Points de terminaison de service de réseau virtuelVirtual Network service endpoints

Les points de terminaison de service Virtual Network (VNet) étendent l’espace d’adressage privé de votre réseau virtuel.Virtual Network (VNet) service endpoints extend your virtual network private address space. Les points de terminaison étendent également l’identité de votre réseau virtuel aux services Azure via une connexion directe.The endpoints also extend the identity of your VNet to the Azure services over a direct connection. Les points de terminaison permettent de sécuriser vos ressources critiques du service Azure pour vos réseaux virtuels uniquement.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Le trafic à partir de votre réseau virtuel vers le service Azure reste toujours sur le réseau principal de Microsoft Azure.Traffic from your VNet to the Azure service always remains on the Microsoft Azure backbone network.

Cette fonctionnalité est disponible pour les services et régions Azure suivants.This feature is available for the following Azure services and regions. La ressource Microsoft.* est entre parenthèses.The Microsoft.* resource is in parenthesis. Activez cette ressource depuis le côté du sous-réseau lors de la configuration des points de terminaison de service pour votre service :Enable this resource from the subnet side while configuring service endpoints for your service:

Mise à la disposition généraleGenerally available

  • Stockage Azure (Microsoft.Storage) : mis à la disposition générale dans toutes les régions Azure.Azure Storage (Microsoft.Storage): Generally available in all Azure regions.
  • Azure SQL Database (Microsoft.Sql) : mis à la disposition générale dans toutes les régions Azure.Azure SQL Database (Microsoft.Sql): Generally available in all Azure regions.
  • Azure SQL Data Warehouse (Microsoft.Sql) : mis à la disposition générale dans toutes les régions Azure.Azure SQL Data Warehouse (Microsoft.Sql): Generally available in all Azure regions.
  • Serveur Azure Database pour PostgreSQL (Microsoft.Sql) : mis à la disposition générale dans les régions Azure où le service de base de données est disponible.Azure Database for PostgreSQL server (Microsoft.Sql): Generally available in Azure regions where database service is available.
  • Serveur Azure Database pour MySQL (Microsoft.Sql) : mis à la disposition générale dans les régions Azure où le service de base de données est disponible.Azure Database for MySQL server (Microsoft.Sql): Generally available in Azure regions where database service is available.
  • Azure Database for MariaDB (Microsoft.Sql) : mis à la disposition générale dans les régions Azure où le service de base de données est disponible.Azure Database for MariaDB (Microsoft.Sql): Generally available in Azure regions where database service is available.
  • Azure Cosmos DB (Microsoft.AzureCosmosDB) : mis à la disposition générale dans toutes les régions Azure.Azure Cosmos DB (Microsoft.AzureCosmosDB): Generally available in all Azure regions.
  • Azure Key Vault (Microsoft.KeyVault) : mis à la disposition générale dans toutes les régions Azure.Azure Key Vault (Microsoft.KeyVault): Generally available in all Azure regions.
  • Azure Service Bus (Microsoft.ServiceBus) : mis à la disposition générale dans toutes les régions Azure.Azure Service Bus (Microsoft.ServiceBus): Generally available in all Azure regions.
  • Azure Event Hubs (Microsoft.EventHub) : mis à la disposition générale dans toutes les régions Azure.Azure Event Hubs (Microsoft.EventHub): Generally available in all Azure regions.
  • Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory) : Disponibilité générale dans toutes les régions Azure où ADLS Gen1 est disponible.Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory): Generally available in all Azure regions where ADLS Gen1 is available.
  • Azure App Service : En disponibilité générale dans toutes les régions Azure où App Service est disponible.Azure App Service: Generally available in all Azure regions where App service is available.

Préversion publiquePublic Preview

  • Azure Container Registry (Microsoft.ContainerRegistry) : préversion disponible dans toutes les régions Azure où Azure Container Registry est disponible.Azure Container Registry (Microsoft.ContainerRegistry): Preview available in all Azure regions where Azure Container Registry is available.

Pour obtenir les notifications les plus récentes, vérifiez la page Mises à jour du réseau virtuel Microsoft Azure.For the most up-to-date notifications, check the Azure Virtual Network updates page.

Principaux avantagesKey benefits

Les points de terminaison de service fournissent les avantages suivants :Service endpoints provide the following benefits:

  • Sécurité améliorée de vos ressources de service Azure : Les espaces d’adressage privé de réseau virtuel peuvent se chevaucher.Improved security for your Azure service resources: VNet private address spaces can overlap. Vous ne pouvez pas utiliser d’espaces qui se chevauchent pour identifier de manière unique le trafic provenant de votre réseau virtuel.You can't use overlapping spaces to uniquely identify traffic that originates from your VNet. Les points de terminaison de service permettent de sécuriser les ressources de service Azure sur votre réseau virtuel en étendant l’identité du réseau virtuel à ce service.Service endpoints provide the ability to secure Azure service resources to your virtual network by extending VNet identity to the service. Une fois que vous avez activé les points de terminaison de service dans votre réseau virtuel, vous pouvez ajouter une règle de réseau virtuel afin de sécuriser les ressources du service Azure pour votre réseau virtuel.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network. L’ajout de règles améliore la sécurité en supprimant totalement l’accès Internet public aux ressources et en autorisant le trafic uniquement à partir de votre réseau virtuel.The rule addition provides improved security by fully removing public internet access to resources and allowing traffic only from your virtual network.

  • Routage optimal pour le trafic de service Azure à partir de votre réseau virtuel : Aujourd’hui, tous les itinéraires dans votre réseau virtuel qui forcent le trafic Internet vers vos appliances locales et/ou virtuelles forcent également le trafic de service Azure à prendre le même itinéraire que le trafic Internet.Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances also force Azure service traffic to take the same route as the internet traffic. Les points de terminaison de service fournissent un routage optimal pour le trafic Azure.Service endpoints provide optimal routing for Azure traffic.

    Les points de terminaison acheminent toujours le trafic de service directement à partir de votre réseau virtuel vers le service sur le réseau principal de Microsoft Azure.Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. La conservation du trafic sur le réseau principal d’Azure vous permet de continuer l’audit et la surveillance du trafic Internet sortant à partir de vos réseaux virtuels, via le tunneling forcé, sans affecter le trafic de service.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. Pour plus d’informations sur les itinéraires définis par l’utilisateur et le tunneling forcé, consultez Routage du trafic de réseau virtuel Azure.For more information about user-defined routes and forced-tunneling, see Azure virtual network traffic routing.

  • Une configuration simple et un temps de gestion réduit : les adresses IP publiques réservées dans vos réseaux virtuels ne sont désormais plus nécessaires pour sécuriser les ressources Azure via le pare-feu IP.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. Aucune traduction d’adresses réseau (NAT) ni aucun appareil de passerelle n’est requis pour configurer les points de terminaison de service.There are no Network Address Translation (NAT) or gateway devices required to set up the service endpoints. Vous pouvez configurer des points de terminaison de service par un simple clic sur un sous-réseau.You can configure service endpoints through a simple click on a subnet. La conservation des points de terminaison ne requiert aucun temps système supplémentaire.There's no additional overhead to maintaining the endpoints.

LimitesLimitations

  • La fonctionnalité est disponible uniquement pour les réseaux virtuels déployés à l’aide du modèle de déploiement Azure Resource Manager.The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • Les points de terminaison sont activés sur les sous-réseaux configurés dans les réseaux virtuels Azure.Endpoints are enabled on subnets configured in Azure virtual networks. Les points de terminaison ne peuvent pas être utilisés pour le trafic de votre réseau local aux services Azure.Endpoints can't be used for traffic from your premises to Azure services. Pour plus d’informations, consultez Sécuriser l’accès au service en localFor more information, see Secure Azure service access from on-premises
  • Pour Azure SQL, un point de terminaison de service concerne uniquement le trafic de service Azure dans la région d’un réseau virtuel.For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. Pour Stockage Azure, les points de terminaison s’étendent également de façon à inclure des régions jumelées dans lesquelles vous déployez le réseau virtuel pour prendre en charge le trafic du stockage géographiquement redondant avec accès en lecture (RA-GRS) et du stockage géoredondant (GRS).For Azure Storage, endpoints also extend to include paired regions where you deploy the virtual network to support Read-Access Geo-Redundant Storage (RA-GRS) and Geo-Redundant Storage (GRS) traffic. Pour plus d’informations, consultez Régions jumelées Azure.For more information, see Azure paired regions.
  • Avec Azure Data Lake Storage (ADLS) Gen 1, la fonctionnalité d’intégration au réseau virtuel est uniquement disponible pour les réseaux virtuels situés dans une même région.For Azure Data Lake Storage (ADLS) Gen 1, the VNet Integration capability is only available for virtual networks within the same region. Notez également que l’intégration au réseau virtuel dans ADLS Gen1 utilise la sécurité des points de terminaison de service de réseau virtuel entre votre réseau virtuel et Azure Active Directory (Azure AD) afin de générer des revendications de sécurité supplémentaires dans le jeton d’accès.Also note that virtual network integration for ADLS Gen1 uses the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Ces revendications permettent ensuite d’authentifier votre réseau virtuel à votre compte Data Lake Storage Gen1 et d’y accéder.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. La balise Microsoft.AzureActiveDirectory répertoriée sous les services prenant en charge les points de terminaison de service est uniquement utilisée pour gérer ces derniers dans ADLS Gen 1.The Microsoft.AzureActiveDirectory tag listed under services supporting service endpoints is used only for supporting service endpoints to ADLS Gen 1. Azure AD ne prend pas en charge les points de terminaison de service en mode natif.Azure AD doesn't support service endpoints natively. Pour plus d’informations sur l’intégration au réseau virtuel d’Azure Data Lake Storage Gen1, consultez Sécurité du réseau dans Azure Data Lake Storage Gen1.For more information about Azure Data Lake Store Gen 1 VNet integration, see Network security in Azure Data Lake Storage Gen1.

Sécuriser les services Azure pour des réseaux virtuelsSecure Azure services to virtual networks

  • Un point de terminaison de service de réseau virtuel fournit l’identité de votre réseau virtuel au service Azure.A virtual network service endpoint provides the identity of your virtual network to the Azure service. Une fois que vous avez activé les points de terminaison de service dans votre réseau virtuel, vous pouvez ajouter une règle de réseau virtuel afin de sécuriser les ressources du service Azure pour votre réseau virtuel.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network.

  • Aujourd’hui, le trafic du service Azure à partir d’un réseau virtuel utilise des adresses IP publiques en tant qu’adresses IP source.Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. Avec les points de terminaison de service, le trafic de service change pour utiliser des adresses privées de réseau virtuel en tant qu’adresses IP source lors de l’accès au service Azure à partir d’un réseau virtuel.With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. Ce changement permet d’accéder aux services sans avoir besoin d’adresses IP publiques réservées et utilisées dans les pare-feux IP.This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

    Notes

    Avec les points de terminaison de service, les adresses IP sources des machines virtuelles dans le sous-réseau pour le trafic de service passe d’une utilisation des adresses IPv4 publiques à une utilisation des adresses IPv4 privées.With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. Les règles de pare-feu de service Azure existantes utilisant des adresses IP publiques Azure cesseront de fonctionner avec ce changement.Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. Vérifiez que les règles de pare-feu de service Azure autorisent ce changement avant de définir des points de terminaison de service.Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. Vous pouvez également rencontrer une interruption temporaire du trafic de service à partir de ce sous-réseau lors de la configuration des points de terminaison de service.You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

Sécuriser l’accès au service Azure en localSecure Azure service access from on-premises

Par défaut, les ressources du service Azure sécurisées pour des réseaux virtuels ne sont pas accessibles à partir des réseaux locaux.By default, Azure service resources secured to virtual networks aren't reachable from on-premises networks. Si vous souhaitez autoriser le trafic depuis un réseau local, vous devez également autoriser les adresses IP publiques (généralement NAT) à partir de vos circuits locaux ou ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Vous pouvez ajouter ces adresses IP via la configuration du pare-feu IP des ressources du service Azure.You can add these IP addresses through the IP firewall configuration for Azure service resources.

ExpressRoute : Si vous utilisez ExpressRoute pour le Peering public ou Microsoft en local, vous devez identifier les adresses IP NAT utilisées.ExpressRoute: If you're using ExpressRoute for public peering or Microsoft peering from your premises, you'll need to identify the NAT IP addresses that you're using. Pour le Peering public, chaque circuit ExpressRoute utilise par défaut deux adresses IP NAT qui sont appliquées au trafic du service Azure lorsque le trafic entre dans le réseau principal de Microsoft Azure.For public peering, each ExpressRoute circuit uses two NAT IP addresses, by default, applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Pour le Peering Microsoft, les adresses IP NAT sont fournies par le client ou par le fournisseur du service.For Microsoft peering, the NAT IP addresses are either customer provided or provided by the service provider. Pour autoriser l’accès à vos ressources de votre service, vous devez autoriser ces adresses IP publiques dans le paramètre de pare-feu IP de ressource. To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Pour obtenir les adresses IP de votre circuit ExpressRoute de peering public, ouvrez un ticket de support avec ExpressRoute via le portail Azure. To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Pour plus d’informations sur le Peering Microsoft et public NAT pour ExpressRoute, consultez Configuration NAT requise pour ExpressRoute.For more information about NAT for ExpressRoute public and Microsoft peering, see ExpressRoute NAT requirements.

Sécurisation des services Azure pour des réseaux virtuels

ConfigurationConfiguration

  • Configurez les points de terminaison de service sur un sous-réseau dans un réseau virtuel.Configure service endpoints on a subnet in a virtual network. Les points de terminaison fonctionnent avec n’importe quel type d’instances de calcul en cours d’exécution dans ce sous-réseau.Endpoints work with any type of compute instances running within that subnet.
  • Vous pouvez configurer plusieurs points de terminaison de service pour tous les services Azure pris en charge (par exemple, Stockage Azure ou Azure SQL Database) sur un sous-réseau.You can configure multiple service endpoints for all supported Azure services (Azure Storage or Azure SQL Database, for example) on a subnet.
  • Pour Azure SQL Database, les réseaux virtuels doivent être dans la même région que la ressource de service Azure.For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. Si vous utilisez les comptes de stockage Azure GRS et RA-GRS, le compte principal doit être dans la même région que le réseau virtuel.If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. Pour tous les autres services, vous pouvez sécuriser les ressources du service Azure pour les réseaux virtuels de n’importe quelle région.For all other services, you can secure Azure service resources to virtual networks in any region.
  • Le réseau virtuel dans lequel est configuré le point de terminaison peut être dans le même abonnement ou dans un abonnement différent de celui de la ressource du service Azure.The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. Pour plus d’informations sur les autorisations requises pour la configuration de points de terminaison et la sécurisation des services Azure, consultez Approvisionnement.For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • Pour les services pris en charge, vous pouvez sécuriser des ressources nouvelles ou existantes pour des réseaux virtuels à l’aide de points de terminaison de service.For supported services, you can secure new or existing resources to virtual networks using service endpoints.

ConsidérationsConsiderations

  • Après l’activation d’un point de terminaison de service, les adresses IP sources des machines virtuelles dans le sous-réseau basculent.After enabling a service endpoint, the source IP addresses of virtual machines in the subnet switch. Les adresses IP sources passent de l’utilisation des adresses IPv4 publiques à l’utilisation de leur adresse IPv4 privée lors de la communication avec le service à partir de ce sous-réseau.The source IP addresses switch from using public IPv4 addresses to using their private IPv4 address when communicating with the service from that subnet. Toute connexion TCP ouverte existante pour le service sera fermée lors de ce changement.Any existing open TCP connections to the service are closed during this switch. Assurez-vous qu’aucune tâche critique n’est en cours d’exécution lors de l’activation ou de la désactivation d’un point de terminaison de service à un service pour un sous-réseau.Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. En outre, assurez-vous que vos applications peuvent se connecter automatiquement aux services Azure après le changement d’adresse IP.Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    Le changement d’adresse IP affecte uniquement le trafic de service à partir de votre réseau virtuel.The IP address switch only impacts service traffic from your virtual network. L’impact sur tout autre trafic adressé vers ou depuis des adresses IPv4 publiques attribuées à vos machines virtuelles est inexistant.There's no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Si vous possédez des règles de pare-feu existantes à l’aide d’adresses IP publiques Azure pour les services Azure, ces règles cessent de fonctionner avec le changement pour les adresses privées de réseau virtuel.For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • Avec les points de terminaison de service, les entrées DNS pour les services Azure ne sont pas modifiées et continuent de résoudre les adresses IP publiques assignées au service Azure.With service endpoints, DNS entries for Azure services remain as-is today and continue to resolve to public IP addresses assigned to the Azure service.

  • Groupes de sécurité réseau (NSG) avec points de terminaison de service :Network security groups (NSGs) with service endpoints:

    • Par défaut, les groupes de sécurité réseau autorisent le trafic Internet sortant, ainsi que le trafic de votre réseau virtuel vers les services Azure.By default, NSGs allow outbound internet traffic and also allow traffic from your VNet to Azure services. Ce trafic continue de fonctionner avec les points de terminaison de service tels quels.This traffic continues to work with service endpoints as is.
    • Si vous souhaitez refuser tout trafic Internet sortant et autoriser le trafic uniquement vers des services Azure spécifiques, vous pouvez le faire à l’aide de balises de service dans vos groupes de sécurité réseau.If you want to deny all outbound internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. Vous pouvez spécifier les services Azure pris en charge en tant que destination dans vos règles de groupe de sécurité réseau, et Azure fournit également la maintenance des adresses IP sous-tendant chaque balise.You can specify supported Azure services as destination in your NSG rules and Azure also provides the maintenance of IP addresses underlying each tag. Pour plus d’informations, voir Balises de Service Azure pour les groupes de sécurité réseau.For more information, see Azure Service tags for NSGs.

ScénariosScenarios

  • Réseaux virtuels appariés, connectés ou multiples : afin de sécuriser les services Azure pour plusieurs sous-réseaux au sein d’un réseau virtuel ou sur plusieurs réseaux virtuels, vous pouvez activer les points de terminaison de service sur chacun des sous-réseaux indépendamment et sécuriser les ressources de service Azure pour l’ensemble des sous-réseaux.Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • Filtrage du trafic sortant vers les services Azure à partir du réseau virtuel : Si vous souhaitez inspecter ou filtrer le trafic envoyé à un service Azure à partir d’un réseau virtuel, vous pouvez déployer une appliance virtuelle réseau au sein du réseau virtuel.Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic sent to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Vous pouvez ensuite appliquer des points de terminaison de service au sous-réseau sur lequel est déployée l’appliance virtuelle réseau et sécuriser les ressources de service Azure uniquement pour ce sous-réseau.You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. Ce scénario peut être utile si vous souhaitez utiliser le filtrage de l’appliance virtuelle réseau pour restreindre l’accès aux services Azure à partir de votre réseau virtuel uniquement pour des ressources Azure spécifiques.This scenario might be helpful if you want use network virtual appliance filtering to restrict Azure service access from your virtual network only to specific Azure resources. Pour plus d’informations, consultez la section relative à la sortie avec les appliances virtuelles réseau.For more information, see egress with network virtual appliances.
  • Sécurisation des ressources Azure pour les services déployés directement dans les réseaux virtuels : Vous pouvez déployer directement divers services Azure dans des sous-réseaux spécifiques au sein d’un réseau virtuel.Securing Azure resources to services deployed directly into virtual networks: You can directly deploy various Azure services into specific subnets in a virtual network. Vous pouvez sécuriser les ressources du service Azure pour les sous-réseaux du service administré en configurant un point de terminaison de service sur le sous-réseau de service administré.You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Trafic de disques à partir d’une machine virtuelle Azure : Le trafic des disques de machine virtuelle pour les disques managés et non managés n’est pas perturbé par la modification du routage des points de terminaison de service pour Stockage Azure.Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic for managed and unmanaged disks isn't affected by service endpoints routing changes for Azure Storage. Ce trafic comprend l’E/S disque ainsi que le montage et le démontage.This traffic includes diskIO as well as mount and unmount. Vous pouvez limiter l’accès REST aux objets blob de page pour sélectionner les réseaux via des points de terminaison de service et les règles de réseau de Stockage Azure.You can limit REST access to page blobs to select networks through service endpoints and Azure Storage network rules.

Journalisation et résolution des problèmesLogging and troubleshooting

Une fois que vous avez configuré les points de terminaison de service pour un service spécifique, vérifiez que l’itinéraire de point de terminaison de service est activé en procédant comme suit :Once you configure service endpoints to a specific service, validate that the service endpoint route is in effect by:

  • Validation de l’adresse IP source de toute demande de service dans les diagnostics du service.Validating the source IP address of any service request in the service diagnostics. Toutes les nouvelles demandes avec les points de terminaison de service affichent l’adresse IP source de la demande en tant qu’adresse IP privée du réseau virtuel, attribuée au client qui effectue la demande à partir de votre réseau virtuel.All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. Sans le point de terminaison, cette adresse est une adresse IP publique Azure.Without the endpoint, the address is an Azure public IP address.
  • Affichage des itinéraires effectifs sur n’importe quelle interface réseau d’un sous-réseau.Viewing the effective routes on any network interface in a subnet. L’itinéraire jusqu’au service :The route to the service:
    • affiche un itinéraire par défaut plus spécifique jusqu’aux plages de préfixes d’adresses de chaque service ;Shows a more specific default route to address prefix ranges of each service
    • possède un type de tronçon VirtualNetworkServiceEndpoint ;Has a nextHopType of VirtualNetworkServiceEndpoint
    • indique qu’une connexion plus directe pour le service est appliquée, par rapport à n’importe quel tunneling forcé.Indicates that a more direct connection to the service is in effect compared to any forced-tunneling routes

Notes

Les itinéraires de point de terminaison de service remplacent tout itinéraire BGP ou UDR pour la correspondance de préfixe d’adresse d’un service Azure.Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. Pour plus d’informations, consultez Résolution des problèmes à l’aide d’itinéraires effectifs.For more information, see troubleshooting with effective routes.

ApprovisionnementProvisioning

Les points de terminaison de service peuvent être configurés indépendamment sur les réseaux virtuels par un utilisateur avec accès en écriture à un réseau virtuel.Service endpoints can be configured on virtual networks independently by a user with write access to a virtual network. Pour sécuriser les ressources du service Azure pour un réseau virtuel, l’utilisateur doit disposer des autorisations sur Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action pour les sous-réseaux ajoutés.To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the added subnets. Les rôles Administrateur de service fédérés intégrés incluent cette autorisation par défaut.The built-in service administrator roles include this permission by default. Vous pouvez modifier l’autorisation en créant des rôles personnalisés.You can modify the permission by creating custom roles.

Pour plus d’informations sur les rôles intégrés, consultez Rôles intégrés pour les ressources Azure.For more information about built-in roles, see Built-in roles for Azure resources. Pour plus d’informations sur l’attribution d’autorisations spécifiques à des rôles personnalisés, consultez Rôles personnalisés pour les ressources Azure.For more information about assigning specific permissions to custom roles, see Custom roles for Azure resources.

Les réseaux virtuels et les ressources du service Azure peuvent être dans des abonnements identiques ou différents.Virtual networks and Azure service resources can be in the same or different subscriptions. Si le réseau virtuel et les ressources de service Azure se trouvent dans différents abonnements, les ressources doivent être sous le même client Active Directory (AD).If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

Tarification et limitesPricing and limits

L’utilisation de points de terminaison de service n’engendre pas de frais supplémentaires.There's no additional charge for using service endpoints. Le modèle tarifaire actuel pour les services Azure (Stockage Azure, Azure SQL Database, etc.) reste le même.The current pricing model for Azure services (Azure Storage, Azure SQL Database, etc.) applies as-is today.

Il n’existe aucune limite sur le nombre total de points de terminaison de service dans un réseau virtuel.There's no limit on the total number of service endpoints in a virtual network.

Certains services Azure, comme Comptes Stockage Azure, peuvent appliquer des limites sur le nombre de sous-réseaux utilisés pour sécuriser la ressource.Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. Pour en savoir plus, reportez-vous à la documentation pour les différents services dans la section Étapes suivantes.Refer to the documentation for various services in the Next steps section for details.

Stratégies de points de terminaison de service de réseau virtuelVNet service endpoint policies

Les stratégies de point de terminaison de service de réseau virtuel vous permettent de filtrer le trafic de réseau virtuel vers les services Azure.VNet service endpoint policies allow you to filter virtual network traffic to Azure services. Ce filtre autorise uniquement des ressources de service Azure spécifiques sur les points de terminaison de service.This filter allows only specific Azure service resources over service endpoints. Les stratégies de points de terminaison de service fournissent un contrôle d’accès granulaire pour le trafic de réseau virtuel vers les services Azure.Service endpoint policies provide granular access control for virtual network traffic to Azure services. Pour plus d’informations, consultez Stratégies de points de terminaison de service de réseau virtuel.For more information, see Virtual Network Service Endpoint Policies.

FAQFAQs

Pour consulter les Forums aux questions, consultez les FAQ sur les points de terminaison de service de réseau virtuel.For FAQs, see Virtual Network Service Endpoint FAQs.

Étapes suivantesNext steps