Puntos de conexión de servicio de red virtualVirtual Network service endpoints

Los puntos de conexión del servicio Virtual Network (VNet) amplían el espacio de direcciones privadas de una red virtual.Virtual Network (VNet) service endpoints extend your virtual network private address space. También amplían la identidad de la red virtual a los servicios de Azure a través de una conexión directa.The endpoints also extend the identity of your VNet to the Azure services over a direct connection. Los puntos de conexión permiten proteger los recursos de servicio de Azure críticos únicamente para las redes virtuales.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. El tráfico desde la red virtual al servicio de Azure siempre permanece en la red troncal de Microsoft Azure.Traffic from your VNet to the Azure service always remains on the Microsoft Azure backbone network.

Esta característica está disponible para las siguientes regiones y servicios de Azure.This feature is available for the following Azure services and regions. El recurso Microsoft.* está entre paréntesis.The Microsoft.* resource is in parenthesis. Habilítelo desde la subred mientras configura los puntos de conexión del servicio:Enable this resource from the subnet side while configuring service endpoints for your service:

Disponibilidad generalGenerally available

Versión preliminar públicaPublic Preview

  • Azure Container Registry (Microsoft.ContainerRegistry): Hay una versión preliminar en todas las regiones de Azure donde está disponible Azure Container Registry.Azure Container Registry (Microsoft.ContainerRegistry): Preview available in all Azure regions where Azure Container Registry is available.

Para conocer las notificaciones más actualizadas sobre, consulte la página Actualizaciones de Azure Virtual Network.For the most up-to-date notifications, check the Azure Virtual Network updates page.

Ventajas principalesKey benefits

Los puntos de conexión de servicio proporcionan las siguientes ventajas:Service endpoints provide the following benefits:

  • Seguridad mejorada para los recursos de servicio de Azure: Los espacios de direcciones privadas de una red virtual pueden superponerse.Improved security for your Azure service resources: VNet private address spaces can overlap. No se pueden usar espacios superpuestos para identificar de forma exclusiva el tráfico que parte de una red virtual.You can't use overlapping spaces to uniquely identify traffic that originates from your VNet. Los puntos de conexión de servicio ofrecen la capacidad de proteger los recursos de los servicios de Azure en la red virtual mediante la extensión de la identidad de la red virtual al servicio.Service endpoints provide the ability to secure Azure service resources to your virtual network by extending VNet identity to the service. Una vez que habilita puntos de conexión de servicio en su red virtual, puede agregar una regla de red virtual para proteger los recursos de los servicios de Azure en la red virtual.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network. La adición de la regla proporciona una mayor seguridad, ya que elimina totalmente el acceso público de Internet a los recursos y solo permite el tráfico que procede de la red virtual.The rule addition provides improved security by fully removing public internet access to resources and allowing traffic only from your virtual network.

  • Enrutamiento óptimo para el tráfico del servicio de Azure desde la red virtual: hoy, las rutas de la red virtual que fuerzan el tráfico de Internet a las aplicaciones virtuales o locales también fuerzan al tráfico del servicio de Azure a que realice la misma ruta que el tráfico de Internet.Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances also force Azure service traffic to take the same route as the internet traffic. Los puntos de conexión de servicio proporcionan un enrutamiento óptimo al tráfico de Azure.Service endpoints provide optimal routing for Azure traffic.

    Los puntos de conexión siempre toman el tráfico del servicio directamente de la red virtual al servicio en la red troncal de Microsoft Azure.Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Mantener el tráfico en la red troncal de Azure permite seguir auditando y supervisando el tráfico saliente de Internet desde las redes virtuales, a través de la tunelización forzada, sin que afecte al tráfico del servicio.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. Para más información sobre las rutas definidas por el usuario y la tunelización forzada, consulte Enrutamiento del tráfico de redes virtuales de Azure.For more information about user-defined routes and forced-tunneling, see Azure virtual network traffic routing.

  • Fácil de configurar con menos sobrecarga de administración: ya no necesita direcciones IP públicas y reservadas en sus redes virtuales para proteger los recursos de Azure a través de una dirección IP del firewall.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. No hay ningún dispositivo NAT (traducción de direcciones de red) o de puerta de enlace necesario para configurar los puntos de conexión de servicio.There are no Network Address Translation (NAT) or gateway devices required to set up the service endpoints. Estos se pueden configurar con un simple clic en una subred.You can configure service endpoints through a simple click on a subnet. El mantenimiento de los puntos de conexión no supone una sobrecarga adicional.There's no additional overhead to maintaining the endpoints.

LimitacionesLimitations

  • Esta característica solo está disponible en las redes virtuales implementadas con el modelo de implementación de Azure Resource Manager.The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • Los puntos de conexión están habilitados en subredes configuradas en redes virtuales de Azure.Endpoints are enabled on subnets configured in Azure virtual networks. Los puntos de conexión no se pueden usar para el tráfico que fluye entre las instalaciones y los servicios de Azure.Endpoints can't be used for traffic from your premises to Azure services. Para más información, consulte Protección del acceso de servicio de Azure desde el entorno localFor more information, see Secure Azure service access from on-premises
  • Para Azure SQL, un punto de conexión de servicio solo se aplica al tráfico del servicio de Azure dentro de la región de una red virtual.For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. En el caso de Azure Storage, los puntos de conexión también se amplían para incluir las regiones emparejadas en las que se implementa la red virtual para admitir el tráfico del almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS) y el del almacenamiento con redundancia geográfica (GRS).For Azure Storage, endpoints also extend to include paired regions where you deploy the virtual network to support Read-Access Geo-Redundant Storage (RA-GRS) and Geo-Redundant Storage (GRS) traffic. Para más información, consulte Regiones emparejadas de Azure.For more information, see Azure paired regions.
  • En el caso de Azure Data Lake Storage (ADLS) Gen 1, la funcionalidad de integración de red virtual solo está disponible para las redes sociales que se encuentran dentro de la misma región.For Azure Data Lake Storage (ADLS) Gen 1, the VNet Integration capability is only available for virtual networks within the same region. Tenga también en cuenta que la integración de la red virtual en ADLS Gen1 usa la seguridad del punto de conexión de servicio de red virtual entre la red virtual y Azure Active Directory (Azure AD) para generar notificaciones de seguridad adicionales en el token de acceso.Also note that virtual network integration for ADLS Gen1 uses the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Estas notificaciones se usan entonces para autenticar la red virtual en la cuenta de Data Lake Storage Gen1 y permitir el acceso.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. La etiqueta Microsoft.AzureActiveDirectory que aparece debajo de los servicios que admiten puntos de conexión de servicios se usa solo para admitir puntos de conexión de servicios en ADLS Gen 1.The Microsoft.AzureActiveDirectory tag listed under services supporting service endpoints is used only for supporting service endpoints to ADLS Gen 1. Azure AD no admite puntos de conexión de servicio de forma nativa.Azure AD doesn't support service endpoints natively. Para más información acerca de la integración de redes virtuales en Azure Data Lake Store Gen 1, consulte Seguridad de red en Azure Data Lake Storage Gen1.For more information about Azure Data Lake Store Gen 1 VNet integration, see Network security in Azure Data Lake Storage Gen1.

Protección de servicios de Azure en redes virtualesSecure Azure services to virtual networks

  • Un punto de conexión de servicio de red virtual proporciona la identidad de la red virtual al servicio de Azure.A virtual network service endpoint provides the identity of your virtual network to the Azure service. Una vez que habilita puntos de conexión de servicio en su red virtual, puede agregar una regla de red virtual para proteger los recursos de los servicios de Azure en la red virtual.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network.

  • Actualmente, el tráfico del servicio de Azure desde una red virtual usa direcciones IP públicas como direcciones IP de origen.Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. Con los puntos de conexión de servicio, el tráfico del servicio cambia para usar direcciones privadas de red virtual como la direcciones IP de origen al acceder al servicio de Azure desde una red virtual.With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. Este modificador permite acceder a los servicios sin necesidad de direcciones IP públicas y reservadas utilizadas en los firewalls IP.This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

    Nota

    Con los puntos de conexión de servicio, las direcciones IP de origen de las máquinas virtuales en la subred para el tráfico de servicio pasan de utilizar direcciones IPv4 públicas a utilizar direcciones IPv4 privadas.With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. Las reglas existentes de firewall de servicio de Azure que utilizan direcciones IP públicas Azure dejarán de funcionar con este cambio.Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. Asegúrese de que las reglas de firewall del servicio de Azure permiten este cambio antes de configurar los puntos de conexión de servicio.Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. También es posible que experimente una interrupción temporal del tráfico de servicio desde esta subred mientras configura los puntos de conexión de servicio.You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

Protección del acceso de servicio de Azure desde el entorno localSecure Azure service access from on-premises

De forma predeterminada, a los recursos de los servicios de Azure protegidos en las redes virtuales no se puede acceder desde redes locales.By default, Azure service resources secured to virtual networks aren't reachable from on-premises networks. Si quiere permitir el tráfico desde el entorno local, también debe permitir las direcciones IP públicas (normalmente NAT) desde el entorno local o ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Estas direcciones IP se pueden agregar mediante la configuración del firewall de IP para los recursos de los servicios de Azure.You can add these IP addresses through the IP firewall configuration for Azure service resources.

ExpressRoute: Si usa ExpressRoute para el emparejamiento público o el emparejamiento de Microsoft desde un entorno local, tendrá que identificar las direcciones IP de NAT que va a usar.ExpressRoute: If you're using ExpressRoute for public peering or Microsoft peering from your premises, you'll need to identify the NAT IP addresses that you're using. En el caso del emparejamiento público, cada circuito ExpressRoute usa de forma predeterminada dos direcciones IP de NAT que se aplican al tráfico del servicio de Azure cuando entra en la red troncal de Microsoft Azure.For public peering, each ExpressRoute circuit uses two NAT IP addresses, by default, applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. En el caso del emparejamiento de Microsoft, las direcciones IP de NAT que se utilizan las proporcionan el cliente o el proveedor de servicios.For Microsoft peering, the NAT IP addresses are either customer provided or provided by the service provider. Para permitir el acceso a los recursos de servicio, tiene que permitir estas direcciones IP públicas en la configuración del firewall de IP de recursos. To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Para encontrar las direcciones de IP de circuito de ExpressRoute de los pares públicos, abra una incidencia de soporte técnico con ExpressRoute en Azure Portal. To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Para más información sobre NAT tanto para el emparejamiento de Microsoft como para el emparejamiento público de ExpresRoute, consulte Requisitos de NAT de ExpressRoute.For more information about NAT for ExpressRoute public and Microsoft peering, see ExpressRoute NAT requirements.

Protección de servicios de Azure para las redes virtuales

ConfiguraciónConfiguration

  • Configure los puntos de conexión de servicio en una subred de una red virtual.Configure service endpoints on a subnet in a virtual network. Los puntos de conexión funcionan con cualquier tipo de instancias de proceso que se ejecute en esa subred.Endpoints work with any type of compute instances running within that subnet.
  • Puede configurar varios puntos de conexión de servicio para todos los servicios de Azure admitidos (por ejemplo, Azure Storage o Azure SQL Database) en una subred.You can configure multiple service endpoints for all supported Azure services (Azure Storage or Azure SQL Database, for example) on a subnet.
  • Para Azure SQL Database, las redes virtuales deben estar en la misma región que el recurso de servicio de Azure.For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. Si se usan cuentas de Azure Storage para GRS y RA-GRS, la cuenta principal debe encontrarse en la misma región que la red virtual.If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. En el caso de los restantes servicios, los recursos de servicio de Azure se pueden proteger en las redes virtuales de cualquier región.For all other services, you can secure Azure service resources to virtual networks in any region.
  • La red virtual donde se ha configurado el punto de conexión puede estar en la misma suscripción o en otra distinta del recurso de servicio de Azure.The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. Para más información sobre los permisos necesarios para configurar los puntos de conexión y proteger los servicios de Azure, consulte Aprovisionamiento.For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • Para los servicios compatibles, puede proteger los nuevos recursos o los recursos existentes a las redes virtuales con puntos de conexión de servicio.For supported services, you can secure new or existing resources to virtual networks using service endpoints.

ConsideracionesConsiderations

  • Después de habilitar un punto de conexión de servicio, las direcciones IP de origen de las máquinas virtuales en la subred cambian.After enabling a service endpoint, the source IP addresses of virtual machines in the subnet switch. Las direcciones IP de origen de las máquinas virtuales en la subred pasan de utilizar direcciones IPv4 públicas a usar su dirección IPv4 privada cuando se comunican con el servicio desde dicha subred.The source IP addresses switch from using public IPv4 addresses to using their private IPv4 address when communicating with the service from that subnet. Las conexiones TCP abiertas existentes en el servicio se cierran durante este cambio.Any existing open TCP connections to the service are closed during this switch. Asegúrese de que no se esté ejecutando ninguna tarea crítica al habilitar o deshabilitar un punto de conexión de servicio en un servicio para una subred.Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. Además, asegúrese de que las aplicaciones pueden conectarse automáticamente a los servicios de Azure después del cambio de dirección IP.Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    El cambio de dirección IP solo afecta el tráfico del servicio desde la red virtual.The IP address switch only impacts service traffic from your virtual network. No afecta a ningún otro tráfico entrante o saliente de las direcciones IPv4 públicas asignadas a las máquinas virtuales.There's no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Para los servicios de Azure, si tiene reglas de firewall existentes que usan direcciones IP públicas de Azure, estas reglas dejan de funcionar con el cambio a las direcciones privadas de red virtual.For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • Con los puntos de conexión de servicio, las entradas DNS para los servicios de Azure permanecen tal cual en la actualidad y siguen resolviendo las direcciones IP públicas asignadas al servicio de Azure.With service endpoints, DNS entries for Azure services remain as-is today and continue to resolve to public IP addresses assigned to the Azure service.

  • Grupos de seguridad de red (NSG) con puntos de conexión de servicio:Network security groups (NSGs) with service endpoints:

    • De forma predeterminada, los grupos de seguridad de red no solo permiten el tráfico de Internet saliente, sino también el tráfico de su red virtual a los servicios de Azure.By default, NSGs allow outbound internet traffic and also allow traffic from your VNet to Azure services. Este tráfico sigue funcionando con puntos de conexión de servicio tal cual.This traffic continues to work with service endpoints as is.
    • Si desea denegar todo el tráfico de Internet saliente y permitir únicamente el tráfico a servicios de Azure concretos, puede hacerlo mediante las etiquetas de servicio de sus grupos de seguridad de red.If you want to deny all outbound internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. Puede especificar los servicios de Azure compatibles como destino en las reglas de grupos de seguridad de red y Azure también proporciona el mantenimiento de las direcciones IP subyacentes en cada etiqueta.You can specify supported Azure services as destination in your NSG rules and Azure also provides the maintenance of IP addresses underlying each tag. Para más información, consulte las etiquetas de servicio de Azure para grupos de seguridad de red.For more information, see Azure Service tags for NSGs.

EscenariosScenarios

  • Redes virtuales emparejadas, conectadas o múltiples: para proteger los servicios de Azure de varias subredes dentro de una red virtual o entre varias redes virtuales, puede habilitar los puntos de conexión de servicio en cada una de las subredes de manera independiente y proteger los recursos del servicio de Azure a todas las subredes.Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • Filtrado de tráfico saliente desde una red virtual a los servicios de Azure: Si desea inspeccionar o filtrar el tráfico enviado a un servicio de Azure desde una red virtual, puede implementar una aplicación virtual de red dentro de la red virtual.Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic sent to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Después, puede aplicar los puntos de conexión de servicio a la subred donde se implementa la aplicación virtual de red y se protegen los recursos de servicio de Azure solo para esta subred.You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. Este escenario puede resultar útil si desea usar el filtrado de la aplicación virtual de red para restringir el acceso de los servicios de Azure desde la red virtual solo a recursos concretos de Azure.This scenario might be helpful if you want use network virtual appliance filtering to restrict Azure service access from your virtual network only to specific Azure resources. Para más información, consulte el artículo sobre la salida con las aplicaciones de redes virtuales.For more information, see egress with network virtual appliances.
  • Protección de recursos de Azure con los servicios implementados directamente en redes virtuales: puede implementar directamente varios servicios de Azure en subredes concretas de una red virtual.Securing Azure resources to services deployed directly into virtual networks: You can directly deploy various Azure services into specific subnets in a virtual network. Puede proteger los recursos de servicio de Azure para subredes de servicio administrado mediante la configuración de un punto de conexión de servicio en la subred de servicio administrada.You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Tráfico de disco procedente de una máquina virtual de Azure: el tráfico de disco de máquina virtual, tanto en discos administrados como no administrados, no resulta afectado por los puntos de conexión de servicio que enrutan los cambios en Azure Storage.Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic for managed and unmanaged disks isn't affected by service endpoints routing changes for Azure Storage. Este tráfico no solo incluye la E/S de disco, sino también el montaje y desmontaje.This traffic includes diskIO as well as mount and unmount. Puede limitar el acceso de REST a los blobs en páginas para determinadas redes mediante puntos de conexión de servicio y reglas de red de Azure Storage.You can limit REST access to page blobs to select networks through service endpoints and Azure Storage network rules.

Registro y solución de problemasLogging and troubleshooting

Una vez que configure los puntos de conexión de servicio en un servicio concreto, asegúrese de que la ruta del punto de conexión de servicio está en vigor de la forma siguiente:Once you configure service endpoints to a specific service, validate that the service endpoint route is in effect by:

  • Valide la dirección IP de origen de todas las solicitudes de servicio en los diagnósticos del servicio.Validating the source IP address of any service request in the service diagnostics. Todas las nuevas solicitudes con puntos de conexión de servicio muestran la dirección IP de origen de la solicitud como la dirección de red virtual privada, asignada al cliente que realiza la solicitud desde la red virtual.All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. Sin el punto de conexión, la dirección es una dirección IP pública de Azure.Without the endpoint, the address is an Azure public IP address.
  • Visualice las rutas eficaces en cualquier interfaz de red de una subred.Viewing the effective routes on any network interface in a subnet. La ruta al servicio:The route to the service:
    • Muestra una ruta predeterminada más específica a los intervalos de prefijos de la dirección de cada servicioShows a more specific default route to address prefix ranges of each service
    • Tiene una clase nextHopType de VirtualNetworkServiceEndpointHas a nextHopType of VirtualNetworkServiceEndpoint
    • Indica que está en vigor una conexión más directa al servicio, en comparación con cualquier ruta de tunelización forzadaIndicates that a more direct connection to the service is in effect compared to any forced-tunneling routes

Nota

Las rutas del punto de conexión de servicio invalidan las rutas BGP o UDR para la coincidencia del prefijo de dirección de un servicio de Azure.Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. Para más información, consulte el artículo en el que se indica cómo se solucionan problemas con redes eficaces.For more information, see troubleshooting with effective routes.

AprovisionamientoProvisioning

Un usuario con acceso de escritura a una red virtual puede configurar puntos de conexión de servicio en redes virtuales de forma independiente.Service endpoints can be configured on virtual networks independently by a user with write access to a virtual network. Para proteger los recursos de los servicios de Azure en una red virtual, el usuario debe tener permiso en Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action para las subredes agregadas.To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the added subnets. Los roles de administrador de servicios integrados incluyen este permiso de manera predeterminada.The built-in service administrator roles include this permission by default. El permiso se puede modificar mediante la creación de roles personalizados.You can modify the permission by creating custom roles.

Para más información sobre los roles integrados, consulte Roles integrados en los recursos de Azure.For more information about built-in roles, see Built-in roles for Azure resources. Para más información sobre la asignación de permisos concretos a roles personalizados, consulte Roles personalizados para recursos de Azure.For more information about assigning specific permissions to custom roles, see Custom roles for Azure resources.

Las redes virtuales y los recursos de servicio de Azure pueden encontrarse en la misma o en diferentes suscripciones.Virtual networks and Azure service resources can be in the same or different subscriptions. Si los recursos de servicio de Azure y de red virtual están en distintas suscripciones, los recursos deben estar en el mismo inquilino de Active Directory (AD).If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

Precios y límitesPricing and limits

No se realiza ningún cargo adicional por el uso de puntos de conexión de servicio.There's no additional charge for using service endpoints. El modelo de precios vigente para los servicios de Azure (Azure Storage, Azure SQL Database, etc.) se aplica tal cual.The current pricing model for Azure services (Azure Storage, Azure SQL Database, etc.) applies as-is today.

No hay límite en el número total de puntos de conexión de servicio que puede tener una red virtual.There's no limit on the total number of service endpoints in a virtual network.

Para determinados servicios de Azure (por ejemplo, cuentas de Azure Storage), puede aplicar límites en el número de subredes que se usan para proteger el recurso.Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. Para más información, consulte la documentación de varios servicios en la sección Pasos siguientes.Refer to the documentation for various services in the Next steps section for details.

Directivas de punto de conexión de servicio de una red virtualVNet service endpoint policies

Las directivas de punto de conexión de servicio de una red virtual permiten filtrar el tráfico de la red virtual a los servicios de Azure.VNet service endpoint policies allow you to filter virtual network traffic to Azure services. Este filtro solo permite determinados recursos de servicio de Azure a través de puntos de conexión de servicio.This filter allows only specific Azure service resources over service endpoints. Las directivas de punto de conexión de servicio ofrecen un control de acceso pormenorizado para el tráfico de red virtual a los servicios de Azure.Service endpoint policies provide granular access control for virtual network traffic to Azure services. Para más información, consulte Directivas de punto de conexión de servicio de red virtual.For more information, see Virtual Network Service Endpoint Policies.

Preguntas más frecuentesFAQs

Consulte las preguntas más frecuentes acerca de los puntos de conexión de servicio de red virtual.For FAQs, see Virtual Network Service Endpoint FAQs.

Pasos siguientesNext steps