Koncové body služby pro virtuální síťVirtual Network service endpoints

Koncové body služby Virtual Network (VNet) přesahují privátní adresní prostor virtuální sítě.Virtual Network (VNet) service endpoints extend your virtual network private address space. Koncové body také šíří identitu vaší virtuální sítě do služeb Azure přes přímé připojení.The endpoints also extend the identity of your VNet to the Azure services over a direct connection. Koncové body umožňují svázat vaše důležité prostředky služeb Azure pouze s vašimi virtuálními sítěmi.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Provoz z vaší virtuální sítě do služby Azure vždy zůstává v páteřní síti Microsoft Azure.Traffic from your VNet to the Azure service always remains on the Microsoft Azure backbone network.

Tato funkce je k dispozici pro následující služby a oblasti Azure.This feature is available for the following Azure services and regions. Prostředek Microsoft.* je v závorkách.The Microsoft.* resource is in parenthesis. Povolit tento prostředek ze strany podsítě při konfiguraci koncových bodů služby pro vaši službu:Enable this resource from the subnet side while configuring service endpoints for your service:

Obecná dostupnostGenerally available

Public PreviewPublic Preview

  • Azure Container Registry (Microsoft. ContainerRegistry): verze Preview je dostupná ve všech oblastech Azure, kde je Azure Container Registry k dispozici.Azure Container Registry (Microsoft.ContainerRegistry): Preview available in all Azure regions where Azure Container Registry is available.

Nejaktuálnější oznámení najdete na stránce Aktualizace služby Azure Virtual Network.For the most up-to-date notifications, check the Azure Virtual Network updates page.

Klíčové výhodyKey benefits

Koncové body služby poskytují následující výhody:Service endpoints provide the following benefits:

  • Vylepšené zabezpečení prostředků služeb Azure: soukromé adresní prostory virtuální sítě se můžou překrývat.Improved security for your Azure service resources: VNet private address spaces can overlap. K jednoznačné identifikaci provozu, který pochází z vaší virtuální sítě, nemůžete použít překrývající se mezery.You can't use overlapping spaces to uniquely identify traffic that originates from your VNet. Koncové body služby poskytují možnost zabezpečit prostředky služeb Azure ve vaší virtuální síti rozšířením identity virtuální sítě na službu.Service endpoints provide the ability to secure Azure service resources to your virtual network by extending VNet identity to the service. Po povolení koncových bodů služby ve virtuální síti můžete přidat pravidlo virtuální sítě pro zabezpečení prostředků služby Azure do vaší virtuální sítě.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network. Přidání pravidla nabízí lepší zabezpečení díky úplnému odebrání veřejného internetového přístupu k prostředkům a povolení provozu pouze z vaší virtuální sítě.The rule addition provides improved security by fully removing public internet access to resources and allowing traffic only from your virtual network.

  • Optimální směrování provozu služeb Azure z vaší virtuální sítě: v současné době budou všechny trasy ve vaší virtuální síti, které vynucují internetový provoz na místní nebo virtuální zařízení, taky vynutit provoz služeb Azure, aby převzal stejnou trasu jako internetový provoz.Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances also force Azure service traffic to take the same route as the internet traffic. Koncové body služby poskytují optimální směrování provozu Azure.Service endpoints provide optimal routing for Azure traffic.

    Koncové body vždy směrují provoz služby přímo z vaší virtuální sítě do služby v páteřní síti Microsoft Azure.Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Udržování provozu na páteřní síti Azure umožňuje pokračovat v auditování a monitorování odchozího internetového provozu z vašich virtuálních sítí prostřednictvím vynuceného tunelování, aniž by to mělo vliv na provoz služby.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. Další informace o trasách definovaných uživatelem a vynuceném tunelování najdete v tématu směrování provozu virtuální sítě Azure.For more information about user-defined routes and forced-tunneling, see Azure virtual network traffic routing.

  • Snadné nastavení a méně režie na správu: Ve virtuálních sítích už nepotřebujete vyhrazené veřejné IP adresy pro zabezpečení prostředků Azure prostřednictvím brány firewall protokolu IP.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. Pro nastavení koncových bodů služby není k dispozici žádný překlad síťových adres (NAT) nebo zařízení brány.There are no Network Address Translation (NAT) or gateway devices required to set up the service endpoints. Koncové body služby můžete nakonfigurovat jediným kliknutím na podsíť.You can configure service endpoints through a simple click on a subnet. Neexistují žádné další nároky na údržbu koncových bodů.There's no additional overhead to maintaining the endpoints.

OmezeníLimitations

  • Tato funkce je dostupná pouze pro virtuální sítě nasazené pomocí modelu nasazení Azure Resource Manager.The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • Koncové body jsou povolené na podsítích nakonfigurovaných ve virtuálních sítích Azure.Endpoints are enabled on subnets configured in Azure virtual networks. Koncové body není možné použít pro provoz z vašich místních služeb do služeb Azure.Endpoints can't be used for traffic from your premises to Azure services. Další informace najdete v tématu zabezpečení přístupu ke službě Azure z místního prostředí.For more information, see Secure Azure service access from on-premises
  • Pro Azure SQL se koncový bod služby vztahuje jenom na provoz služeb Azure v rámci oblasti virtuální sítě.For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. V případě Azure Storage se koncové body také rozšíří tak, aby zahrnovaly spárované oblasti, ve kterých nasadíte virtuální síť, která podporuje přenos geograficky redundantního úložiště s přístupem pro čtení (RA-GRS) a geograficky redundantní úložiště (GRS).For Azure Storage, endpoints also extend to include paired regions where you deploy the virtual network to support Read-Access Geo-Redundant Storage (RA-GRS) and Geo-Redundant Storage (GRS) traffic. Další informace najdete v tématu spárované oblasti Azure.For more information, see Azure paired regions.
  • V případě Azure Data Lake Storage (ADLS) 1. generace je možnost integrace virtuální sítě dostupná jenom pro virtuální sítě v rámci stejné oblasti.For Azure Data Lake Storage (ADLS) Gen 1, the VNet Integration capability is only available for virtual networks within the same region. Také si všimněte, že integrace virtuální sítě pro ADLS Gen1 používá ke generování dalších deklarací zabezpečení v přístupovém tokenu zabezpečení koncového bodu služby virtuální sítě mezi vaší virtuální sítí a Azure Active Directory (Azure AD).Also note that virtual network integration for ADLS Gen1 uses the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Tyto deklarace identity pak slouží k ověření vaší virtuální sítě v účtu Data Lake Storage Gen1 a povolení přístupu.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Značka Microsoft. azureactivedirectory selhala uvedená v části služby podporující koncové body služby se používá jenom pro podporu koncových bodů služby na ADLSu Gen 1.The Microsoft.AzureActiveDirectory tag listed under services supporting service endpoints is used only for supporting service endpoints to ADLS Gen 1. Azure AD nepodporuje nativně koncové body služby.Azure AD doesn't support service endpoints natively. Další informace o Azure Data Lake Store integraci virtuální sítě 1. generace najdete v tématu zabezpečení sítě v Azure Data Lake Storage Gen1.For more information about Azure Data Lake Store Gen 1 VNet integration, see Network security in Azure Data Lake Storage Gen1.

Zabezpečení služeb Azure pro virtuální sítěSecure Azure services to virtual networks

  • Koncový bod služby pro virtuální síť poskytuje službě Azure identitu vaší virtuální sítě.A virtual network service endpoint provides the identity of your virtual network to the Azure service. Po povolení koncových bodů služby ve virtuální síti můžete přidat pravidlo virtuální sítě pro zabezpečení prostředků služby Azure do vaší virtuální sítě.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network.

  • Provoz služby Azure z virtuální sítě v současné době používá jako zdrojové IP adresy veřejné IP adresy.Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. S koncovými body služby přepne provoz služby při přístupu ke službě Azure z vaší virtuální sítě na používání privátních adres virtuální sítě jako zdrojových IP adres.With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. Toto přepnutí umožňuje přistupovat ke službám bez potřeby vyhrazených veřejných IP adres, které se používají v branách firewall protokolu IP.This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

    Poznámka

    S koncovými body služby se zdrojové IP adresy virtuálních počítačů v podsíti pro obsluhu provozu přepnou z používání veřejných IPv4 adres na privátní IPv4 adresy.With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. Stávající pravidla bran firewall služeb Azure používající veřejné IP adresy Azure přestanou okamžikem přepnutí fungovat.Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. Před nastavováním koncových bodů služby se ujistěte, že pravidla bran firewall služeb Azure toto přepnutí podporují.Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. Při konfiguraci koncových bodů služby může také dojít k dočasnému přerušení provozu služby z této podsítě.You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

Zabezpečení přístupu ke službě Azure z místního prostředíSecure Azure service access from on-premises

Ve výchozím nastavení nejsou prostředky služeb Azure zabezpečené pro virtuální sítě dosažitelné z místních sítí.By default, Azure service resources secured to virtual networks aren't reachable from on-premises networks. Pokud chcete povolený provoz z místního prostředí, musíte taky z místního nebo ExpressRoute povolených IP adres veřejných (obvykle NAT).If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Tyto IP adresy můžete přidat prostřednictvím konfigurace brány firewall protokolu IP pro prostředky služeb Azure.You can add these IP addresses through the IP firewall configuration for Azure service resources.

ExpressRoute: Pokud používáte ExpressRoute pro veřejné partnerské vztahy nebo partnerské vztahy Microsoftu z vašich místních prostředí, budete muset identifikovat IP adresy NAT, které používáte.ExpressRoute: If you're using ExpressRoute for public peering or Microsoft peering from your premises, you'll need to identify the NAT IP addresses that you're using. U veřejných partnerských vztahů každý okruh ExpressRoute používá ve výchozím nastavení dvě IP adresy překladu adres (NAT), které se ve výchozím nastavení použijí na provoz služeb Azure, když přenos vstoupí do sítě Microsoft Azure páteřní sítě.For public peering, each ExpressRoute circuit uses two NAT IP addresses, by default, applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. U partnerského vztahu Microsoftu jsou IP adresy NAT buď poskytnuté zákazníkem, nebo poskytované poskytovatelem služeb.For Microsoft peering, the NAT IP addresses are either customer provided or provided by the service provider. Pokud chcete mít přístup k prostředkům služby, musíte tyto veřejné IP adresy v nastavení brány firewall protokolu IP pro prostředek dovolit. To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Pokud chcete zjistit IP adresy okruhu veřejných partnerských vztahů ExpressRoute, otevřete lístek podpory s ExpressRoute prostřednictvím Azure Portal. To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Další informace o překladu adres (NAT) pro veřejný partnerský vztah ExpressRoute a partnerského vztahu Microsoftu najdete v článku požadavky na EXPRESSROUTE NAT.For more information about NAT for ExpressRoute public and Microsoft peering, see ExpressRoute NAT requirements.

Svázání služeb Azure s virtuálními sítěmi

KonfiguraceConfiguration

  • Konfigurace koncových bodů služby v podsíti ve virtuální síti.Configure service endpoints on a subnet in a virtual network. Koncové body fungují s jakýmkoli typem výpočetních instancí spuštěných v rámci této podsítě.Endpoints work with any type of compute instances running within that subnet.
  • V podsíti můžete nakonfigurovat několik koncových bodů služby pro všechny podporované služby Azure (například Azure Storage nebo Azure SQL Database).You can configure multiple service endpoints for all supported Azure services (Azure Storage or Azure SQL Database, for example) on a subnet.
  • Pro Azure SQL Database musí být virtuální sítě ve stejné oblasti jako prostředek služby Azure.For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. Pokud používáte pro Azure Storage účty GRS a RA-GRS, primární účet musí být ve stejné oblasti jako virtuální síť.If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. Pro všechny ostatní služby můžete zabezpečit prostředky služeb Azure pro virtuální sítě v libovolné oblasti.For all other services, you can secure Azure service resources to virtual networks in any region.
  • Virtuální síť, ve které je koncový bod nakonfigurovaný, může být ve stejném předplatném jako prostředek služby Azure nebo v jiném předplatném.The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. Další informace o oprávněních požadovaných pro nastavení koncových bodů a zabezpečení služeb Azure najdete v části Zřizování.For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • U podporovaných služeb můžete pomocí koncových bodů služby svázat s virtuálními sítěmi nové nebo existující prostředky.For supported services, you can secure new or existing resources to virtual networks using service endpoints.

PožadavkyConsiderations

  • Po povolení koncového bodu služby zdrojové IP adresy virtuálních počítačů v přepínači podsítě.After enabling a service endpoint, the source IP addresses of virtual machines in the subnet switch. Zdrojová IP adresa se při komunikaci se službou z dané podsítě přepne z použití veřejných adres IPv4 na používání jejich privátní IPv4 adresy.The source IP addresses switch from using public IPv4 addresses to using their private IPv4 address when communicating with the service from that subnet. Během tohoto přepnutí se ukončí všechna existující otevřená připojení TCP ke službě.Any existing open TCP connections to the service are closed during this switch. Při povolování nebo zakazování koncového bodu služby pro podsíť se ujistěte, že nejsou spuštěné žádné důležité úlohy.Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. Také se ujistěte, že se vaše aplikace můžou po přepnutí IP adres automaticky připojit ke službám Azure.Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    Přepnutí IP adres ovlivní pouze provoz služeb z vaší virtuální sítě.The IP address switch only impacts service traffic from your virtual network. Neexistuje žádný vliv na žádný jiný provoz adresovaný na veřejné IPv4 adresy přiřazené vašim virtuálním počítačům nebo z nich.There's no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Pokud máte pro služby Azure existující pravidla brány firewall používající veřejné IP adresy Azure, tato pravidla s přepnutím na privátní adresy virtuální sítě přestanou fungovat.For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • S koncovými body služby zůstávají záznamy DNS pro služby Azure tak, jak jsou, a nadále se překládají na veřejné IP adresy přiřazené službě Azure.With service endpoints, DNS entries for Azure services remain as-is today and continue to resolve to public IP addresses assigned to the Azure service.

  • Skupiny zabezpečení sítě (NSG) s koncovými body služby:Network security groups (NSGs) with service endpoints:

    • Ve výchozím nastavení skupin zabezpečení sítě povoluje odchozí internetový provoz a také umožňuje provoz z vaší virtuální sítě do služeb Azure.By default, NSGs allow outbound internet traffic and also allow traffic from your VNet to Azure services. Tento provoz bude i nadále pracovat s koncovými body služby, jak je.This traffic continues to work with service endpoints as is.
    • Pokud chcete zakázat veškerý odchozí internetový provoz a povolit jenom přenosy na konkrétní služby Azure, můžete to udělat pomocí značek služeb ve službě skupin zabezpečení sítě.If you want to deny all outbound internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. V pravidlech NSG můžete zadat podporované služby Azure jako cíl a Azure taky poskytuje údržbu IP adres, které jsou základem jednotlivých značek.You can specify supported Azure services as destination in your NSG rules and Azure also provides the maintenance of IP addresses underlying each tag. Další informace najdete v tématu Značky služeb Azure pro skupiny zabezpečení sítě.For more information, see Azure Service tags for NSGs.

ScénářeScenarios

  • Partnerské, propojené nebo vícenásobné virtuální sítě: Pokud chcete svázat služby Azure s několika podsítěmi v rámci virtuální sítě nebo mezi několika virtuálními sítěmi, můžete koncové body služby povolit v každé z podsítí nezávisle na sobě a svázat tak prostředky služeb Azure se všemi podsítěmi.Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • Filtrování odchozího provozu z virtuální sítě do služeb Azure: Pokud chcete zkontrolovat nebo filtrovat provoz odeslaný do služby Azure z virtuální sítě, můžete v rámci virtuální sítě nasadit síťové virtuální zařízení.Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic sent to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Potom můžete na podsíť s nasazeným síťovým virtuálním zařízením použít koncové body služby a svázat prostředky služby Azure pouze s touto podsítí.You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. Tento scénář může být užitečný, pokud chcete pomocí filtrování síťových virtuálních zařízení omezit přístup služby Azure z vaší virtuální sítě jenom na konkrétní prostředky Azure.This scenario might be helpful if you want use network virtual appliance filtering to restrict Azure service access from your virtual network only to specific Azure resources. Další informace najdete v popisu výchozího přenosu dat se síťovými virtuálními zařízeními.For more information, see egress with network virtual appliances.
  • Zabezpečení prostředků Azure pro služby nasazené přímo do virtuálních sítí: různé služby Azure můžete nasadit přímo do konkrétních podsítí ve virtuální síti.Securing Azure resources to services deployed directly into virtual networks: You can directly deploy various Azure services into specific subnets in a virtual network. Prostředky služby Azure můžete svázat s podsítěmi spravované služby nastavením koncového bodu služby v podsíti spravované služby.You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Přenos disku z virtuálního počítače Azure: provoz disku virtuálního počítače pro spravované a nespravované disky nemá vliv na změny směrování koncových bodů služby pro Azure Storage.Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic for managed and unmanaged disks isn't affected by service endpoints routing changes for Azure Storage. Tento provoz zahrnuje diskIO a také připojení a odpojení.This traffic includes diskIO as well as mount and unmount. Můžete omezit přístup REST k objektům blob stránky a vybrat sítě prostřednictvím koncových bodů služby a Azure Storagech síťových pravidel.You can limit REST access to page blobs to select networks through service endpoints and Azure Storage network rules.

Protokolování a řešení potížíLogging and troubleshooting

Po nakonfigurování koncových bodů služby na určitou službu ověřte, zda je směrování koncového bodu služby v platnosti:Once you configure service endpoints to a specific service, validate that the service endpoint route is in effect by:

  • Ověření zdrojové IP adresy každé žádosti o služby v diagnostice služby.Validating the source IP address of any service request in the service diagnostics. U všech nových žádostí pomocí koncových bodů služby se jako zdrojová IP adresa žádosti zobrazí privátní IP adresa virtuální sítě, která je přiřazená klientovi provádějícímu žádost z vaší virtuální sítě.All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. Bez koncového bodu je tato adresa veřejnou IP adresou Azure.Without the endpoint, the address is an Azure public IP address.
  • Zobrazení efektivních tras na všech síťových rozhraních v podsíti.Viewing the effective routes on any network interface in a subnet. Trasa ke službě:The route to the service:
    • Ukazuje konkrétnější výchozí trasu k rozsahu předpon adresy každé služby.Shows a more specific default route to address prefix ranges of each service
    • Má jako typ dalšího segmentu směrování VirtualNetworkServiceEndpoint.Has a nextHopType of VirtualNetworkServiceEndpoint
    • Indikuje, že se v porovnání s trasami vynuceného tunelování používá přímější připojení ke službě.Indicates that a more direct connection to the service is in effect compared to any forced-tunneling routes

Poznámka

Trasy koncového bodu služby přepíší všechny trasy BGP nebo UDR pro shodu předpon adresy služby Azure.Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. Další informace najdete v tématu řešení potíží s efektivními trasami.For more information, see troubleshooting with effective routes.

ZřizováníProvisioning

Koncové body služby je možné konfigurovat na virtuálních sítích nezávisle na uživateli s oprávněním k zápisu do virtuální sítě.Service endpoints can be configured on virtual networks independently by a user with write access to a virtual network. Aby bylo možné zabezpečit prostředky služeb Azure na virtuální síť, musí mít uživatel oprávnění k Microsoft. Network/virtualNetworks/subnets/joinViaServiceEndpoint/Action pro přidané podsítě.To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the added subnets. Ve výchozím nastavení zahrnují předdefinované role správce služby toto oprávnění.The built-in service administrator roles include this permission by default. Oprávnění můžete upravit vytvořením vlastních rolí.You can modify the permission by creating custom roles.

Další informace o předdefinovaných rolích najdete v tématu předdefinované role pro prostředky Azure.For more information about built-in roles, see Built-in roles for Azure resources. Další informace o přiřazení konkrétních oprávnění k vlastním rolím najdete v tématu vlastní role pro prostředky Azure.For more information about assigning specific permissions to custom roles, see Custom roles for Azure resources.

Virtuální sítě a prostředky služeb Azure můžou být ve stejném předplatném nebo v různých předplatných.Virtual networks and Azure service resources can be in the same or different subscriptions. Pokud jsou virtuální síť a prostředky služeb Azure v různých předplatných, musí být prostředky ve stejném tenantovi Active Directory (AD).If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

Ceny a omezeníPricing and limits

Za použití koncových bodů služby se neúčtují žádné další poplatky.There's no additional charge for using service endpoints. Aktuální cenový model pro služby Azure (Azure Storage, Azure SQL Database atd.) se používá v dnešní době.The current pricing model for Azure services (Azure Storage, Azure SQL Database, etc.) applies as-is today.

Celkový počet koncových bodů služby ve virtuální síti není nijak omezený.There's no limit on the total number of service endpoints in a virtual network.

Některé služby Azure, například účty Azure Storage, můžou vymáhat omezení počtu podsítí používaných k zabezpečení prostředku.Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. Podrobnosti najdete v dokumentaci k různým službám v části Další kroky .Refer to the documentation for various services in the Next steps section for details.

Zásady koncového bodu služby virtuální sítěVNet service endpoint policies

Zásady koncového bodu služby virtuální sítě umožňují filtrovat provoz virtuální sítě do služeb Azure.VNet service endpoint policies allow you to filter virtual network traffic to Azure services. Tento filtr povoluje jenom určité prostředky služeb Azure nad koncovými body služby.This filter allows only specific Azure service resources over service endpoints. Zásady koncového bodu služby poskytují podrobné řízení přístupu pro přenosy virtuální sítě do služeb Azure.Service endpoint policies provide granular access control for virtual network traffic to Azure services. Další informace najdete v tématu Virtual Network zásady koncového bodu služby.For more information, see Virtual Network Service Endpoint Policies.

Nejčastější dotazyFAQs

Nejčastější dotazy najdete v tématu Virtual Network časté otázky týkající se koncového bodu služby.For FAQs, see Virtual Network Service Endpoint FAQs.

Další krokyNext steps