Virtual Network-DienstendpunkteVirtual Network service endpoints

Der Virtual Network (VNet)-Dienstendpunkt bietet eine sichere und direkte Verbindung mit Azure-Diensten über eine optimierte Route über das Azure-Backbonenetzwerk.Virtual Network (VNet) service endpoint provides secure and direct connectivity to Azure services over an optimized route over the Azure backbone network. Endpunkte ermöglichen es Ihnen, Ihre kritischen Ressourcen von Azure-Diensten auf Ihre virtuellen Netzwerke zu beschränken und so zu schützen.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Dienstendpunkte ermöglichen es privaten IP-Adressen im VNet, den Endpunkt eines Azure-Diensts zu erreichen, ohne dass eine öffentliche IP-Adresse im VNet benötigt wird.Service Endpoints enables private IP addresses in the VNet to reach the endpoint of an Azure service without needing a public IP address on the VNet.

Dieses Feature ist für die folgenden Azure-Dienste und -Regionen verfügbar.This feature is available for the following Azure services and regions. Die Microsoft.* -Ressource ist in Klammern angegeben.The Microsoft.* resource is in parenthesis. Aktivieren Sie diese Ressource über die Subnetzseite, während Sie die Dienstendpunkte für Ihren Dienst konfigurieren:Enable this resource from the subnet side while configuring service endpoints for your service:

Allgemein verfügbarGenerally available

Public PreviewPublic Preview

  • Azure Container Registry (Microsoft.ContainerRegistry): Vorschauversion in eingeschränkten Azure-Regionen verfügbar, in denen Azure Container Registry verfügbar ist.Azure Container Registry (Microsoft.ContainerRegistry): Preview available in limited Azure regions where Azure Container Registry is available.

Aktuelle Benachrichtigungen finden Sie auf der Seite Azure Virtual Network-Updates.For the most up-to-date notifications, check the Azure Virtual Network updates page.

HauptvorteileKey benefits

Dienstendpunkte bieten folgende Vorteile:Service endpoints provide the following benefits:

  • Verbesserte Sicherheit für Ihre Azure-Dienstressourcen: Private Adressräume von virtuellen Netzwerken können sich überlappen.Improved security for your Azure service resources: VNet private address spaces can overlap. Sie können keine überlappenden Bereiche verwenden, um den Datenverkehr, der von Ihrem VNET stammt, eindeutig zu identifizieren.You can't use overlapping spaces to uniquely identify traffic that originates from your VNet. Dienstendpunkte ermöglichen es, Azure-Dienstressourcen für Ihr virtuelles Netzwerk zu schützen, indem die VNET-Identität auf den Dienst erweitert wird.Service endpoints provide the ability to secure Azure service resources to your virtual network by extending VNet identity to the service. Nachdem Sie Dienstendpunkte in Ihrem virtuellen Netzwerk aktiviert haben, können Sie eine virtuelle Netzwerkregel hinzufügen, um die Azure-Dienstressourcen in Ihrem virtuellen Netzwerk zu schützen.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network. Die Regelergänzung bietet eine erhöhte Sicherheit, da der Ressourcenzugriff über das öffentliche Internet vollständig verhindert und nur Datenverkehr aus Ihrem virtuellen Netzwerk zugelassen wird.The rule addition provides improved security by fully removing public internet access to resources and allowing traffic only from your virtual network.

  • Optimale Weiterleitung des Datenverkehrs für Azure-Dienste aus Ihrem virtuellen Netzwerk: Heutzutage wird für alle Routen Ihres virtuellen Netzwerks, die für Internetdatenverkehr den Weg über Ihre lokalen bzw. virtuellen Geräte erzwingen, auch für den Datenverkehr von Azure-Diensten die gleiche Route wie für den Internetdatenverkehr erzwungen.Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances also force Azure service traffic to take the same route as the internet traffic. Dienstendpunkte ermöglichen eine optimale Weiterleitung für Azure-Datenverkehr.Service endpoints provide optimal routing for Azure traffic.

    Endpunkte leiten den Datenverkehr der Dienste direkt aus Ihrem virtuellen Netzwerk an den Dienst im Microsoft Azure-Backbone-Netzwerk.Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Die Verwaltung von Datenverkehr im Azure-Backbonenetzwerk ermöglicht Ihnen weiterhin die Überwachung und Überprüfung von ausgehendem Internet-Datenverkehr aus Ihren virtuellen Netzwerken durch die Tunnelerzwingung, ohne dass sich dies auf den Datenverkehr der Dienste auswirkt.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. Weitere Informationen zu benutzerdefinierten Routen und Tunnelerzwingung finden Sie unter Routing von Datenverkehr für virtuelle Azure-Netzwerke.For more information about user-defined routes and forced-tunneling, see Azure virtual network traffic routing.

  • Einfache Einrichtung mit weniger Verwaltungsaufwand: Sie benötigen in Ihren virtuellen Netzwerken keine reservierten öffentlichen IP-Adressen mehr, um Azure-Ressourcen über die IP-Firewall zu schützen.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. Es sind keine NAT- (Netzwerkadressübersetzung) oder Gatewaygeräte erforderlich, um die Dienstendpunkte einzurichten.There are no Network Address Translation (NAT) or gateway devices required to set up the service endpoints. Sie können Dienstendpunkte einfach per Klick in einem Subnetz konfigurieren.You can configure service endpoints through a simple click on a subnet. Es entsteht kein zusätzlicher Aufwand für die Verwaltung der Endpunkte.There's no additional overhead to maintaining the endpoints.

EinschränkungenLimitations

  • Das Feature ist nur für virtuelle Netzwerke verfügbar, für die das Azure Resource Manager-Bereitstellungsmodell verwendet wird.The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • Endpunkte sind für Subnetze aktiviert, die in virtuellen Azure-Netzwerken konfiguriert sind.Endpoints are enabled on subnets configured in Azure virtual networks. Endpunkte können nicht für Datenverkehr verwendet werden, der aus Ihrer lokalen Umgebung an Azure-Dienste fließt.Endpoints can't be used for traffic from your premises to Azure services. Weitere Informationen finden Sie unter Schützen des Zugriffs auf Azure-Dienste aus der lokalen Umgebung.For more information, see Secure Azure service access from on-premises
  • Bei Azure SQL gilt ein Dienstendpunkt nur für Datenverkehr von Azure-Diensten in der Region eines virtuellen Netzwerks.For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. Für Azure Storage werden Endpunkte auch auf Regionspaare ausgedehnt, in denen Sie das virtuelle Netzwerk bereitstellen, um den Datenverkehr für georedundanten Speicher mit Lesezugriff (RA-GRS) und georedundanten Speicher (GRS) zu unterstützen.For Azure Storage, endpoints also extend to include paired regions where you deploy the virtual network to support Read-Access Geo-Redundant Storage (RA-GRS) and Geo-Redundant Storage (GRS) traffic. Weitere Informationen finden Sie unter Azure-Regionspaare.For more information, see Azure paired regions.
  • Für Azure Data Lake Storage (ADLS) Gen1 ist die Funktion für die VNET-Integration nur für virtuelle Netzwerke in der gleichen Region verfügbar.For Azure Data Lake Storage (ADLS) Gen 1, the VNet Integration capability is only available for virtual networks within the same region. Beachten Sie auch, dass die Integration virtueller Netzwerke für ADLS Gen1 die Sicherheit von VNET-Dienstendpunkten zwischen Ihrem virtuellen Netzwerk und Azure Active Directory (Azure AD) nutzt, um zusätzliche Sicherheitsansprüche im Zugriffstoken zu generieren.Also note that virtual network integration for ADLS Gen1 uses the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Diese Ansprüche werden dann genutzt, um Ihr virtuelles Netzwerk mit Ihrem Data Lake Storage Gen1-Konto zu authentifizieren und den Zugriff zu ermöglichen.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Das Microsoft.AzureActiveDirectory-Tag, das in den dienstunterstützenden Dienstendpunkten aufgeführt ist, wird nur für die Unterstützung von Dienstendpunkten für ADLS Gen1 verwendet.The Microsoft.AzureActiveDirectory tag listed under services supporting service endpoints is used only for supporting service endpoints to ADLS Gen 1. Azure AD unterstützt nativ keine Dienstendpunkte.Azure AD doesn't support service endpoints natively. Weitere Informationen zur VNET-Integration von Azure Data Lake Store Gen 1 finden Sie unter Netzwerksicherheit in Azure Data Lake Storage Gen1.For more information about Azure Data Lake Store Gen 1 VNet integration, see Network security in Azure Data Lake Storage Gen1.

Schützen von Azure-Diensten in virtuellen NetzwerkenSecure Azure services to virtual networks

  • Der VNET-Dienstendpunkt stellt die Identität Ihres virtuellen Netzwerks für den Azure-Dienst bereit.A virtual network service endpoint provides the identity of your virtual network to the Azure service. Nachdem Sie Dienstendpunkte in Ihrem virtuellen Netzwerk aktiviert haben, können Sie eine virtuelle Netzwerkregel hinzufügen, um die Azure-Dienstressourcen in Ihrem virtuellen Netzwerk zu schützen.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network.

  • Heutzutage werden für Datenverkehr von Azure-Diensten aus einem virtuellen Netzwerk öffentliche IP-Adressen als Quell-IP-Adressen verwendet.Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. Bei Verwendung von Dienstendpunkten wird für den Dienstdatenverkehr zu privaten virtuellen Netzwerk-Adressen als Quell-IP-Adressen gewechselt, wenn aus einem virtuellen Netzwerk auf den Azure-Dienst zugegriffen wird.With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. Dieser Wechsel ermöglicht Ihnen den Zugriff auf die Dienste, ohne dass reservierte öffentliche IP-Adressen in IP-Firewalls verwendet werden müssen.This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

    Hinweis

    Wenn Sie Dienstendpunkte verwenden, werden die Quell-IP-Adressen der virtuellen Computer im Subnetz für Dienstdatenverkehr von öffentlichen IPv4-Adressen auf private IPv4-Adressen umgestellt.With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. Bereits vorhandene Firewallregeln für Azure-Dienste, bei denen öffentliche Azure-IP-Adressen verwendet werden, funktionieren dadurch nicht mehr.Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. Stellen Sie sicher, dass die Firewallregeln für Azure-Dienste diese Umstellung unterstützen, bevor Sie Dienstendpunkte einrichten.Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. Unter Umständen kommt es während der Konfiguration von Dienstendpunkten auch zu einer vorübergehenden Unterbrechung des Dienstdatenverkehrs aus diesem Subnetz.You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

Schützen des Zugriffs auf Azure-Dienste aus der lokalen UmgebungSecure Azure service access from on-premises

Standardmäßig sind Azure-Dienstressourcen, die auf virtuelle Netzwerke beschränkt und so geschützt sind, über lokale Netzwerke nicht erreichbar.By default, Azure service resources secured to virtual networks aren't reachable from on-premises networks. Wenn Sie Datenverkehr aus der lokalen Umgebung zulassen möchten, müssen Sie auch öffentliche IP-Adressen (meist NAT) aus der lokalen Umgebung bzw. per ExpressRoute zulassen.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Sie können diese IP-Adressen über die Konfiguration der IP-Firewall für Azure-Dienstressourcen hinzufügen.You can add these IP addresses through the IP firewall configuration for Azure service resources.

ExpressRoute: Wenn Sie ExpressRoute für öffentliches Peering oder für lokales Microsoft-Peering verwenden, müssen Sie die verwendeten NAT-IP-Adressen identifizieren.ExpressRoute: If you're using ExpressRoute for public peering or Microsoft peering from your premises, you'll need to identify the NAT IP addresses that you're using. Beim öffentlichen Peering werden für jede ExpressRoute-Verbindung standardmäßig zwei NAT-IP-Adressen verwendet. Diese werden auf den Datenverkehr der Azure-Dienste angewendet, wenn der Datenverkehr im Microsoft Azure-Netzwerk-Backbone eintrifft.For public peering, each ExpressRoute circuit uses two NAT IP addresses, by default, applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Beim Microsoft-Peering werden die NAT-IP-Adressen entweder vom Kunden oder vom Dienstanbieter bereitgestellt.For Microsoft peering, the NAT IP addresses are either customer provided or provided by the service provider. Um den Zugriff auf Ihre Dienstressourcen zuzulassen, müssen Sie diese öffentlichen IP-Adressen in der Ressourceneinstellung der IP-Firewall zulassen. To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Öffnen Sie über das Azure-Portal ein Supportticket für ExpressRoute, um die IP-Adressen Ihrer ExpressRoute-Verbindung für öffentliches Peering zu ermitteln. To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Weitere Informationen zur NAT für öffentliches ExpressRoute-Peering und Microsoft-Peering finden Sie unter NAT-Anforderungen für ExpressRoute.For more information about NAT for ExpressRoute public and Microsoft peering, see ExpressRoute NAT requirements.

Schützen von Azure-Diensten in virtuellen Netzwerken

KonfigurationConfiguration

  • Konfigurieren Sie Dienstendpunkte für ein Subnetz in einem virtuellen Netzwerk.Configure service endpoints on a subnet in a virtual network. Für Endpunkte können alle Arten von Computeinstanzen verwendet werden, die in diesem Subnetz ausgeführt werden.Endpoints work with any type of compute instances running within that subnet.
  • Sie können mehrere Dienstendpunkte für alle unterstützten Azure-Dienste (z. B. Azure Storage oder Azure SQL-Datenbank) eines Subnetzes konfigurieren.You can configure multiple service endpoints for all supported Azure services (Azure Storage or Azure SQL Database, for example) on a subnet.
  • Bei Azure SQL-Datenbank müssen sich virtuelle Netzwerke in derselben Region wie die Ressource des Azure-Diensts befinden.For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. Für Azure Storage muss sich das primäre Konto bei Verwendung von GRS- und RA-GRS-Konten in derselben Region wie das virtuelle Netzwerk befinden.If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. Für alle anderen Dienste können die Ressourcen des Azure-Diensts in virtuellen Netzwerken in jeder Region gesichert werden.For all other services, you can secure Azure service resources to virtual networks in any region.
  • Das virtuelle Netzwerk, in dem der Endpunkt konfiguriert ist, kann sich unter demselben oder einem anderen Abonnement wie die Ressource des Azure-Diensts befinden.The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. Weitere Informationen zu den erforderlichen Berechtigungen zum Einrichten von Endpunkten und Schützen von Azure-Diensten finden Sie unter Bereitstellung.For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • Für unterstützte Dienste können Sie neue oder vorhandene Ressourcen in virtuellen Netzwerken schützen, indem Sie Dienstendpunkte verwenden.For supported services, you can secure new or existing resources to virtual networks using service endpoints.

ÜberlegungenConsiderations

  • Nach der Aktivierung eines Dienstendpunkts verwenden die IP-Quelladressen bei der Kommunikation mit dem Dienst aus diesem Subnetz keine öffentlichen IPv4-Adressen mehr, sondern ihre privaten IPv4-Adressen.After enabling a service endpoint, the source IP addresses switch from using public IPv4 addresses to using their private IPv4 address when communicating with the service from that subnet. Alle vorhandenen geöffneten TCP-Verbindungen mit dem Dienst werden während dieses Wechselvorgangs geschlossen.Any existing open TCP connections to the service are closed during this switch. Achten Sie darauf, dass keine kritischen Aufgaben ausgeführt werden, wenn Sie einen Dienstendpunkt eines Diensts für ein Subnetz aktivieren oder deaktivieren.Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. Stellen Sie außerdem sicher, dass Ihre Anwendungen nach der Umstellung dieser IP-Adresse automatisch eine Verbindung mit Azure-Diensten herstellen können.Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    Die Umstellung der IP-Adresse wirkt sich nur auf Dienstdatenverkehr aus Ihrem virtuellen Netzwerk aus.The IP address switch only impacts service traffic from your virtual network. Es ergeben sich keine Auswirkungen auf anderen Datenverkehr an bzw. von den öffentlichen IPv4-Adressen, die Ihren virtuellen Computern zugewiesen sind.There's no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Wenn Sie über vorhandene Firewallregeln mit öffentlichen Azure-IP-Adressen verfügen, funktionieren diese Regeln für Azure-Dienste nicht mehr, nachdem die Umstellung auf private virtuelle Netzwerk-Adressen durchgeführt wurde.For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • Bei Verwendung von Dienstendpunkten bleiben DNS-Einträge für Azure-Dienste unverändert und werden weiterhin in öffentliche IP-Adressen aufgelöst, die dem Azure-Dienst zugewiesen werden.With service endpoints, DNS entries for Azure services remain as-is today and continue to resolve to public IP addresses assigned to the Azure service.

  • Netzwerksicherheitsgruppen (NSGs) mit Dienstendpunkten:Network security groups (NSGs) with service endpoints:

    • NSGs gestatten standardmäßig den ausgehenden Internetdatenverkehr und auch den Datenverkehr aus Ihrem VNET zu Azure-Diensten.By default, NSGs allow outbound internet traffic and also allow traffic from your VNet to Azure services. In Verbindung mit Dienstendpunkten funktioniert dieser Datenverkehr wie bisher.This traffic continues to work with service endpoints as is.
    • Falls Sie den gesamten ausgehenden Internetdatenverkehr verweigern und nur Datenverkehr für bestimmte Azure-Dienste zulassen möchten, können Sie hierfür Diensttags in Ihren NSGs verwenden.If you want to deny all outbound internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. Sie können unterstützte Azure-Dienste als Ziel in Ihren NSG-Regeln angeben, und die Wartung der zugrunde liegenden IP-Adressen der einzelnen Tags wird von Azure bereitgestellt.You can specify supported Azure services as destination in your NSG rules and Azure also provides the maintenance of IP addresses underlying each tag. Weitere Informationen finden Sie unter Azure-Diensttags für NSGs.For more information, see Azure Service tags for NSGs.

SzenarienScenarios

  • Mittels Peering verknüpfte, verbundene oder mehrere virtuelle Netzwerke: Zum Schützen von Azure-Diensten in mehreren Subnetzen innerhalb eines virtuellen Netzwerks oder mehrerer virtueller Netzwerke können Sie Dienstendpunkte unabhängig voneinander in den einzelnen Subnetzen aktivieren und Ressourcen von Azure-Diensten in allen diesen Subnetzen schützen.Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • Filtern von ausgehendem Datenverkehr, der aus dem virtuellen Netzwerk an Azure-Dienste fließt: Wenn Sie den Datenverkehr, der aus dem virtuellen Netzwerk an einen Azure-Dienst gesendet wird, untersuchen und filtern möchten, können Sie in diesem virtuellen Netzwerk ein virtuelles Netzwerkgerät bereitstellen.Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic sent to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Anschließend können Sie Dienstendpunkte auf das Subnetz anwenden, in dem das virtuelle Netzwerkgerät bereitgestellt wurde, und Ressourcen des Azure-Diensts auf dieses Subnetz beschränken und so schützen.You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. Dieses Szenario kann hilfreich sein, wenn Sie die Filterung von virtuellen Netzwerkgeräten verwenden möchten, um den Zugriff auf Azure-Dienste aus Ihrem virtuellen Netzwerk nur auf bestimmte Azure-Ressourcen zu beschränken.This scenario might be helpful if you want use network virtual appliance filtering to restrict Azure service access from your virtual network only to specific Azure resources. Weitere Informationen finden Sie unter egress with network virtual appliances (Ausgehender Datenverkehr mit virtuellen Netzwerkgeräten).For more information, see egress with network virtual appliances.
  • Schützen von Azure-Ressourcen für Dienste, die direkt in virtuellen Netzwerken bereitgestellt werden: Sie können verschiedene Azure-Dienste direkt in bestimmten Subnetzen in einem virtuellen Netzwerk bereitstellen.Securing Azure resources to services deployed directly into virtual networks: You can directly deploy various Azure services into specific subnets in a virtual network. Sie können Ressourcen von Azure-Diensten für Subnetze mit verwalteten Diensten schützen, indem Sie im Subnetz des verwalteten Diensts einen Dienstendpunkt einrichten.You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Datenträger-Datenverkehr von einem virtuellen Azure-Computer: Datenträger-Datenverkehr eines virtuellen Computers für verwaltete und nicht verwaltete Datenträger wird durch Dienstendpunkte, die Änderungen für Azure Storage weiterleiten, nicht beeinflusst.Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic for managed and unmanaged disks isn't affected by service endpoints routing changes for Azure Storage. Dieser Datenverkehr umfasst „diskIO“ sowie „mount“ und „unmount“.This traffic includes diskIO as well as mount and unmount. Der REST-Zugriff auf Seitenblobs kann über Dienstendpunkte und Azure Storage-Netzwerkregeln auf bestimmte Netzwerke beschränkt werden.You can limit REST access to page blobs to select networks through service endpoints and Azure Storage network rules.

Protokollierung und ProblembehandlungLogging and troubleshooting

Nachdem Dienstendpunkte für einen bestimmten Dienst konfiguriert wurden, können Sie wie folgt überprüfen, ob die Dienstendpunktroute eingerichtet wurde:Once you configure service endpoints to a specific service, validate that the service endpoint route is in effect by:

  • Überprüfen der Quell-IP-Adresse einer Dienstanforderung in der Dienstdiagnose.Validating the source IP address of any service request in the service diagnostics. Alle neuen Anforderungen mit Dienstendpunkten zeigen die Quell-IP-Adresse für die Anforderung als private IP-Adresse eines virtuellen Netzwerks an, die dem Client zugewiesen ist, über den die Anforderung aus Ihrem virtuellen Netzwerk gesendet wird.All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. Ohne den Endpunkt handelt es sich bei der Adresse um eine öffentliche Azure-IP-Adresse.Without the endpoint, the address is an Azure public IP address.
  • Anzeigen der effektiven Routen auf einer Netzwerkschnittstelle in einem Subnetz.Viewing the effective routes on any network interface in a subnet. Die Route zum Dienst:The route to the service:
    • Zeigt eine spezifischere Standardroute zu den Adresspräfixbereichen der einzelnen Dienste anShows a more specific default route to address prefix ranges of each service
    • Weist VirtualNetworkServiceEndpoint als „nextHopType“ aufHas a nextHopType of VirtualNetworkServiceEndpoint
    • Gibt an, dass – gegenüber Routen mit Tunnelerzwingung – eine direktere Verbindung mit dem Dienst vorhanden ist.Indicates that a more direct connection to the service is in effect compared to any forced-tunneling routes

Hinweis

Die Dienstendpunktroute setzt alle BGP- oder UDR-Routen für die Übereinstimmung mit dem Adresspräfix eines Azure-Diensts außer Kraft.Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. Weitere Informationen finden Sie unter Behandeln von Problemen bei effektiven Routen.For more information, see troubleshooting with effective routes.

BereitstellungProvisioning

Dienstendpunkte können in virtuellen Netzwerken einzeln von einem Benutzer konfiguriert werden, der über Schreibzugriff auf ein virtuelles Netzwerk verfügt.Service endpoints can be configured on virtual networks independently by a user with write access to a virtual network. Um Azure-Dienstressourcen in einem VNET zu schützen, muss der Benutzer für die hinzuzufügenden Subnetze über die Berechtigung Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action verfügen.To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the added subnets. Die integrierten Dienstadministratorrollen enthalten diese Berechtigung standardmäßig.The built-in service administrator roles include this permission by default. Sie können die Berechtigung ändern, indem Sie benutzerdefinierte Rollen erstellen.You can modify the permission by creating custom roles.

Weitere Informationen zu integrierten Rollen finden Sie unter Integrierte Azure-Rollen.For more information about built-in roles, see Azure built-in roles. Weitere Informationen zum Zuweisen spezifischer Berechtigungen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Azure-Rollen.For more information about assigning specific permissions to custom roles, see Azure custom roles.

Virtuelle Netzwerke und Ressourcen von Azure-Diensten können sich in demselben oder in unterschiedlichen Abonnements befinden.Virtual networks and Azure service resources can be in the same or different subscriptions. Wenn das virtuelle Netzwerk und die Ressourcen von Azure-Diensten in unterschiedlichen Abonnements enthalten sind, müssen sich die Ressourcen unter demselben Active Directory-Mandanten befinden.If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

Preise und EinschränkungenPricing and limits

Für die Nutzung von Dienstendpunkten fallen keine zusätzlichen Gebühren an.There's no additional charge for using service endpoints. Das aktuelle Preismodell für Azure-Dienste (Azure Storage, Azure SQL-Datenbank usw.) gilt unverändert.The current pricing model for Azure services (Azure Storage, Azure SQL Database, etc.) applies as-is today.

Für die Gesamtzahl von Dienstendpunkten in einem virtuellen Netzwerk gilt keine Beschränkung.There's no limit on the total number of service endpoints in a virtual network.

Bestimmte Azure-Dienste, wie etwa Azure-Speicherkonten, erzwingen möglicherweise Beschränkungen der Anzahl der zum Schützen der Ressource verwendeten Subnetze.Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. Ausführliche Informationen finden Sie in der Dokumentation zu den verschiedenen Diensten im Abschnitt Nächste Schritte.Refer to the documentation for various services in the Next steps section for details.

Richtlinien zu VNET-DienstendpunktenVNet service endpoint policies

Mithilfe von VNET-Dienstendpunkten können Sie den Datenverkehr virtueller Netzwerke zu Azure-Diensten filtern.VNet service endpoint policies allow you to filter virtual network traffic to Azure services. Dieser Filter gestattet nur bestimmte Azure-Dienstressourcen über Dienstendpunkte.This filter allows only specific Azure service resources over service endpoints. Dienstendpunkt-Richtlinien bieten eine differenzierte Zugriffssteuerung für virtuellen Netzwerkdatenverkehr zu Azure-Diensten.Service endpoint policies provide granular access control for virtual network traffic to Azure services. Weitere Informationen finden Sie unter Richtlinien für VNET-Dienstendpunkte.For more information, see Virtual Network Service Endpoint Policies.

Häufig gestellte FragenFAQs

Häufig gestellte Fragen finden Sie unter Azure Virtual Network-Endpunkte – häufig gestellte Fragen.For FAQs, see Virtual Network Service Endpoint FAQs.

Nächste SchritteNext steps