VNET-DienstendpunkteVirtual Network Service Endpoints

Mit Dienstendpunkten von virtuellen Netzwerken (VNETs) werden der Bereich privater Adressen Ihres virtuellen Netzwerks und die Identität Ihres VNET über eine direkte Verbindung auf die Azure-Dienste erweitert.Virtual Network (VNet) service endpoints extend your virtual network private address space and the identity of your VNet to the Azure services, over a direct connection. Endpunkte ermöglichen es Ihnen, Ihre kritischen Ressourcen von Azure-Diensten auf Ihre virtuellen Netzwerke zu beschränken und so zu schützen.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Der Datenverkehr aus Ihrem VNET an den Azure-Dienst verbleibt immer im Backbone-Netzwerk von Microsoft Azure.Traffic from your VNet to the Azure service always remains on the Microsoft Azure backbone network.

Dieses Feature ist für die folgenden Azure-Dienste und -Regionen verfügbar. Außerdem ist die Ressource „Microsoft.*“ in Klammern vorhanden, die über die Subnetzseite aktiviert werden muss, während Dienstendpunkte für Ihren Dienst konfiguriert werden:This feature is available for the following Azure services and regions, and you will also find the Microsoft.* resource in parenthesis that needs to be enabled from the Subnet side while configuring service endpoints for your service :

Allgemein verfügbarGenerally available

Public PreviewPublic Preview

  • Azure Container Registry (Microsoft.ContainerRegistry): Vorschauversion in allen Azure-Regionen verfügbar, in denen Azure Container Registry verfügbar ist.Azure Container Registry (Microsoft.ContainerRegistry): Preview available in all Azure regions where Azure Container Registry is available.

Aktuelle Benachrichtigungen finden Sie auf der Seite Azure Virtual Network-Updates.For the most up-to-date notifications, check the Azure Virtual Network updates page.

HauptvorteileKey benefits

Dienstendpunkte bieten folgende Vorteile:Service endpoints provide the following benefits:

  • Verbesserte Sicherheit für Ihre Azure-Dienstressourcen: Der private VNET-Adressraum kann sich überschneiden und daher nicht zur eindeutigen Identifizierung von Datenverkehr aus Ihrem VNET verwendet werden.Improved security for your Azure service resources: VNet private address space can be overlapping and so, cannot be used to uniquely identify traffic originating from your VNet. Dienstendpunkte ermöglichen es, Azure-Dienstressourcen für Ihr virtuelles Netzwerk zu schützen, indem die VNET-Identität auf den Dienst erweitert wird.Service endpoints provide the ability to secure Azure service resources to your virtual network, by extending VNet identity to the service. Nachdem Dienstendpunkte in Ihrem virtuellen Netzwerk aktiviert wurden, können Sie Ressourcen von Azure-Diensten auf Ihr virtuelles Netzwerk beschränken und auf diese Weise schützen, indem Sie den Ressourcen eine VNET-Regel hinzufügen.Once service endpoints are enabled in your virtual network, you can secure Azure service resources to your virtual network by adding a virtual network rule to the resources. Auf diese Weise erhöhen Sie die Sicherheit, da der Ressourcenzugriff über das öffentliche Internet vollständig verhindert und nur Datenverkehr aus Ihrem virtuellen Netzwerk zugelassen wird.This provides improved security by fully removing public Internet access to resources, and allowing traffic only from your virtual network.

  • Optimale Weiterleitung des Datenverkehrs für Azure-Dienste aus Ihrem virtuellen Netzwerk: Heutzutage wird für alle Routen Ihres virtuellen Netzwerks, die für Internet-Datenverkehr den Weg über Ihre lokalen bzw. virtuellen Geräte erzwingen (als Tunnelerzwingung bezeichnet), auch für den Datenverkehr von Azure-Diensten die gleiche Route wie für den Internet-Datenverkehr erzwungen.Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force Internet traffic to your premises and/or virtual appliances, known as forced-tunneling, also force Azure service traffic to take the same route as the Internet traffic. Dienstendpunkte ermöglichen eine optimale Weiterleitung für Azure-Datenverkehr.Service endpoints provide optimal routing for Azure traffic.

    Endpunkte leiten den Datenverkehr der Dienste direkt aus Ihrem virtuellen Netzwerk an den Dienst im Microsoft Azure-Backbone-Netzwerk.Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Die Verwaltung von Datenverkehr im Azure-Backbonenetzwerk ermöglicht Ihnen weiterhin die Überwachung und Überprüfung von ausgehendem Internet-Datenverkehr aus Ihren virtuellen Netzwerken durch die Tunnelerzwingung, ohne dass sich dies auf den Datenverkehr der Dienste auswirkt.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. Informieren Sie sich über benutzerdefinierte Routen und die Tunnelerzwingung.Learn more about user-defined routes and forced-tunneling.

  • Einfache Einrichtung mit weniger Verwaltungsaufwand: Sie benötigen in Ihren virtuellen Netzwerken keine reservierten öffentlichen IP-Adressen mehr, um Azure-Ressourcen über die IP-Firewall zu schützen.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. Es sind keine NAT- oder Gatewaygeräte erforderlich, um die Dienstendpunkte einzurichten.There are no NAT or gateway devices required to set up the service endpoints. Dienstendpunkte werden einfach per Klick in einem Subnetz konfiguriert.Service endpoints are configured through a simple click on a subnet. Es entsteht kein zusätzlicher Aufwand für die Verwaltung der Endpunkte.There is no additional overhead to maintaining the endpoints.

EinschränkungenLimitations

  • Das Feature ist nur für virtuelle Netzwerke verfügbar, für die das Azure Resource Manager-Bereitstellungsmodell verwendet wird.The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • Endpunkte sind für Subnetze aktiviert, die in virtuellen Azure-Netzwerken konfiguriert sind.Endpoints are enabled on subnets configured in Azure virtual networks. Endpunkte können nicht für Datenverkehr verwendet werden, der aus Ihrer lokalen Umgebung an Azure-Dienste fließt.Endpoints cannot be used for traffic from your premises to Azure services. Weitere Informationen finden Sie unter Schützen des Zugriffs auf Azure-Dienste aus der lokalen Umgebung.For more information, see Securing Azure service access from on-premises
  • Bei Azure SQL gilt ein Dienstendpunkt nur für Datenverkehr von Azure-Diensten in der Region eines virtuellen Netzwerks.For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. Damit Datenverkehr vom Typ RA-GRS und GRS für Azure Storage unterstützt werden kann, gelten Endpunkte zusätzlich auch für Regionspaare, in denen das virtuelle Netzwerk bereitgestellt wird.For Azure Storage, to support RA-GRS and GRS traffic, endpoints also extend to include paired regions where the virtual network is deployed. Informieren Sie sich über Azure-Regionspaare.Learn more about Azure paired regions..
  • Für ADLS Gen1 ist die Funktion für die VNET-Integration nur für virtuelle Netzwerke in der gleichen Region verfügbar.For ADLS Gen 1, the VNet Integration capability is only available for virtual networks within the same region. Beachten Sie auch, dass die Integration virtueller Netzwerke für Azure Data Lake Storage Gen1 die Sicherheit von VNET-Dienstendpunkten zwischen Ihrem virtuellen Netzwerk und Azure Active Directory (Azure AD) nutzt, um zusätzliche Sicherheitsansprüche im Zugriffstoken zu generieren.Also note that virtual network integration for Azure Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Diese Ansprüche werden dann genutzt, um Ihr virtuelles Netzwerk mit Ihrem Data Lake Storage Gen1-Konto zu authentifizieren und den Zugriff zu ermöglichen.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Das „Microsoft.AzureActiveDirectory“-Tag, das in den dienstunterstützenden Dienstendpunkten aufgeführt ist, wird nur für die Unterstützung von Dienstendpunkten für ADLS Gen1 verwendet."Microsoft.AzureActiveDirectory" tag listed under services supporting service endpoints is used only for supporting service endpoints to ADLS Gen 1. Azure Active Directory (Azure AD) unterstützt nativ keine Dienstendpunkte.Azure Active Directory (Azure AD) doesn't support service endpoints natively. Erfahren Sie mehr über die Integration eines virtuellen Netzwerks für Azure Data Lake Storage Gen1.Learn more about Azure Data Lake Store Gen 1 VNet Integration.

Schützen von Azure-Diensten in virtuellen NetzwerkenSecuring Azure services to virtual networks

  • Der VNET-Dienstendpunkt stellt die Identität Ihres virtuellen Netzwerks für den Azure-Dienst bereit.A virtual network service endpoint provides the identity of your virtual network to the Azure service. Nachdem Dienstendpunkte in Ihrem virtuellen Netzwerk aktiviert wurden, können Sie Ressourcen von Azure-Diensten auf Ihr virtuelles Netzwerk beschränken und auf diese Weise schützen, indem Sie den Ressourcen eine VNET-Regel hinzufügen.Once service endpoints are enabled in your virtual network, you can secure Azure service resources to your virtual network by adding a virtual network rule to the resources.
  • Heutzutage werden für Datenverkehr von Azure-Diensten aus einem virtuellen Netzwerk öffentliche IP-Adressen als Quell-IP-Adressen verwendet.Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. Bei Verwendung von Dienstendpunkten wird für den Dienstdatenverkehr zu privaten virtuellen Netzwerk-Adressen als Quell-IP-Adressen gewechselt, wenn aus einem virtuellen Netzwerk auf den Azure-Dienst zugegriffen wird.With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. Dieser Wechsel ermöglicht Ihnen den Zugriff auf die Dienste, ohne dass reservierte öffentliche IP-Adressen in IP-Firewalls verwendet werden müssen.This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

Hinweis

Wenn Sie Dienstendpunkte verwenden, werden die Quell-IP-Adressen der virtuellen Computer im Subnetz für Dienstdatenverkehr von öffentlichen IPv4-Adressen auf private IPv4-Adressen umgestellt.With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. Bereits vorhandene Firewallregeln für Azure-Dienste, bei denen öffentliche Azure-IP-Adressen verwendet werden, funktionieren dadurch nicht mehr.Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. Stellen Sie sicher, dass die Firewallregeln für Azure-Dienste diese Umstellung unterstützen, bevor Sie Dienstendpunkte einrichten.Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. Unter Umständen kommt es während der Konfiguration von Dienstendpunkten auch zu einer vorübergehenden Unterbrechung des Dienstdatenverkehrs aus diesem Subnetz.You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

  • Schützen des Zugriffs auf Azure-Dienste aus der lokalen Umgebung:Securing Azure service access from on-premises:

    Standardmäßig sind Azure-Dienstressourcen, die auf virtuelle Netzwerke beschränkt und so geschützt sind, über lokale Netzwerke nicht erreichbar.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Wenn Sie Datenverkehr aus der lokalen Umgebung zulassen möchten, müssen Sie auch öffentliche IP-Adressen (meist NAT) aus der lokalen Umgebung bzw. per ExpressRoute zulassen.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Diese IP-Adressen können über die Konfiguration der IP-Firewall für Azure-Dienstressourcen hinzugefügt werden.These IP addresses can be added through the IP firewall configuration for Azure service resources.

    ExpressRoute: Wenn Sie ExpressRoute lokal für öffentliches Peering oder für Microsoft-Peering verwenden, müssen Sie die verwendeten NAT-IP-Adressen identifizieren.ExpressRoute: If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Beim öffentlichen Peering werden für jede ExpressRoute-Verbindung standardmäßig zwei NAT-IP-Adressen verwendet. Diese werden auf den Datenverkehr der Azure-Dienste angewendet, wenn der Datenverkehr im Microsoft Azure-Netzwerk-Backbone eintrifft.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Beim Microsoft-Peering werden die verwendeten NAT-IP-Adressen entweder vom Kunden oder vom Dienstanbieter bereitgestellt.For Microsoft peering, the NAT IP address(es) that are used are either customer provided or are provided by the service provider. Um den Zugriff auf Ihre Dienstressourcen zuzulassen, müssen Sie diese öffentlichen IP-Adressen in der Ressourceneinstellung der IP-Firewall zulassen. To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Öffnen Sie über das Azure-Portal ein Supportticket für ExpressRoute, um die IP-Adressen Ihrer ExpressRoute-Verbindung für öffentliches Peering zu ermitteln. To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Erfahren Sie mehr über NAT für öffentliches ExpressRoute-Peering und Microsoft-Peering.Learn more about NAT for ExpressRoute public and Microsoft peering.

Schützen von Azure-Diensten in virtuellen Netzwerken

KonfigurationConfiguration

  • Dienstendpunkte werden in einem Subnetz eines virtuellen Netzwerks konfiguriert.Service endpoints are configured on a subnet in a virtual network. Für Endpunkte können alle Arten von Computeinstanzen verwendet werden, die in diesem Subnetz ausgeführt werden.Endpoints work with any type of compute instances running within that subnet.
  • Sie können mehrere Dienstendpunkte für alle unterstützten Azure-Dienste (z.B. Azure Storage oder Azure SQL-Datenbank) eines Subnetzes konfigurieren.You can configure multiple service endpoints for all supported Azure services (Azure Storage, or Azure SQL Database, for example) on a subnet.
  • Bei Azure SQL-Datenbank müssen sich virtuelle Netzwerke in derselben Region wie die Ressource des Azure-Diensts befinden.For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. Für Azure Storage muss sich das primäre Konto bei Verwendung von GRS- und RA-GRS-Konten in derselben Region wie das virtuelle Netzwerk befinden.If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. Für alle anderen Dienste können die Ressourcen des Azure-Diensts in virtuellen Netzwerken in jeder Region gesichert werden.For all other services, Azure service resources can be secured to virtual networks in any region.
  • Das virtuelle Netzwerk, in dem der Endpunkt konfiguriert ist, kann sich unter demselben oder einem anderen Abonnement wie die Ressource des Azure-Diensts befinden.The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. Weitere Informationen zu den erforderlichen Berechtigungen zum Einrichten von Endpunkten und Schützen von Azure-Diensten finden Sie unter Bereitstellung.For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • Für unterstützte Dienste können Sie neue oder vorhandene Ressourcen in virtuellen Netzwerken schützen, indem Sie Dienstendpunkte verwenden.For supported services, you can secure new or existing resources to virtual networks using service endpoints.

ÜberlegungenConsiderations

  • Nach der Aktivierung eines Dienstendpunkts wird für die IP-Quelladressen von virtuellen Computern im Subnetz von der Verwendung öffentlicher IPv4-Adressen jeweils zur Verwendung der entsprechenden privaten IPv4-Adresse gewechselt, wenn aus diesem Subnetz mit dem Dienst kommuniziert wird.After enabling a service endpoint, the source IP addresses of virtual machines in the subnet switch from using public IPv4 addresses to using their private IPv4 address, when communicating with the service from that subnet. Alle vorhandenen geöffneten TCP-Verbindungen mit dem Dienst werden während dieses Wechselvorgangs geschlossen.Any existing open TCP connections to the service are closed during this switch. Achten Sie darauf, dass keine kritischen Aufgaben ausgeführt werden, wenn Sie einen Dienstendpunkt eines Diensts für ein Subnetz aktivieren oder deaktivieren.Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. Stellen Sie außerdem sicher, dass Ihre Anwendungen nach der Umstellung dieser IP-Adresse automatisch eine Verbindung mit Azure-Diensten herstellen können.Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    Die Umstellung der IP-Adresse wirkt sich nur auf Dienstdatenverkehr aus Ihrem virtuellen Netzwerk aus.The IP address switch only impacts service traffic from your virtual network. Es ergeben sich keine Auswirkungen auf anderen Datenverkehr an bzw. von den öffentlichen IPv4-Adressen, die Ihren virtuellen Computern zugewiesen sind.There is no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Wenn Sie über vorhandene Firewallregeln mit öffentlichen Azure-IP-Adressen verfügen, funktionieren diese Regeln für Azure-Dienste nicht mehr, nachdem die Umstellung auf private virtuelle Netzwerk-Adressen durchgeführt wurde.For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • Bei Verwendung von Dienstendpunkten bleiben DNS-Einträge für Azure-Dienste unverändert und werden weiterhin in öffentliche IP-Adressen aufgelöst, die dem Azure-Dienst zugewiesen werden.With service endpoints, DNS entries for Azure services remain as-is today, and continue to resolve to public IP addresses assigned to the Azure service.

  • Netzwerksicherheitsgruppen (NSGs) mit Dienstendpunkten:Network security groups (NSGs) with service endpoints:

    • Da für NSGs ausgehender Internet-Datenverkehr standardmäßig zugelassen wird, ist auch der Datenverkehr aus Ihrem VNET zu Azure-Diensten zulässig.By default, NSGs allow outbound Internet traffic and so, also allow traffic from your VNet to Azure services. In Verbindung mit Dienstendpunkten funktioniert dies weiter wie bisher.This continues to work as is, with service endpoints.
    • Falls Sie den gesamten ausgehenden Internet-Datenverkehr verweigern und nur Datenverkehr für bestimmte Azure-Dienste zulassen möchten, können Sie hierfür Diensttags in Ihren NSGs verwenden.If you want to deny all outbound Internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. Sie können unterstützte Azure-Dienste als Ziel in Ihren NSG-Regeln angeben, und die Wartung der zugrunde liegenden IP-Adressen der einzelnen Tags wird von Azure bereitgestellt.You can specify supported Azure services as destination in your NSG rules and the maintenance of IP addresses underlying each tag is provided by Azure. Weitere Informationen finden Sie unter Azure-Diensttags für NSGs.For more information, see Azure Service tags for NSGs.

SzenarienScenarios

  • Mittels Peering verknüpfte, verbundene oder mehrere virtuelle Netzwerke: Zum Schützen von Azure-Diensten in mehreren Subnetzen innerhalb eines virtuellen Netzwerks oder mehrerer virtueller Netzwerke können Sie Dienstendpunkte unabhängig voneinander in den einzelnen Subnetzen aktivieren und Ressourcen von Azure-Diensten in allen diesen Subnetzen schützen.Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • Filtern von ausgehendem Datenverkehr, der aus dem virtuellen Netzwerk an Azure-Dienste fließt: Wenn Sie den Datenverkehr, der aus dem virtuellen Netzwerk an einen Azure-Dienst fließen soll, untersuchen und filtern möchten, können Sie in diesem virtuellen Netzwerk ein virtuelles Netzwerkgerät bereitstellen.Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Anschließend können Sie Dienstendpunkte auf das Subnetz anwenden, in dem das virtuelle Netzwerkgerät bereitgestellt wurde, und Ressourcen des Azure-Diensts auf dieses Subnetz beschränken und so schützen.You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. Dieses Szenario kann hilfreich sein, wenn Sie den Zugriff auf den Azure-Dienst aus Ihrem virtuellen Netzwerk per Filterung durch ein virtuelles Netzwerkgerät nur auf bestimmte Azure-Ressourcen beschränken möchten.This scenario might be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources, using network virtual appliance filtering. Weitere Informationen finden Sie unter egress with network virtual appliances (Ausgehender Datenverkehr mit virtuellen Netzwerkgeräten).For more information, see egress with network virtual appliances.
  • Schützen von Azure-Ressourcen für Dienste, die direkt in virtuellen Netzwerken bereitgestellt werden: Verschiedene Azure-Dienste können in Ihren virtuellen Netzwerken direkt in bestimmten Subnetzen bereitgestellt werden.Securing Azure resources to services deployed directly into virtual networks: Various Azure services can be directly deployed into specific subnets in a virtual network. Sie können Ressourcen von Azure-Diensten für Subnetze mit verwalteten Diensten schützen, indem Sie im Subnetz des verwalteten Diensts einen Dienstendpunkt einrichten.You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Datenträger-Datenverkehr von einem virtuellen Azure-Computer: Datenträger-Datenverkehr eines virtuellen Computers (einschließlich Einbindung und Aufhebung der Einbindung sowie Datenträger-E/A) für verwaltete/nicht verwaltete Datenträger wird durch Dienstendpunkte, die Änderungen für Azure Storage weiterleiten, nicht beeinflusst.Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic (including mount and unmount, diskIO), for managed/unmanaged disks, is not affected by service endpoints routing changes for Azure Storage. Der REST-Zugriff auf Seitenblobs kann über Dienstendpunkte und Azure Storage-Netzwerkregeln auf bestimmte Netzwerke beschränkt werden.You can limit REST access to page blobs to select networks, through service endpoints and Azure Storage network rules.

Protokollierung und ProblembehandlungLogging and troubleshooting

Nachdem Dienstendpunkte für einen bestimmten Dienst konfiguriert wurden, können Sie wie folgt überprüfen, ob die Dienstendpunktroute eingerichtet wurde:Once service endpoints are configured to a specific service, validate that the service endpoint route is in effect by:

  • Überprüfen der Quell-IP-Adresse einer Dienstanforderung in der Dienstdiagnose.Validating the source IP address of any service request in the service diagnostics. Alle neuen Anforderungen mit Dienstendpunkten zeigen die Quell-IP-Adresse für die Anforderung als private IP-Adresse eines virtuellen Netzwerks an, die dem Client zugewiesen ist, über den die Anforderung aus Ihrem virtuellen Netzwerk gesendet wird.All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. Ohne den Endpunkt handelt es sich bei der Adresse um eine öffentliche Azure-IP-Adresse.Without the endpoint, the address is an Azure public IP address.
  • Anzeigen der effektiven Routen auf einer Netzwerkschnittstelle in einem Subnetz.Viewing the effective routes on any network interface in a subnet. Die Route zum Dienst:The route to the service:
    • Zeigt eine spezifischere Standardroute zu den Adresspräfixbereichen der einzelnen Dienste anShows a more specific default route to address prefix ranges of each service
    • Weist VirtualNetworkServiceEndpoint als „nextHopType“ aufHas a nextHopType of VirtualNetworkServiceEndpoint
    • Gibt an, dass – gegenüber Routen mit Tunnelerzwingung – eine direktere Verbindung mit dem Dienst vorhanden ist.Indicates that a more direct connection to the service is in effect, compared to any forced-tunneling routes

Hinweis

Die Dienstendpunktroute setzt alle BGP- oder UDR-Routen für die Übereinstimmung mit dem Adresspräfix eines Azure-Diensts außer Kraft.Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. Informieren Sie sich über das Verwenden von effektiven Routen zur Problembehandlung des Datenverkehrsflusses auf virtuellen Computern.Learn more about troubleshooting with effective routes

BereitstellungProvisioning

Dienstendpunkte können in virtuellen Netzwerken einzeln von einem Benutzer konfiguriert werden, der über Schreibzugriff auf ein virtuelles Netzwerk verfügt.Service endpoints can be configured on virtual networks independently, by a user with write access to a virtual network. Um Azure-Dienstressourcen in einem VNET zu schützen, muss der Benutzer für die hinzuzufügenden Subnetze über die Berechtigung Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action verfügen.To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the subnets being added. Diese Berechtigung ist standardmäßig in die integrierten Dienstadministratorrollen integriert und kann durch die Erstellung von benutzerdefinierten Rollen geändert werden.This permission is included in the built-in service administrator roles, by default and can be modified by creating custom roles.

Erfahren Sie mehr über integrierte Rollen und das Zuweisen bestimmter Berechtigungen zu benutzerdefinierten Rollen.Learn more about built-in roles and assigning specific permissions to custom roles.

Virtuelle Netzwerke und Ressourcen von Azure-Diensten können sich in demselben oder in unterschiedlichen Abonnements befinden.Virtual networks and Azure service resources can be in the same or different subscriptions. Wenn das virtuelle Netzwerk und die Ressourcen von Azure-Diensten in unterschiedlichen Abonnements enthalten sind, müssen sich die Ressourcen unter demselben Active Directory-Mandanten befinden.If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

Preise und EinschränkungenPricing and limits

Für die Nutzung von Dienstendpunkten fallen keine zusätzlichen Gebühren an.There is no additional charge for using service endpoints. Das aktuelle Preismodell für Azure-Dienste (Azure Storage, Azure SQL-Datenbank usw.) gilt unverändert.The current pricing model for Azure services (Azure Storage, Azure SQL Database etc.) applies as is today.

Für die Gesamtzahl von Dienstendpunkten in einem virtuellen Netzwerk gilt keine Beschränkung.There is no limit on the total number of service endpoints in a virtual network.

Bestimmte Azure-Dienste, wie etwa Azure-Speicherkonten, erzwingen möglicherweise Beschränkungen der Anzahl der zum Schützen der Ressource verwendeten Subnetze.Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. Ausführliche Informationen finden Sie in der Dokumentation zu den verschiedenen Diensten unter Nächste Schritte.Refer to the documentation for various services in Next steps for details.

Richtlinien für VNET-DienstendpunkteVirtual Network Service Endpoint Policies

Richtlinien für Virtual Network-Dienstendpunkte ermöglichen es Ihnen, virtuellen Netzwerkdatenverkehr über Dienstendpunkte zu Azure-Diensten zu filtern, sodass nur bestimmte Azure-Dienstressourcen zugelassen werden.Virtual Network service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources, over service endpoints. Dienstendpunkt-Richtlinien bieten eine differenzierte Zugriffssteuerung für virtuellen Netzwerkdatenverkehr zu Azure-Diensten.Service endpoint policies provide granular access control for virtual network traffic to Azure services. Weitere Informationen: Richtlinien für VNET-DienstendpunkteMore Info: Virtual Network Service Endpoint Policies

Häufig gestellte FragenFAQs

Häufig gestellte Fragen finden Sie unter Azure Virtual Network – häufig gestellte Fragen.For FAQs, look at Virtual Network Service Endpoint FAQs

Nächste SchritteNext steps