Service-eindpunten voor virtueel netwerk

Virtual Network service-eindpunt (VNet) biedt beveiligde en directe connectiviteit met Azure-services via een geoptimaliseerde route via het Backbone-netwerk van Azure. Met eindpunten kunt u uw kritieke Azure-serviceresources alleen beveiligen naar uw virtuele netwerken. Met service-eindpunten kunnen privé-IP-adressen in het VNet het eindpunt van een Azure-service bereiken zonder dat er een openbaar IP-adres op het VNet nodig is.

Notitie

Microsoft raadt het gebruik van Azure Private Link voor beveiligde en persoonlijke toegang tot services die worden gehost op het Azure-platform. Zie voor meer informatie Azure Private Link.

Service-eindpunten zijn beschikbaar voor de volgende Azure-services en -regio's. De resource * Microsoft. staat tussen haakjes. Schakel deze resource in vanaf het subnet tijdens het configureren van service-eindpunten voor uw service:

Algemeen beschikbaar

  • Azure Storage (Microsoft.Storage): algemeen beschikbaar in alle Azure-regio's.
  • Azure SQL Database (Microsoft.Sql): algemeen verkrijgbaar in alle Azure-regio's.
  • Azure Synapse Analytics (Microsoft.Sql): algemeen beschikbaar in alle Azure-regio's voor toegewezen SQL-pools (voorheen SQL DW).
  • Azure Database for PostgreSQL server (Microsoft.Sql): algemeen beschikbaar in Azure-regio's waar de databaseservice beschikbaar is.
  • Azure Database for MySQL server (Microsoft.Sql): algemeen beschikbaar in Azure-regio's waar de databaseservice beschikbaar is.
  • Azure Database for MariaDB (Microsoft.Sql): algemeen beschikbaar in Azure-regio's waar de databaseservice beschikbaar is.
  • Azure Cosmos DB (Microsoft.AzureCosmosDB): algemeen beschikbaar in alle Azure-regio's.
  • Azure Key Vault (Microsoft.KeyVault): algemeen beschikbaar in alle Azure-regio's.
  • Azure Service Bus (Microsoft.ServiceBus): algemeen beschikbaar in alle Azure-regio's.
  • Azure Event Hubs (Microsoft.EventHub): algemeen verkrijgbaar in alle Azure-regio's.
  • Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory): algemeen beschikbaar in alle Azure-regio's waar ADLS Gen1 beschikbaar is.
  • Azure App Service (Microsoft.Web): algemeen beschikbaar in alle Azure-regio's waar App Service beschikbaar is.
  • Azure Cognitive Services (Microsoft.CognitiveServices): algemeen beschikbaar in alle Azure-regio's waar Cognitive Services beschikbaar zijn.

Openbare preview

  • Azure Container Registry (Microsoft.ContainerRegistry): Preview is beschikbaar in beperkte Azure-regio's waar Azure Container Registry beschikbaar is.

Voor de meest recente meldingen raadpleegt u de pagina Azure Virtual Network-updates.

Belangrijkste voordelen

Service-eindpunten bieden de volgende voordelen:

  • Verbeterde beveiliging voor uw Azure-servicebronnen: privé-VNet-adresruimten kunnen overlappen. U kunt overlappende ruimten niet gebruiken om verkeer dat afkomstig is van uw VNet uniek te identificeren. Service-eindpunten bieden de mogelijkheid om Azure-servicebronnen naar uw virtuele netwerk te beveiligen door VNet-identiteit uit te breiden naar de service. Zodra u service-eindpunten in uw virtuele netwerk hebt ingeschakeld, kunt u een regel voor een virtueel netwerk toevoegen om de Azure-servicebronnen te beveiligen in uw virtuele netwerk. De toevoeging van de regel biedt verbeterde beveiliging door de openbare internettoegang tot resources volledig te verwijderen en alleen verkeer van uw virtuele netwerk toe te staan.

  • Optimale routering voor Azure-serviceverkeer vanaf uw virtuele netwerk: tegenwoordig wordt voor routes in uw virtuele netwerk die internetverkeer naar uw on-premises en/of virtuele apparaten forceer, ook afgedwongen dat verkeer van de Azure-service dezelfde route neemt als internetverkeer. Service-eindpunten bieden een optimale routering voor Azure-verkeer.

    Eindpunten zorgen er altijd voor dat serviceverkeer rechtstreeks van uw virtuele netwerk naar de service op het Microsoft Azure-backbone-netwerk gaat. Door het verkeer op het Azure-backbone-netwerk in stand te houden, kunt u het uitgaande internetverkeer vanuit uw virtuele netwerk blijven controleren en bewaken via geforceerd tunnelen, zonder dat dit van invloed is op het serviceverkeer. Zie Verkeersroutering voor virtuele Azure-netwerken voor meer informatie over door de gebruiker gedefinieerde routes en geforceerd tunnelen.

  • Eenvoudig te installeren met minder beheeroverhead: u hebt geen gereserveerde, openbare IP-adressen meer nodig in uw virtuele netwerken om Azure-resources via een IP-firewall te beveiligen. Er zijn geen NAT-apparaten (Network Address Translation) of gatewayapparaten vereist om de service-eindpunten in te stellen. U kunt service-eindpunten configureren met een eenvoudige klik op een subnet. Er is geen extra overhead voor het onderhouden van de eindpunten.

Beperkingen

  • De functie is alleen beschikbaar voor virtuele netwerken die zijn geïmplementeerd met behulp van het Azure Resource Manager-implementatiemodel.
  • Eindpunten worden ingeschakeld in subnetten die zijn geconfigureerd in virtuele Azure-netwerken. Eindpunten kunnen niet worden gebruikt voor verkeer van uw locatie naar Azure-services. Zie Toegang tot Azure-service beveiligen vanaf on-premises voor meer informatie
  • Voor Azure SQL geldt een service-eindpunt alleen voor Azure-serviceverkeer binnen de regio van een virtueel netwerk. Voor Azure Storage worden eindpunten ook uitgebreid naar gekoppelde regio's waar u het virtuele netwerk implementeert ter ondersteuning van Read-Access Geo-Redundant Storage-verkeer (RA-GRS) en Geo-Redundant Storage (GRS). Zie Gekoppelde Azure-regio's voor meer informatie.
  • Voor Azure Data Lake Storage (ADLS) Gen 1 is de VNet-integratiemogelijkheid alleen beschikbaar voor virtuele netwerken binnen dezelfde regio. Houd er ook rekening mee dat de integratie van virtuele netwerken voor ADLS Gen1 gebruikmaakt van de service-eindpuntbeveiliging voor virtuele netwerken tussen uw virtuele netwerk en Azure Active Directory (Azure AD) om extra beveiligingsclaims te genereren in het toegangs token. Deze claims worden vervolgens gebruikt om het virtuele netwerk te verifiëren bij het Data Lake Storage Gen1-account en toegang toe te staan. De tag Microsoft.AzureActiveDirectory die wordt vermeld onder services die service-eindpunten ondersteunen, wordt alleen gebruikt voor het ondersteunen van service-eindpunten voor ADLS Gen 1. Azure AD biedt geen native ondersteuning voor service-eindpunten. Zie Netwerkbeveiliging in Azure Data Lake Data Lake Store Gen1 voor meer informatie over VNet-integratie met Azure Storage Gen1.

Azure-services naar virtuele netwerken beveiligen

  • Een service-eindpunt voor een virtueel netwerk biedt de identiteit van het virtuele netwerk voor de Azure-service. Zodra u service-eindpunten in uw virtuele netwerk hebt ingeschakeld, kunt u een regel voor een virtueel netwerk toevoegen om de Azure-servicebronnen te beveiligen in uw virtuele netwerk.

  • Tegenwoordig maakt Azure-serviceverkeer vanaf een virtueel netwerk gebruik van openbare IP-adressen als IP-bronadressen. Bij gebruik van service-eindpunten schakelt serviceverkeer over op het gebruik van privéadressen van virtuele netwerken als bron-IP-adressen bij het toegang krijgen tot de Azure-service vanuit een virtueel netwerk. Hierdoor hebt u toegang tot de services zonder dat u gereserveerde openbare IP-adressen nodig hebt die worden gebruikt in IP-firewalls.

    Notitie

    Met service-eindpunten worden de IP-bronadressen van de virtuele machines in het subnet voor serviceverkeer overgeschakeld van het gebruik van openbare IPv4-adressen naar IPv4-privéadressen. Bestaande firewallregels voor Azure-service die gebruikmaken van openbare IP-adressen werken na deze overschakeling niet meer. Zorg ervoor dat deze overschakeling is toegestaan op basis van de firewallregels voor Azure-service vóórdat u de service-eindpunten instelt. Er kan ook een tijdelijke onderbreking in het serviceverkeer van dit subnet optreden tijdens het configureren van de service-eindpunten.

Toegang tot Azure-service beveiligen vanaf on-premises

Standaard zijn Azure-serviceresources die naar virtuele netwerken zijn beveiligd, niet bereikbaar vanaf on-premises netwerken. Als u verkeer van on-premises wilt toestaan, moet u ook openbare (meestal NAT) IP-adressen van uw on-premises of ExpressRoute toestaan. U kunt deze IP-adressen toevoegen via de IP-firewallconfiguratie voor Azure-servicebronnen.

ExpressRoute: als u ExpressRoute gebruikt voor openbare peering of Microsoft-peering vanaf uw locatie, moet u de NAT IP-adressen identificeren die u gebruikt. Voor openbare peering gebruikt elk ExpressRoute-circuit twee NAT IP-adressen die standaard worden toegepast op Azure-serviceverkeer wanneer het verkeer de Microsoft Azure netwerk-backbone binnenkomt. Voor Microsoft-peering worden de NAT-IP-adressen geleverd door de klant of door de serviceprovider. Voor toegang tot uw serviceresources moet u deze openbare IP-adressen toestaan in de instelling voor IP-firewall voor de resource. Wanneer u op zoek bent naar de IP-adressen van uw ExpressRoute-circuit voor openbare peering, opent u een ondersteuningsticket met ExpressRoute via de Azure-portal. Zie ExpressRoute NAT-vereistenvoor meer informatie over NAT voor openbare ExpressRoute-peering en Microsoft-peering.

Azure-services aan virtuele netwerken koppelen

Configuratie

  • Configureer service-eindpunten in een subnet in een virtueel netwerk. Eindpunten werken met alle soorten rekenprocessen die worden uitgevoerd in dat subnet.
  • U kunt meerdere service-eindpunten configureren voor alle ondersteunde Azure-services (bijvoorbeeld Azure Storage of Azure SQL Database) op een subnet.
  • Voor Azure SQL Database moeten virtuele netwerken zich in dezelfde regio bevinden als de Azure-serviceresource. Als u Azure Storage-accounts voor GRS en RA-GRS gebruikt, moet het hoofdaccount zich in dezelfde regio bevinden als het virtuele netwerk. Voor alle andere services kunt u Azure-servicebronnen naar virtuele netwerken in elke regio beveiligen.
  • Het virtuele netwerk waar het eindpunt is geconfigureerd, kan zich in hetzelfde abonnement bevinden als de Azure-serviceresource, maar ook in een ander abonnement. Zie Inrichten voor meer informatie over de benodigde machtigingen voor het instellen van eindpunten en het koppelen van Azure-services.
  • Voor ondersteunde services kunt u nieuwe of bestaande resources koppelen aan virtuele netwerken met behulp van service-eindpunten.

Overwegingen

  • Nadat een service-eindpunt is inschakelen, schakelen de bron-IP-adressen van het gebruik van openbare IPv4-adressen naar het gebruik van hun privé-IPv4-adres bij het communiceren met de service vanaf dat subnet. Bestaande open TCP-verbindingen met de service worden hierbij gesloten. Zorg ervoor dat er geen kritieke taken worden uitgevoerd wanneer u een service-eindpunt voor een service voor een subnet in- of uitschakelt. Zorg er ook voor dat uw toepassingen automatisch verbinding kunnen maken met Azure-services nadat de wisseling van IP-adres heeft plaatsgevonden.

    Het wisselen van IP-adres heeft alleen gevolgen voor het serviceverkeer vanuit uw virtuele netwerk. Er is geen invloed op ander verkeer dat is geadresseerd aan of van de openbare IPv4-adressen die zijn toegewezen aan uw virtuele machines. Als u voor Azure-services bestaande firewallregels hebt waarin gebruik wordt gemaakt van openbare IP-adressen voor Azure, werken deze regels niet meer nadat is overgeschakeld op privéadressen van virtuele netwerken.

  • Met service-eindpunten blijven DNS-vermeldingen voor Azure-services zoals ze nu zijn en worden ze nog steeds opgelost naar openbare IP-adressen die zijn toegewezen aan de Azure-service.

  • Netwerkbeveiligingsgroepen (NSG's) met de service-eindpunten:

    • NSG's staan standaard uitgaand internetverkeer toe en staan ook verkeer van uw VNet naar Azure-services toe. Dit verkeer blijft gewoon werken met service-eindpunten.
    • Als u al het uitgaande internetverkeer wilt weigeren en alleen verkeer naar specifieke Azure-services wilt toestaan, kunt u dit doen met behulp van servicetags in uw NSG's. U kunt ondersteunde Azure-services opgeven als doel in uw NSG-regels en Azure biedt ook het onderhoud van IP-adressen die onderliggend zijn voor elke tag. Zie Azure-servicelabels voor NSG's voor meer informatie.

Scenario's

  • Virtuele netwerken met peers, verbonden of meerdere virtuele netwerken: als u Azure-services wilt koppelen aan meerdere subnetten binnen een virtueel netwerk of aan meerdere virtuele netwerken, kunt u in elk van de subnetten service-eindpunten inschakelen en de Azure-serviceresources vervolgens aan al deze subnetten koppelen.
  • Uitgaand verkeer van een virtueel netwerk naar Azure-services filteren: als u het verkeer dat vanuit een virtueel netwerk naar een Azure-service wordt verzonden, wilt inspecteren of filteren, kunt u een virtueel netwerkapparaat binnen het virtuele netwerk implementeren. U kunt dan service-eindpunten toepassen op het subnet waarop het virtueel-netwerkapparaat is geïmplementeerd en Azure-serviceresources alleen koppelen aan dit subnet. Dit scenario kan handig zijn als u filteren van virtuele netwerkapparaat wilt gebruiken om de toegang van de Azure-service vanuit uw virtuele netwerk te beperken tot specifieke Azure-resources. Zie Egress with network virtual appliances (Uitgaand verkeer met virtueel-netwerkapparaten) voor meer informatie.
  • Azure-resources beveiligen naar services die rechtstreeks in virtuele netwerken zijn geïmplementeerd: u kunt verschillende Azure-services rechtstreeks implementeren in specifieke subnetten in een virtueel netwerk. U kunt Azure-serviceresources koppelen aan subnetten voor beheerde services door een service-eindpunt in te stellen in het subnet van deze beheerde services.
  • Schijfverkeer van een virtuele Machine van Azure: Schijfverkeer van virtuele machine voor beheerde en on beheerde schijven wordt niet beïnvloed door wijzigingen in de routering van service-eindpunten voor Azure Storage. Dit verkeer omvat diskIO, evenals het aan- en ontkoppelen. U kunt REST-toegang tot pagina-blobs beperken om netwerken te selecteren via service-eindpunten en Azure Storage netwerkregels.

Logboekregistratie en problemen oplossen

Zodra u service-eindpunten voor een specifieke service hebt geconfigureerd, controleert u of de service-eindpuntroute van kracht is door:

  • Valideer het IP-bronadres van een serviceaanvraag in servicediagnose. In alle nieuwe aanvragen met service-eindpunten wordt het IP-bronadres voor de aanvraag weergegeven als het privéadres van het virtuele netwerk, toegewezen aan de client die de aanvraag vanuit uw virtuele netwerk uitvoert. Zonder het eindpunt is het adres een openbaar IP-adres van Azure.
  • Het weergeven van de effectieve routes in een netwerkinterface in een subnet. De route naar de service:
    • Toont een meer specifieke standaardroute naar de adresvoorvoegselbereiken van elke service
    • Heeft een nextHopType van VirtualNetworkServiceEndpoint
    • Geeft aan dat een meer directe verbinding met de service van kracht is in vergelijking met routes met geforceerd tunnelen

Notitie

Service-eindpuntroute overschrijft BGP- of UDR-routes voor de overeenkomst met het adresvoorvoegsel van een Azure-service. Zie Problemen met effectieve routes oplossen voor meer informatie.

Inrichten

Service-eindpunten kunnen onafhankelijk van elkaar worden geconfigureerd in virtuele netwerken door een gebruiker met schrijftoegang tot een virtueel netwerk. Als u Azure-servicebronnen naar een VNet wilt beveiligen, moet de gebruiker machtigingen hebben voor Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action voor de toegevoegde subnetten. De ingebouwde servicebeheerdersrollen bevatten deze machtiging standaard. U kunt de machtiging wijzigen door aangepaste rollen te maken.

Zie Ingebouwde Azure-rollen voor meer informatie over ingebouwde rollen. Zie Aangepaste Azure-rollen voor meer informatie over het toewijzen van specifieke machtigingen aan aangepaste rollen.

Virtuele netwerken en Azure-serviceresources kunnen binnen hetzelfde abonnement of in verschillende abonnementen aanwezig zijn. Bepaalde Azure-services (niet alle) zoals Azure Storage en Azure Key Vault bieden ook ondersteuning voor service-eindpunten in verschillende Active Directory(AD)-tenants, dat wil zeggen dat het virtuele netwerk en de Azure-serviceresource zich in verschillende Active Directory-tenants (AD) kunnen verplaatsen. Raadpleeg de documentatie van de afzonderlijke service voor meer informatie.

Prijzen en beperkingen

Er zijn geen extra kosten voor het gebruik van service-eindpunten. Het huidige prijsmodel voor Azure-services (Azure Storage, Azure SQL Database, enzovoort) is van toepassing op dit moment.

Er is geen limiet voor het totale aantal service-eindpunten in een virtueel netwerk.

Bepaalde Azure-services, zoals Azure Storage-accounts, kunnen limieten afdwingen voor het aantal subnetten dat wordt gebruikt voor het beveiligen van de resource. Raadpleeg de documentatie voor verschillende services in de sectie Volgende stappen voor meer informatie.

Beleid voor VNet-service-eindpunten

Met beleid voor VNet-service-eindpunten kunt u verkeer van virtuele netwerken naar Azure-services filteren. Met dit filter kunnen alleen specifieke Azure-serviceresources via service-eindpunten worden gebruikt. Beleid voor service-eindpunten zorgt voor nauwkeurig toegangsbeheer voor verkeer van Virtual Network naar Azure-services. Zie Service-Virtual Network voor meer informatie.

Veelgestelde vragen

Zie veelgestelde vragen over service Virtual Network eindpunten voor veelgestelde vragen.

Volgende stappen