Points de terminaison de service de réseau virtuelVirtual Network Service Endpoints

Les points de terminaison de service de réseau virtuel étendent votre espace d’adressage privé de réseau virtuel et l’identité de votre réseau virtuel aux services Azure, via une connexion directe.Virtual Network (VNet) service endpoints extend your virtual network private address space and the identity of your VNet to the Azure services, over a direct connection. Les points de terminaison permettent de sécuriser vos ressources critiques du service Azure pour vos réseaux virtuels uniquement.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Le trafic à partir de votre réseau virtuel vers le service Azure reste toujours sur le réseau principal de Microsoft Azure.Traffic from your VNet to the Azure service always remains on the Microsoft Azure backbone network.

Cette fonctionnalité est disponible pour les services et régions Azure suivants :This feature is available for the following Azure services and regions:

Mise à la disposition généraleGenerally available

Préversion publiquePublic Preview

Pour obtenir les notifications les plus récentes, vérifiez la page Mises à jour du réseau virtuel Microsoft Azure.For the most up-to-date notifications, check the Azure Virtual Network updates page.

Principaux avantagesKey benefits

Les points de terminaison de service fournissent les avantages suivants :Service endpoints provide the following benefits:

  • Sécurité améliorée de vos ressources de service Azure : l’espace d’adressage privé VNet peut se recouper et ne permet donc pas d’identifier de façon unique le trafic en provenance de votre réseau virtuel.Improved security for your Azure service resources: VNet private address space can be overlapping and so, cannot be used to uniquely identify traffic originating from your VNet. Les points de terminaison de service permettent de sécuriser les ressources de service Azure sur votre réseau virtuel en étendant l’identité du réseau virtuel à ce service.Service endpoints provide the ability to secure Azure service resources to your virtual network, by extending VNet identity to the service. Une fois les points de terminaison de service activés dans votre réseau virtuel, vous pouvez sécuriser les ressources du service Azure pour votre réseau virtuel en ajoutant une règle de réseau virtuel aux ressources.Once service endpoints are enabled in your virtual network, you can secure Azure service resources to your virtual network by adding a virtual network rule to the resources. Ainsi, votre sécurité est améliorée grâce à la suppression complète de l’accès Internet public aux ressources et à l’autorisation du trafic uniquement à partir de votre réseau virtuel.This provides improved security by fully removing public Internet access to resources, and allowing traffic only from your virtual network.

  • Routage optimal pour le trafic de service Azure à partir de votre réseau virtuel : actuellement, tous les itinéraires dans votre réseau virtuel qui forcent le trafic Internet vers vos appliances locales et/ou virtuelles, aussi appelé tunneling forcé, forcent également le trafic de service Azure à prendre le même itinéraire que le trafic Internet.Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force Internet traffic to your premises and/or virtual appliances, known as forced-tunneling, also force Azure service traffic to take the same route as the Internet traffic. Les points de terminaison de service fournissent un routage optimal pour le trafic Azure.Service endpoints provide optimal routing for Azure traffic.

    Les points de terminaison acheminent toujours le trafic de service directement à partir de votre réseau virtuel vers le service sur le réseau principal de Microsoft Azure.Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. La conservation du trafic sur le réseau principal d’Azure vous permet de continuer l’audit et la surveillance du trafic Internet sortant à partir de vos réseaux virtuels, via le tunneling forcé, sans affecter le trafic de service.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. Découvrez d’autres informations sur les itinéraires définis par l’utilisateur et le tunneling forcé.Learn more about user-defined routes and forced-tunneling.

  • Une configuration simple et un temps de gestion réduit : les adresses IP publiques réservées dans vos réseaux virtuels ne sont désormais plus nécessaires pour sécuriser les ressources Azure via le pare-feu IP.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. Aucun NAT ou appareil de passerelle n’est requis pour configurer les points de terminaison de service.There are no NAT or gateway devices required to set up the service endpoints. Les points de terminaison de service peuvent être configurés par un simple clic sur un sous-réseau.Service endpoints are configured through a simple click on a subnet. La conservation des points de terminaison ne requiert aucun temps système supplémentaire.There is no additional overhead to maintaining the endpoints.

LimitationsLimitations

  • La fonctionnalité est disponible uniquement pour les réseaux virtuels déployés à l’aide du modèle de déploiement Azure Resource Manager.The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • Les points de terminaison sont activés sur les sous-réseaux configurés dans les réseaux virtuels Azure.Endpoints are enabled on subnets configured in Azure virtual networks. Les points de terminaison ne peuvent pas être utilisés pour le trafic à partir de votre réseau local vers les services Azure.Endpoints cannot be used for traffic from your premises to Azure services. Pour plus d’informations, consultez la section relative à la sécurisation de l’accès au service en localFor more information, see Securing Azure service access from on-premises
  • Pour Azure SQL, un point de terminaison de service concerne uniquement le trafic de service Azure dans la région d’un réseau virtuel.For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. Pour prendre en charge les trafics RA-GRS et GRS pour le stockage Azure, les points de terminaison incluent également les régions appariées dans lesquelles le réseau virtuel est déployé.For Azure Storage, to support RA-GRS and GRS traffic, endpoints also extend to include paired regions where the virtual network is deployed. En savoir plus sur les régions appariées Azure..Learn more about Azure paired regions..
  • Avec ADLS Gen 1, la fonctionnalité d’intégration au réseau virtuel est uniquement disponible pour les réseaux virtuels situés dans une même région.For ADLS Gen 1, the VNet Integration capability is only available for virtual networks within the same region.

Sécurisation des services Azure pour des réseaux virtuelsSecuring Azure services to virtual networks

  • Un point de terminaison de service de réseau virtuel fournit l’identité de votre réseau virtuel au service Azure.A virtual network service endpoint provides the identity of your virtual network to the Azure service. Une fois les points de terminaison de service activés dans votre réseau virtuel, vous pouvez sécuriser les ressources du service Azure pour votre réseau virtuel en ajoutant une règle de réseau virtuel aux ressources.Once service endpoints are enabled in your virtual network, you can secure Azure service resources to your virtual network by adding a virtual network rule to the resources.
  • Aujourd’hui, le trafic du service Azure à partir d’un réseau virtuel utilise des adresses IP publiques en tant qu’adresses IP source.Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. Avec les points de terminaison de service, le trafic de service change pour utiliser des adresses privées de réseau virtuel en tant qu’adresses IP source lors de l’accès au service Azure à partir d’un réseau virtuel.With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. Ce changement permet d’accéder aux services sans avoir besoin d’adresses IP publiques réservées et utilisées dans les pare-feux IP.This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

Notes

Avec les points de terminaison de service, les adresses IP sources des machines virtuelles dans le sous-réseau pour le trafic de service passe d’une utilisation des adresses IPv4 publiques à une utilisation des adresses IPv4 privées.With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. Les règles de pare-feu de service Azure existantes utilisant des adresses IP publiques Azure cesseront de fonctionner avec ce changement.Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. Vérifiez que les règles de pare-feu de service Azure autorisent ce changement avant de définir des points de terminaison de service.Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. Vous pouvez également rencontrer une interruption temporaire du trafic de service à partir de ce sous-réseau lors de la configuration des points de terminaison de service.You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

  • Sécurisation de l’accès du service Azure localement :Securing Azure service access from on-premises:

    Par défaut, les ressources du service Azure sécurisées pour des réseaux virtuels ne sont pas accessibles à partir des réseaux locaux.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Si vous souhaitez autoriser le trafic depuis un réseau local, vous devez également autoriser les adresses IP publiques (généralement NAT) à partir de vos circuits locaux ou ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Ces adresses IP peuvent être ajoutées via la configuration du pare-feu IP des ressources du service Azure.These IP addresses can be added through the IP firewall configuration for Azure service resources.

    ExpressRoute : Si vous utilisez ExpressRoute localement, pour le Peering public ou Microsoft, vous devez identifier les adresses IP NAT (traduction d’adresses réseau) utilisées.ExpressRoute: If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Pour l’homologation publique, chaque circuit ExpressRoute utilise par défaut deux adresses IP NAT qui sont appliquées au trafic de service Azure lorsque le trafic entre dans le réseau principal de Microsoft Azure.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Pour l’homologation Microsoft, les adresses IP NAT qui sont utilisées sont fournies par le client ou par le fournisseur de services.For Microsoft peering, the NAT IP address(es) that are used are either customer provided or are provided by the service provider. Pour autoriser l’accès à vos ressources de votre service, vous devez autoriser ces adresses IP publiques dans le paramètre de pare-feu IP de ressource. To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Pour obtenir les adresses IP de votre circuit ExpressRoute de peering public, ouvrez un ticket de support avec ExpressRoute via le portail Azure. To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Découvrez d’autres informations sur l’homologation publique et Microsoft NAT pour ExpressRoute.Learn more about NAT for ExpressRoute public and Microsoft peering.

Sécurisation des services Azure pour des réseaux virtuels

ConfigurationConfiguration

  • Les points de terminaison de service sont configurés sur un sous-réseau dans un réseau virtuel.Service endpoints are configured on a subnet in a virtual network. Les points de terminaison fonctionnent avec n’importe quel type d’instances de calcul en cours d’exécution dans ce sous-réseau.Endpoints work with any type of compute instances running within that subnet.
  • Vous pouvez configurer plusieurs points de terminaison de service pour tous les services Azure pris en charge (par exemple, Stockage Azure ou Azure SQL Database) sur un sous-réseau.You can configure multiple service endpoints for all supported Azure services (Azure Storage, or Azure SQL Database, for example) on a subnet.
  • Pour Azure SQL Database, les réseaux virtuels doivent être dans la même région que la ressource de service Azure.For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. Si vous utilisez les comptes de stockage Azure GRS et RA-GRS, le compte principal doit être dans la même région que le réseau virtuel.If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. Pour tous les autres services, les ressources du service Azure peuvent être sécurisées sur les réseaux virtuels de n’importe quelle région.For all other services, Azure service resources can be secured to virtual networks in any region.
  • Le réseau virtuel dans lequel est configuré le point de terminaison peut être dans le même abonnement ou dans un abonnement différent de celui de la ressource du service Azure.The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. Pour plus d’informations sur les autorisations requises pour la configuration de points de terminaison et la sécurisation des services Azure, consultez Approvisionnement.For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • Pour les services pris en charge, vous pouvez sécuriser des ressources nouvelles ou existantes pour des réseaux virtuels à l’aide de points de terminaison de service.For supported services, you can secure new or existing resources to virtual networks using service endpoints.

ConsidérationsConsiderations

  • Après l’activation d’un point de terminaison de service, les adresses IP source des machines virtuelles dans le sous-réseau passent de l’utilisation des adresses IPv4 publiques à l’utilisation de leur adresse IPv4 privée, lors de la communication avec le service à partir de ce sous-réseau.After enabling a service endpoint, the source IP addresses of virtual machines in the subnet switch from using public IPv4 addresses to using their private IPv4 address, when communicating with the service from that subnet. Toute connexion TCP ouverte existante pour le service sera fermée lors de ce changement.Any existing open TCP connections to the service are closed during this switch. Assurez-vous qu’aucune tâche critique n’est en cours d’exécution lors de l’activation ou de la désactivation d’un point de terminaison de service à un service pour un sous-réseau.Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. En outre, assurez-vous que vos applications peuvent se connecter automatiquement aux services Azure après le changement d’adresse IP.Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    Le changement d’adresse IP affecte uniquement le trafic de service à partir de votre réseau virtuel.The IP address switch only impacts service traffic from your virtual network. L’impact sur tout autre trafic adressé vers ou depuis des adresses IPv4 publiques affectées à vos machines virtuelles est inexistant.There is no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Si vous possédez des règles de pare-feu existantes à l’aide d’adresses IP publiques Azure pour les services Azure, ces règles cessent de fonctionner avec le changement pour les adresses privées de réseau virtuel.For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • Avec les points de terminaison de service, les entrées DNS pour les services Azure ne sont pas modifiées et continuent de résoudre les adresses IP assignées au service Azure.With service endpoints, DNS entries for Azure services remain as-is today, and continue to resolve to public IP addresses assigned to the Azure service.

  • Groupes de sécurité réseau (NSG) avec points de terminaison de service :Network security groups (NSGs) with service endpoints:

    • Par défaut, les groupes de sécurité réseau autorisent le trafic Internet sortant. Ainsi, ils peuvent également autoriser le trafic à partir de votre réseau virtuel vers les services Azure.By default, NSGs allow outbound Internet traffic and so, also allow traffic from your VNet to Azure services. Ce processus continue de fonctionner ainsi, avec les points de terminaison de service.This continues to work as is, with service endpoints.
    • Si vous souhaitez refuser tout trafic Internet sortant et autoriser le trafic uniquement vers des services Azure spécifiques, vous pouvez le faire avec « Balises de service Azure » dans vos groupes de sécurité réseau.If you want to deny all outbound Internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. Vous pouvez spécifier les services Azure pris en charge en tant que destination dans vos règles de groupe de sécurité réseau. La maintenance des adresses IP sous-tendant chaque balise est fournie par Azure.You can specify supported Azure services as destination in your NSG rules and the maintenance of IP addresses underlying each tag is provided by Azure. Pour plus d’informations, voir Balises de Service Azure pour les groupes de sécurité réseau.For more information, see Azure Service tags for NSGs.

ScénariosScenarios

  • Réseaux virtuels appariés, connectés ou multiples : afin de sécuriser les services Azure pour plusieurs sous-réseaux au sein d’un réseau virtuel ou sur plusieurs réseaux virtuels, vous pouvez activer les points de terminaison de service sur chacun des sous-réseaux indépendamment et sécuriser les ressources de service Azure pour l’ensemble des sous-réseaux.Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • Filtrage du trafic sortant vers les services Azure à partir du réseau virtuel : si vous souhaitez inspecter ou filtrer le trafic destiné à un service Azure à partir d’un réseau virtuel, vous pouvez déployer une appliance virtuelle réseau au sein du réseau virtuel.Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Vous pouvez ensuite appliquer des points de terminaison de service au sous-réseau sur lequel est déployée l’appliance virtuelle réseau et sécuriser les ressources de service Azure uniquement pour ce sous-réseau.You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. Ce scénario peut être utile si vous souhaitez restreindre l’accès aux services Azure à partir de votre réseau virtuel uniquement pour des ressources Azure spécifiques, à l’aide du filtrage de l’appliance virtuelle réseau.This scenario might be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources, using network virtual appliance filtering. Pour plus d’informations, consultez la section relative à la sortie avec les appliances virtuelles réseau.For more information, see egress with network virtual appliances.
  • Sécurisation des ressources Azure pour les services déployés directement dans les réseaux virtuels : divers services Azure peuvent être déployés directement dans des sous-réseaux spécifiques au sein d’un réseau virtuel.Securing Azure resources to services deployed directly into virtual networks: Various Azure services can be directly deployed into specific subnets in a virtual network. Vous pouvez sécuriser les ressources du service Azure pour les sous-réseaux du service administré en configurant un point de terminaison de service sur le sous-réseau de service administré.You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Trafic de disques à partir d’une machine virtuelle Azure : le trafic des disques de machine virtuelle (y compris montage et démontage, E/S disque), pour les disques gérés/non gérés, n’est pas affecté par la modification du routage des points de terminaison de service pour le Stockage Azure.Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic (including mount and unmount, diskIO), for managed/unmanaged disks, is not affected by service endpoints routing changes for Azure Storage. Vous pouvez limiter l’accès REST aux objets blob de page pour sélectionner les réseaux, via des points de terminaison de service et les règles de réseau de stockage Azure.You can limit REST access to page blobs to select networks, through service endpoints and Azure Storage network rules.

Journalisation et résolution des problèmesLogging and troubleshooting

Une fois que les points de terminaison de service sont configurés pour un service spécifique, vérifiez que l’itinéraire de point de terminaison de service est activé en procédant comme suit :Once service endpoints are configured to a specific service, validate that the service endpoint route is in effect by:

  • Validation de l’adresse IP source de toute demande de service dans les diagnostics du service.Validating the source IP address of any service request in the service diagnostics. Toutes les nouvelles demandes avec les points de terminaison de service affichent l’adresse IP source de la demande en tant qu’adresse IP privée du réseau virtuel, attribuée au client qui effectue la demande à partir de votre réseau virtuel.All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. Sans le point de terminaison, cette adresse est une adresse IP publique Azure.Without the endpoint, the address is an Azure public IP address.
  • Affichage des itinéraires effectifs sur n’importe quelle interface réseau d’un sous-réseau.Viewing the effective routes on any network interface in a subnet. L’itinéraire jusqu’au service :The route to the service:
    • affiche un itinéraire par défaut plus spécifique jusqu’aux plages de préfixes d’adresses de chaque service ;Shows a more specific default route to address prefix ranges of each service
    • possède un type de tronçon VirtualNetworkServiceEndpoint ;Has a nextHopType of VirtualNetworkServiceEndpoint
    • indique qu’une connexion plus directe pour le service est appliquée, par rapport à n’importe quel tunneling forcé.Indicates that a more direct connection to the service is in effect, compared to any forced-tunneling routes

Notes

Les itinéraires de point de terminaison de service remplacent tout itinéraire BGP ou UDR pour la correspondance de préfixe d’adresse d’un service Azure.Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. En savoir plus sur la résolution des problèmes liés aux routages effectifsLearn more about troubleshooting with effective routes

ApprovisionnementProvisioning

Les points de terminaison de service peuvent être configurés indépendamment sur les réseaux virtuels par un utilisateur avec accès en écriture à un réseau virtuel.Service endpoints can be configured on virtual networks independently, by a user with write access to a virtual network. Afin de sécuriser les ressources du service Azure pour un réseau virtuel, l’utilisateur doit disposer des autorisations pour Microsoft.Network/JoinServicetoaSubnet pour les sous-réseaux à ajouter.To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/JoinServicetoaSubnet for the subnets being added. Cette autorisation est incluse par défaut dans les rôles d’administrateur de service fédérés et peut être modifiée en créant des rôles personnalisés.This permission is included in the built-in service administrator roles, by default and can be modified by creating custom roles.

Apprenez-en davantage sur les rôles intégrés et l’affectation d’autorisations spécifiques aux rôles personnalisés.Learn more about built-in roles and assigning specific permissions to custom roles.

Les réseaux virtuels et les ressources du service Azure peuvent être dans des abonnements identiques ou différents.Virtual networks and Azure service resources can be in the same or different subscriptions. Si le réseau virtuel et les ressources de service Azure se trouvent dans différents abonnements, les ressources doivent être sous le même client Active Directory (AD).If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

Tarification et limitesPricing and limits

L’utilisation de points de terminaison de service n’engendre pas de frais supplémentaires.There is no additional charge for using service endpoints. Le modèle tarifaire actuel pour les services Azure (Stockage Azure, Azure SQL Database, etc.) reste le même.The current pricing model for Azure services (Azure Storage, Azure SQL Database etc.) applies as is today.

Il n’existe aucune limite sur le nombre total de points de terminaison de service dans un réseau virtuel.There is no limit on the total number of service endpoints in a virtual network.

Certains services Azure, tels que les comptes de stockage Azure, peuvent appliquer des limites sur le nombre de sous-réseaux utilisés pour la sécurisation de la ressource.Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. Pour en savoir plus, reportez-vous à la documentation pour les différents services dans Étapes suivantes.Refer to the documentation for various services in Next steps for details.

Stratégies de points de terminaison de service de réseau virtuelVirtual Network Service Endpoint Policies

Les stratégies de points de terminaison de service de réseau virtuel permettent de filtrer le trafic de réseau virtuel vers les services Azure, en autorisant uniquement des ressources de service Azure spécifiques, sur les points de terminaison de service.Virtual Network service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources, over service endpoints. Les stratégies de points de terminaison de service fournissent un contrôle d’accès granulaire pour le trafic de réseau virtuel vers les services Azure.Service endpoint policies provide granular access control for virtual network traffic to Azure services. Informations supplémentaires : Stratégies de points de terminaison de service de réseau virtuelMore Info: Virtual Network Service Endpoint Policies

FAQFAQs

Pour des questions fréquentes, consultez les FAQ de point de terminaison de service de réseau virtuelFor FAQs, look at Virtual Network Service Endpoint FAQs

Étapes suivantesNext steps