Endpoint servizio di rete virtualeVirtual Network service endpoints

Gli endpoint di servizio della rete virtuale (VNet) estendono lo spazio di indirizzi privato della rete virtuale.Virtual Network (VNet) service endpoints extend your virtual network private address space. Gli endpoint estendono anche l'identità della VNet ai servizi di Azure tramite una connessione diretta.The endpoints also extend the identity of your VNet to the Azure services over a direct connection. Gli endpoint consentono di associare le risorse critiche dei servizi di Azure solo alle proprie reti virtuali.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Il traffico che transita dalla rete virtuale al servizio di Azure rimane sempre nella rete backbone di Microsoft Azure.Traffic from your VNet to the Azure service always remains on the Microsoft Azure backbone network.

Questa funzionalità è disponibile per i servizi e le aree di Azure seguenti.This feature is available for the following Azure services and regions. La risorsa Microsoft.* è racchiusa tra parentesi.The Microsoft.* resource is in parenthesis. Abilitare questa risorsa dal lato subnet durante la configurazione degli endpoint di servizio per il servizio:Enable this resource from the subnet side while configuring service endpoints for your service:

Disponibile a livello generaleGenerally available

Anteprima pubblicaPublic Preview

  • Azure container Registry (Microsoft. ContainerRegistry): anteprima disponibile in tutte le aree di Azure in cui è disponibile Azure container Registry.Azure Container Registry (Microsoft.ContainerRegistry): Preview available in all Azure regions where Azure Container Registry is available.

Per le notifiche più aggiornate, vedere la pagina Aggiornamenti della rete virtuale di Azure.For the most up-to-date notifications, check the Azure Virtual Network updates page.

Vantaggi principaliKey benefits

Gli endpoint di servizio offrono i vantaggi seguenti:Service endpoints provide the following benefits:

  • Sicurezza migliorata per le risorse dei servizi di Azure: gli spazi degliindirizzi privati VNet possono sovrapporsi.Improved security for your Azure service resources: VNet private address spaces can overlap. Non è possibile usare spazi sovrapposti per identificare in modo univoco il traffico originato dal VNet.You can't use overlapping spaces to uniquely identify traffic that originates from your VNet. Gli endpoint di servizio offrono la possibilità di proteggere le risorse dei servizi di Azure nella rete virtuale estendendo l'identità VNet al servizio.Service endpoints provide the ability to secure Azure service resources to your virtual network by extending VNet identity to the service. Una volta abilitati gli endpoint di servizio nella rete virtuale, è possibile aggiungere una regola della rete virtuale per proteggere le risorse dei servizi di Azure nella rete virtuale.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network. L'aggiunta della regola offre una maggiore sicurezza rimuovendo completamente l'accesso Internet pubblico alle risorse e consentendo il traffico solo dalla rete virtuale.The rule addition provides improved security by fully removing public internet access to resources and allowing traffic only from your virtual network.

  • Routing ottimale per il traffico del servizio di Azure dalla rete virtuale: attualmente, le route nella rete virtuale che forzano il traffico Internet verso le appliance locali e/o virtuali forzano anche il traffico del servizio di Azure ad adottare la stessa route del traffico Internet.Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances also force Azure service traffic to take the same route as the internet traffic. Gli endpoint di servizio forniscono il routing ottimale per il traffico di Azure.Service endpoints provide optimal routing for Azure traffic.

    Gli endpoint instradano sempre il traffico del servizio direttamente dalla rete virtuale al servizio nella rete backbone di Microsoft Azure.Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Mantenendo il traffico nella rete backbone di Azure è possibile continuare a monitorare e verificare il traffico Internet in uscita dalle reti virtuali, tramite il tunneling forzato, senza conseguenze per il traffico del servizio.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. Per altre informazioni sulle route definite dall'utente e sul tunneling forzato, vedere routing del traffico di rete virtuale di Azure.For more information about user-defined routes and forced-tunneling, see Azure virtual network traffic routing.

  • Semplice da configurare con un minor overhead di gestione: non sono più necessari indirizzi IP pubblici riservati nelle reti virtuali per proteggere le risorse di Azure attraverso il firewall IP.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. Non sono necessari dispositivi NAT (Network Address Translation) o gateway per configurare gli endpoint del servizio.There are no Network Address Translation (NAT) or gateway devices required to set up the service endpoints. È possibile configurare gli endpoint di servizio tramite un semplice clic su una subnet.You can configure service endpoints through a simple click on a subnet. Non è previsto un sovraccarico aggiuntivo per la gestione degli endpoint.There's no additional overhead to maintaining the endpoints.

LimitazioniLimitations

  • La funzionalità è disponibile solo per le reti virtuali distribuite con il modello di distribuzione Azure Resource Manager.The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • Gli endpoint vengono abilitati nelle subnet configurate nelle reti virtuali di Azure.Endpoints are enabled on subnets configured in Azure virtual networks. Gli endpoint non possono essere usati per il traffico dalla propria sede ai servizi di Azure.Endpoints can't be used for traffic from your premises to Azure services. Per altre informazioni, vedere proteggere l'accesso ai servizi di Azure dall'ambiente localeFor more information, see Secure Azure service access from on-premises
  • Per SQL di Azure, un endpoint di servizio si applica solo al traffico del servizio di Azure nell'area della rete virtuale.For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. Per archiviazione di Azure, gli endpoint si estendono anche per includere aree abbinate in cui si distribuisce la rete virtuale per supportare l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) e il traffico di archiviazione con ridondanza geografica (GRS).For Azure Storage, endpoints also extend to include paired regions where you deploy the virtual network to support Read-Access Geo-Redundant Storage (RA-GRS) and Geo-Redundant Storage (GRS) traffic. Per altre informazioni, vedere Aree abbinate di Azure.For more information, see Azure paired regions.
  • Per Azure Data Lake Storage (ADLS) gen 1, la funzionalità di integrazione VNet è disponibile solo per le reti virtuali all'interno della stessa area.For Azure Data Lake Storage (ADLS) Gen 1, the VNet Integration capability is only available for virtual networks within the same region. Si noti anche che l'integrazione della rete virtuale per ADLS Gen1 usa la sicurezza degli endpoint di servizio della rete virtuale tra la rete virtuale e la Azure Active Directory (Azure AD) per generare attestazioni di sicurezza aggiuntive nel token di accesso.Also note that virtual network integration for ADLS Gen1 uses the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Queste attestazioni vengono quindi usate per autenticare la rete virtuale nell'account Data Lake Storage Gen1 e consentire l'accesso.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Il tag Microsoft. AzureActiveDirectory elencato in servizi che supportano gli endpoint servizio viene usato solo per supportare gli endpoint di servizio per ADLS generazione 1.The Microsoft.AzureActiveDirectory tag listed under services supporting service endpoints is used only for supporting service endpoints to ADLS Gen 1. Azure AD non supporta gli endpoint di servizio in modo nativo.Azure AD doesn't support service endpoints natively. Per ulteriori informazioni sull'integrazione di Azure Data Lake Store generazione 1 VNet, vedere sicurezza di rete in Azure Data Lake storage Gen1.For more information about Azure Data Lake Store Gen 1 VNet integration, see Network security in Azure Data Lake Storage Gen1.

Proteggere i servizi di Azure in reti virtualiSecure Azure services to virtual networks

  • Un endpoint servizio di rete virtuale fornisce l'identità della rete virtuale al servizio di Azure.A virtual network service endpoint provides the identity of your virtual network to the Azure service. Una volta abilitati gli endpoint di servizio nella rete virtuale, è possibile aggiungere una regola della rete virtuale per proteggere le risorse dei servizi di Azure nella rete virtuale.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network.

  • Il traffico del servizio di Azure da una rete virtuale usa attualmente indirizzi IP pubblici come indirizzi IP di origine.Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. Con gli endpoint di servizio, il traffico del servizio passa all'uso di indirizzi privati della rete virtuale come indirizzi IP di origine per l'accesso al servizio di Azure dalla rete virtuale.With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. Questa opzione consente di accedere ai servizi senza che siano necessari gli indirizzi IP pubblici riservati usati nei firewall IP.This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

    Nota

    Con gli endpoint di servizio, gli indirizzi IP di origine delle macchine virtuali nella subnet per il traffico del servizio passano da indirizzi IPv4 pubblici a indirizzi IPv4 privati.With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. Dopo questo passaggio, le regole del firewall dei servizi di Azure esistenti che usano indirizzi IP pubblici di Azure smettono di funzionare.Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. Prima di configurare endpoint di servizio, assicurarsi che le regole del firewall dei servizi di Azure consentano questo passaggio.Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. Durante la configurazione degli endpoint di servizio, può anche verificarsi un'interruzione temporanea del traffico dei servizi da questa subnet.You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

Proteggere l'accesso ai servizi di Azure dall'ambiente localeSecure Azure service access from on-premises

Per impostazione predefinita, le risorse del servizio di Azure protette per le reti virtuali non sono raggiungibili da reti locali.By default, Azure service resources secured to virtual networks aren't reachable from on-premises networks. Se si vuole consentire il traffico dall'ambiente locale, è necessario autorizzare anche gli indirizzi IP pubblici (generalmente NAT) dall'ambiente locale o da ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. È possibile aggiungere questi indirizzi IP tramite la configurazione del firewall IP per le risorse dei servizi di Azure.You can add these IP addresses through the IP firewall configuration for Azure service resources.

ExpressRoute: se si usa ExpressRoute per il peering pubblico o il peering Microsoft dalla propria sede, è necessario identificare gli indirizzi IP NAT che si sta usando.ExpressRoute: If you're using ExpressRoute for public peering or Microsoft peering from your premises, you'll need to identify the NAT IP addresses that you're using. Per il peering pubblico, ogni circuito ExpressRoute usa due indirizzi IP NAT, per impostazione predefinita, applicato al traffico del servizio di Azure quando il traffico entra nel backbone di rete Microsoft Azure.For public peering, each ExpressRoute circuit uses two NAT IP addresses, by default, applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Per il peering Microsoft, gli indirizzi IP NAT sono forniti dal cliente o forniti dal provider di servizi.For Microsoft peering, the NAT IP addresses are either customer provided or provided by the service provider. Per consentire l'accesso alle risorse del servizio, è necessario consentire questi indirizzi IP pubblici nell'impostazione del firewall IP delle risorse. To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Per trovare gli indirizzi IP del circuito ExpressRoute di peering pubblico, aprire un ticket di supporto con ExpressRoute tramite il portale di Azure. To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Per altre informazioni su NAT per il peering pubblico e Microsoft ExpressRoute, vedere requisiti NAT di ExpressRoute.For more information about NAT for ExpressRoute public and Microsoft peering, see ExpressRoute NAT requirements.

Associazione di servizi di Azure a reti virtuali

ConfigurazioneConfiguration

  • Configurare gli endpoint di servizio in una subnet in una rete virtuale.Configure service endpoints on a subnet in a virtual network. Gli endpoint funzionano con qualsiasi tipo di istanza di calcolo in esecuzione in tale subnet.Endpoints work with any type of compute instances running within that subnet.
  • È possibile configurare più endpoint di servizio per tutti i servizi di Azure supportati (ad esempio, archiviazione di Azure o database SQL di Azure) in una subnet.You can configure multiple service endpoints for all supported Azure services (Azure Storage or Azure SQL Database, for example) on a subnet.
  • Per Database SQL di Azure, le reti virtuali devono trovarsi nella stessa area della risorsa del servizio di Azure.For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. Se si usano account di archiviazione di Azure GRS e RA-GRS, l'account principale deve trovarsi nella stessa area della rete virtuale.If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. Per tutti gli altri servizi, è possibile proteggere le risorse dei servizi di Azure nelle reti virtuali di qualsiasi area.For all other services, you can secure Azure service resources to virtual networks in any region.
  • La rete virtuale in cui è configurato l'endpoint può trovarsi nella stessa sottoscrizione della risorsa del servizio di Azure o in una sottoscrizione diversa.The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. Per altre informazioni sulle autorizzazioni necessarie per configurare gli endpoint e proteggere i servizi di Azure, vedere la sezione Provisioning.For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • Per i servizi supportati, è possibile associare risorse nuove o esistenti alle reti virtuali tramite gli endpoint di servizio.For supported services, you can secure new or existing resources to virtual networks using service endpoints.

ConsiderazioniConsiderations

  • Dopo aver abilitato un endpoint di servizio, gli indirizzi IP di origine delle macchine virtuali nell'opzione della subnet.After enabling a service endpoint, the source IP addresses of virtual machines in the subnet switch. Gli indirizzi IP di origine passano dall'uso di indirizzi IPv4 pubblici all'uso dell'indirizzo IPv4 privato durante la comunicazione con il servizio da tale subnet.The source IP addresses switch from using public IPv4 addresses to using their private IPv4 address when communicating with the service from that subnet. Eventuali connessioni TCP aperte per il servizio vengono chiuse durante questo passaggio.Any existing open TCP connections to the service are closed during this switch. Verificare che non siano in esecuzione attività critiche quando si abilita o disabilita un endpoint di servizio per un servizio in una subnet.Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. Assicurarsi anche che le applicazioni possano connettersi automaticamente ai servizi di Azure dopo il cambio di indirizzo IP.Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    Il cambio di indirizzo IP interessa solo il traffico del servizio dalla propria rete virtuale.The IP address switch only impacts service traffic from your virtual network. Non vi è alcun effetto su altri traffici indirizzati a o dagli indirizzi IPv4 pubblici assegnati alle macchine virtuali.There's no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Per i servizi di Azure, se sono presenti regole del firewall che usano indirizzi IP pubblici di Azure, queste regole smetteranno di funzionare con il passaggio agli indirizzi privati della rete virtuale.For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • Con gli endpoint di servizio, le voci DNS per i servizi di Azure rimangono invariate oggi e continuano a risolversi in indirizzi IP pubblici assegnati al servizio di Azure.With service endpoints, DNS entries for Azure services remain as-is today and continue to resolve to public IP addresses assigned to the Azure service.

  • Gruppi di sicurezza di rete (NGS) con gli endpoint di servizio:Network security groups (NSGs) with service endpoints:

    • Per impostazione predefinita, gruppi consente il traffico Internet in uscita e consente anche il traffico dalla VNet ai servizi di Azure.By default, NSGs allow outbound internet traffic and also allow traffic from your VNet to Azure services. Questo traffico continua a funzionare con gli endpoint del servizio così come sono.This traffic continues to work with service endpoints as is.
    • Se si vuole negare tutto il traffico Internet in uscita e consentire solo il traffico verso servizi di Azure specifici, è possibile usare i tag di servizio in gruppi.If you want to deny all outbound internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. È possibile specificare i servizi di Azure supportati come destinazione nelle regole NSG e Azure fornisce anche la manutenzione degli indirizzi IP sottostanti ogni tag.You can specify supported Azure services as destination in your NSG rules and Azure also provides the maintenance of IP addresses underlying each tag. Per altre informazioni, vedere Tag del servizio di Azure per i gruppi di sicurezza di rete.For more information, see Azure Service tags for NSGs.

ScenariScenarios

  • Reti virtuali con peering, connesse o multiple: per associare i servizi di Azure a più subnet in una o più reti virtuali, è possibile abilitare gli endpoint di servizio in modo indipendente in ognuna di queste subnet e associare le risorse dei servizi di Azure a tutte queste subnet.Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • Filtrare il traffico in uscita da una rete virtuale ai servizi di Azure: se si vuole controllare o filtrare il traffico inviato a un servizio di Azure da una rete virtuale, è possibile distribuire un'appliance virtuale di rete all'interno della rete virtuale.Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic sent to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Sarà quindi possibile applicare gli endpoint di servizio alla subnet in cui è distribuita l'appliance virtuale di rete e associare le risorse del servizio di Azure solo a questa subnet.You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. Questo scenario può essere utile se si vuole usare il filtro dell'appliance virtuale di rete per limitare l'accesso ai servizi di Azure dalla rete virtuale solo a risorse di Azure specifiche.This scenario might be helpful if you want use network virtual appliance filtering to restrict Azure service access from your virtual network only to specific Azure resources. Per altre informazioni, vedere il traffico in uscita con le appliance virtuali di rete.For more information, see egress with network virtual appliances.
  • Protezione delle risorse di Azure per i servizi distribuiti direttamente in reti virtuali: è possibile distribuire direttamente diversi servizi di Azure in subnet specifiche in una rete virtuale.Securing Azure resources to services deployed directly into virtual networks: You can directly deploy various Azure services into specific subnets in a virtual network. È possibile associare le risorse dei servizi di Azure a subnet di servizi gestiti, configurando un endpoint di servizio nella subnet del servizio gestito.You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Traffico del disco da una macchina virtuale di Azure: il traffico del disco della macchina virtuale per i dischi gestiti e non gestiti non è influenzato dagli endpoint del servizio che instradano le modifiche per archiviazione di Azure.Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic for managed and unmanaged disks isn't affected by service endpoints routing changes for Azure Storage. Questo traffico include diskIO, oltre a montare e smontare.This traffic includes diskIO as well as mount and unmount. È possibile limitare l'accesso REST ai BLOB di pagine per selezionare le reti tramite gli endpoint di servizio e le regole di rete di archiviazione di Azure.You can limit REST access to page blobs to select networks through service endpoints and Azure Storage network rules.

Registrazione e risoluzione dei problemiLogging and troubleshooting

Una volta configurati gli endpoint di servizio per un servizio specifico, verificare che la route dell'endpoint di servizio sia attiva da:Once you configure service endpoints to a specific service, validate that the service endpoint route is in effect by:

  • Convalida dell'indirizzo IP di origine di qualsiasi richiesta di servizio nella diagnostica del servizio.Validating the source IP address of any service request in the service diagnostics. Tutte le nuove richieste con gli endpoint di servizio mostrano l'indirizzo IP di origine della richiesta come indirizzo IP privato della rete virtuale, assegnato al client che effettua la richiesta dalla rete virtuale.All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. Senza l'endpoint, questo indirizzo sarà un indirizzo IP pubblico di Azure.Without the endpoint, the address is an Azure public IP address.
  • Visualizzazione delle route valide in qualsiasi interfaccia di rete di una subnet.Viewing the effective routes on any network interface in a subnet. La route per il servizio:The route to the service:
    • Mostra una route predefinita più specifica per l'intervallo dei prefissi di indirizzo di ogni servizioShows a more specific default route to address prefix ranges of each service
    • Ha nextHopType con valore VirtualNetworkServiceEndpointHas a nextHopType of VirtualNetworkServiceEndpoint
    • Indica che è attiva una connessione più diretta al servizio rispetto alle route di tunneling forzatoIndicates that a more direct connection to the service is in effect compared to any forced-tunneling routes

Nota

La route dell'endpoint di servizio sostituisce qualsiasi route BGP o UDR per la corrispondenza dei prefissi di indirizzo di un servizio di Azure.Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. Per ulteriori informazioni, vedere risoluzione dei problemi con route valide.For more information, see troubleshooting with effective routes.

ProvisioningProvisioning

Gli endpoint di servizio possono essere configurati in reti virtuali indipendentemente da un utente con accesso in scrittura a una rete virtuale.Service endpoints can be configured on virtual networks independently by a user with write access to a virtual network. Per proteggere le risorse dei servizi di Azure in una VNet, l'utente deve disporre delle autorizzazioni per Microsoft. Network/virtualNetworks/Subnets/joinViaServiceEndpoint/Action per le subnet aggiunte.To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the added subnets. Per impostazione predefinita, i ruoli di amministratore del servizio incorporati includono questa autorizzazione.The built-in service administrator roles include this permission by default. Per modificare l'autorizzazione, è possibile creare ruoli personalizzati.You can modify the permission by creating custom roles.

Per altre informazioni sui ruoli predefiniti, vedere ruoli predefiniti per le risorse di Azure.For more information about built-in roles, see Built-in roles for Azure resources. Per altre informazioni sull'assegnazione di autorizzazioni specifiche ai ruoli personalizzati, vedere ruoli personalizzati per le risorse di Azure.For more information about assigning specific permissions to custom roles, see Custom roles for Azure resources.

Le reti virtuali e le risorse dei servizi di Azure possono trovarsi nella stessa sottoscrizione o in sottoscrizioni diverse.Virtual networks and Azure service resources can be in the same or different subscriptions. Se la rete virtuale e le risorse dei servizi di Azure si trovano in sottoscrizioni diverse, le risorse devono trovarsi nello stesso tenant di Active Directory (AD).If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

Prezzi e limitiPricing and limits

Non sono previsti costi aggiuntivi per l'uso degli endpoint di servizio.There's no additional charge for using service endpoints. Il modello di determinazione dei prezzi corrente per i servizi di Azure (archiviazione di Azure, database SQL di Azure e così via) si applica così com'è oggi.The current pricing model for Azure services (Azure Storage, Azure SQL Database, etc.) applies as-is today.

Non esiste alcun limite al numero totale di endpoint di servizio in una rete virtuale.There's no limit on the total number of service endpoints in a virtual network.

Alcuni servizi di Azure, ad esempio gli account di archiviazione di Azure, possono applicare limiti al numero di subnet usate per la protezione della risorsa.Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. Per informazioni dettagliate, vedere la documentazione relativa a diversi servizi nella sezione passaggi successivi .Refer to the documentation for various services in the Next steps section for details.

Criteri dell'endpoint del servizio VNetVNet service endpoint policies

I criteri dell'endpoint del servizio VNet consentono di filtrare il traffico di rete virtuale ai servizi di Azure.VNet service endpoint policies allow you to filter virtual network traffic to Azure services. Questo filtro consente solo risorse specifiche del servizio di Azure sugli endpoint di servizio.This filter allows only specific Azure service resources over service endpoints. I criteri degli endpoint di servizio forniscono un controllo granulare dell'accesso per il traffico di rete virtuale verso i servizi di Azure.Service endpoint policies provide granular access control for virtual network traffic to Azure services. Per ulteriori informazioni, vedere criteri di endpoint del servizio rete virtuale.For more information, see Virtual Network Service Endpoint Policies.

Domande frequentiFAQs

Per domande frequenti, vedere domande frequenti sull'endpoint di servizio di rete virtuale.For FAQs, see Virtual Network Service Endpoint FAQs.

Passaggi successiviNext steps