli indirizzi IP di origine delle VM nella subnet del traffico del servizio vengono commutati da indirizzi IPv4 pubblici a indirizzi IPv4 privati. Di conseguenza, le regole firewall esistenti per i servizi di Azure che usano indirizzi IP pubblici di Azure non funzioneranno più. Assicurarsi che le regole del firewall del servizio di Azure supportino questa transizione prima di configurare gli endpoint del servizio. Potrebbe inoltre verificarsi un'interruzione temporanea del traffico del servizio da tale sottorete durante la configurazione degli endpoint del servizio.

Protezione dell'accesso ai servizi di Azure da locale

Per impostazione predefinita, le risorse dei servizi di Azure limitate e protette da reti virtuali non sono raggiungibili tramite reti locali. Se si vuole consentire il traffico da locale, è necessario consentire anche gli indirizzi IP pubblici (in genere NAT) da locale o tramite ExpressRoute. È possibile aggiungere questi indirizzi IP tramite la configurazione del firewall IP per le risorse dei servizi di Azure.

ExpressRoute: se tuExpressRouteper il peering pubblico o per il peering Microsoft locale è necessario identificare gli indirizzi IP NAT utilizzati. Per impostazione predefinita, il peering pubblico usa due indirizzi IP NAT per ogni circuito ExpressRoute. Questi vengono applicati al traffico dei servizi di Azure quando il traffico arriva al backbone di rete di Microsoft Azure. Con il peering Microsoft, gli indirizzi IP NAT vengono forniti dal cliente o dal provider di servizi. Per consentire l'accesso alle risorse del servizio, è necessario consentire questi indirizzi IP pubblici nell'impostazione delle risorse del firewall IP.Aprire un ticket di supporto per ExpressRoute usando il portale di Azureper individuare gli indirizzi IP del circuito ExpressRoute per il peering pubblico. Per ulteriori informazioni su NAT per il peering pubblico di ExpressRoute e il peering Microsoft, vedereRequisiti NAT per ExpressRoute.

Endpoint del servizio Rete virtuale di Azure (1)

configurazione

  • Configurare gli endpoint del servizio per una subnet in una rete virtuale. Qualsiasi tipo di istanza di calcolo in esecuzione su tale sottorete può essere utilizzato per gli endpoint.
  • È possibile configurare più endpoint di servizio per tutti i servizi di Azure supportati (come archiviazione di Azure o database SQL di Azure) in una subnet.
  • Per il database SQL di Azure, le reti virtuali devono trovarsi nella stessa area della risorsa del servizio di Azure. Per tutti gli altri servizi, è possibile eseguire il backup delle risorse dei servizi di Azure nelle reti virtuali in ogni area.
  • La rete virtuale in cui è configurato l'endpoint può trovarsi nella stessa sottoscrizione o in una sottoscrizione diversa della risorsa del servizio di Azure. Per ulteriori informazioni sulle autorizzazioni necessarie per configurare gli endpoint e proteggere i servizi di Azure, vederedistribuzione.
  • Per i servizi supportati, puoi proteggere le risorse di rete virtuale nuove o esistenti utilizzando gli endpoint del servizio.

considerazioni

  • Dopo aver attivato un endpoint del servizio, gli indirizzi IP di origine non utilizzano più gli indirizzi IPv4 pubblici quando comunicano con il servizio da quella sottorete, ma utilizzano invece i propri indirizzi IPv4 privati. Tutte le connessioni TCP aperte esistenti al servizio vengono chiuse durante questo processo di switchover. Fai attenzione che non siano in esecuzione attività critiche quando abiliti o disabiliti un endpoint di servizio per una sottorete. Assicurati inoltre che le tue applicazioni possano connettersi automaticamente ai servizi di Azure dopo aver spostato questo indirizzo IP.

    La modifica dell'indirizzo IP influisce solo sul traffico del servizio dalla rete virtuale. Non vi è alcun impatto su altro traffico da o verso gli indirizzi IPv4 pubblici assegnati alle tue VM. Se sono presenti regole firewall esistenti con indirizzi IP pubblici di Azure, tali regole dei servizi di Azure non funzioneranno più dopo il passaggio agli indirizzi di rete virtuale privati.

  • Quando si usano gli endpoint del servizio, i record DNS per i servizi di Azure rimangono invariati e continuano a risolversi in indirizzi IP pubblici assegnati al servizio di Azure.

  • Gruppi di sicurezza di rete (NSG) con endpoint di servizio:

    • Per impostazione predefinita, i gruppi di rete consentono il traffico Internet in uscita e consentono anche il traffico dalla rete virtuale ai servizi di Azure. In connessione con gli endpoint del servizio, questo traffico funziona come prima.
    • Se vuoi negare tutto il traffico Internet in uscita e consentire solo il traffico per servizi di Azure specifici, puoi farloMartedìutilizzare nei tuoi NSG. È possibile scegliere come target i servizi di Azure supportati nelle regole del gruppo di rete e Azure fornirà la manutenzione per l'indirizzo IP sottostante di ogni tag. Per ulteriori informazioni, vedereTag del servizio di Azure per i gruppi di sicurezza di rete.

scenari

  • Reti virtuali peer, connesse o multiple: per proteggere i servizi di Azure in più subnet all'interno di una rete virtuale o in più reti virtuali, è possibile abilitare in modo indipendente gli endpoint del servizio in ogni subnet e proteggere le risorse del servizio di Azure in tutte le subnet.
  • Filtra il traffico in uscita che fluisce dalla rete virtuale ai servizi di Azure: se si desidera esaminare e filtrare il traffico inviato dalla rete virtuale a un servizio di Azure, è possibile distribuire un dispositivo di rete virtuale in questa rete virtuale. È quindi possibile applicare gli endpoint del servizio alla subnet in cui è stata distribuita l'appliance di rete virtuale e proteggere le risorse dei servizi di Azure all'interno di tale subnet. Questo scenario può essere utile se si vuole usare il filtro dei dispositivi di rete virtuale per limitare l'accesso ai servizi di Azure dalla rete virtuale solo a risorse di Azure specifiche. Per ulteriori informazioni, vederein uscita con dispositivi virtuali di rete(Traffico in uscita con dispositivi di rete virtuale).
  • Protezione delle risorse di Azure per i servizi distribuiti direttamente nelle reti virtuali: è possibile distribuire diversi servizi di Azure direttamente in subnet specifiche in una rete virtuale. È possibile usare le risorse dei servizi di Azure per le subnetservizi gestitiProteggi configurando un endpoint del servizio nella sottorete del servizio gestito.
  • Traffico su disco da una macchina virtuale di Azure: il traffico dei dischi della macchina virtuale per i dischi gestiti e non gestiti non è influenzato dagli endpoint del servizio che inoltrano le modifiche ad archiviazione di Azure. Questo traffico include "diskIO" e "mount" e "unmount". L'accesso REST ai BLOB di pagine può essere effettuato tramite endpoint di servizio eRegole della rete di archiviazione di Azurelimitato a determinate reti.

Registrazione e risoluzione dei problemi

Dopo che gli endpoint del servizio sono stati configurati per un servizio specifico, puoi verificare che il percorso dell'endpoint del servizio sia stato impostato come segue:

  • Controllo dell'indirizzo IP di origine di una richiesta di servizio nella diagnostica del servizio. Tutte le nuove richieste con endpoint di servizio mostrano l'indirizzo IP di origine per la richiesta come indirizzo IP di rete virtuale privata assegnato al client attraverso il quale la richiesta viene inviata dalla rete virtuale. Senza l'endpoint, l'indirizzo è un indirizzo IP pubblico di Azure.
  • Visualizza i percorsi effettivi su un'interfaccia di rete in una sottorete. Il percorso per raggiungere il servizio:
    • Visualizza un percorso predefinito più specifico per gli intervalli di prefissi di indirizzo di ciascun servizio
    • puntiVirtualNetworkServiceEndpointcome "nextHopType".
    • Indica che esiste un collegamento più diretto al servizio rispetto ai percorsi in galleria forzata.

Avviso

La route dell'endpoint del servizio esegue l'override di qualsiasi route BGP in modo che corrisponda al prefisso dell'indirizzo di un servizio di Azure. Per ulteriori informazioni, vedereRisolvere i problemi con percorsi efficaci.

distribuzione

Gli endpoint del servizio possono essere configurati individualmente nelle reti virtuali da un utente che ha accesso in scrittura a una rete virtuale. Per proteggere le risorse dei servizi di Azure in una rete virtuale, l'utente deve disporre dell'autorizzazione per l'aggiunta delle subnetMicrosoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actioncaratteristica. I ruoli di amministratore del servizio integrati includono questa autorizzazione per impostazione predefinita. Puoi modificare l'autorizzazione creando ruoli personalizzati.

Per ulteriori informazioni sui ruoli integrati, vedereRuoli di Azure incorporati. Per ulteriori informazioni sull'assegnazione di autorizzazioni specifiche ai ruoli personalizzati, vedereRuoli personalizzati di Azure.

Le reti virtuali e le risorse dei servizi di Azure possono trovarsi nelle stesse sottoscrizioni o in sottoscrizioni diverse. Alcuni servizi di Azure (non tutti), come Archiviazione di Azure e Azure Key Vault, supportano anche endpoint di servizio tra diversi tenant di Active Directory (AD). Ciò significa che la rete virtuale e la risorsa del servizio di Azure possono trovarsi in tenant di Active Directory (AD) diversi. Per informazioni dettagliate consultare la documentazione del singolo servizio.

Prezzi e restrizioni

Non sono previsti costi aggiuntivi per l'utilizzo degli endpoint del servizio. L'attuale modello di prezzi per i servizi di Azure (archiviazione di Azure, database SQL di Azure e così via) rimane invariato.

Non esiste alcun limite al numero totale di endpoint del servizio in una rete virtuale.

Alcuni servizi di Azure, ad esempio gli account di archiviazione di Azure, possono imporre limiti al numero di subnet usate per proteggere la risorsa. Per informazioni dettagliate consultare la documentazione dei vari servizi nella sezioneProssimi passi.

Criteri dell'endpoint del servizio VNet

Gli endpoint del servizio di rete virtuale consentono di filtrare il traffico di rete virtuale verso i servizi di Azure. Questo filtro consente solo risorse specifiche del servizio di Azure tramite endpoint di servizio. I criteri dell'endpoint del servizio forniscono un controllo dettagliato degli accessi per il traffico di rete virtuale verso i servizi di Azure. Per ulteriori informazioni, vedereLinee guida per gli endpoint del servizio VNet.

Domande frequenti

Per le domande più frequenti vedereEndpoint della rete virtuale di Azure: domande frequenti.

Prossimi passi

  • Configurare gli endpoint del servizio VNet
  • Backup di un account di archiviazione di Azure in una rete virtuale
  • Backup di un database SQL di Azure in una rete virtuale
  • Proteggi Azure Synapse Analytics in una rete virtuale
  • Confronto tra endpoint privati ​​ed endpoint del servizio VNet
  • Linee guida per gli endpoint del servizio VNet
  • Modello di Gestione risorse di Azure

References

Top Articles
Latest Posts
Article information

Author: Rob Wisoky

Last Updated: 11/14/2023

Views: 5975

Rating: 4.8 / 5 (48 voted)

Reviews: 87% of readers found this page helpful

Author information

Name: Rob Wisoky

Birthday: 1994-09-30

Address: 5789 Michel Vista, West Domenic, OR 80464-9452

Phone: +97313824072371

Job: Education Orchestrator

Hobby: Lockpicking, Crocheting, Baton twirling, Video gaming, Jogging, Whittling, Model building

Introduction: My name is Rob Wisoky, I am a smiling, helpful, encouraging, zealous, energetic, faithful, fantastic person who loves writing and wants to share my knowledge and understanding with you.