O que é o ponto de extremidade privado do Azure?What is Azure Private Endpoint?

O ponto de extremidade privado do Azure é uma interface de rede que conecta você de forma privada e segura a um serviço com tecnologia do Link Privado do Azure.Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. O ponto de extremidade privado usa um endereço IP privado de sua VNet, colocando efetivamente o serviço em sua VNet.Private Endpoint uses a private IP address from your VNet, effectively bringing the service into your VNet. O serviço pode ser um serviço do Azure, como o armazenamento do Azure, Azure Cosmos DB, SQL, etc. ou seu próprio serviço de link privado.The service could be an Azure service such as Azure Storage, Azure Cosmos DB, SQL, etc. or your own Private Link Service.

Propriedades do ponto de extremidade privadoPrivate Endpoint properties

Um ponto de extremidade privado especifica as seguintes propriedades:A Private Endpoint specifies the following properties:

PropriedadeProperty DescriçãoDescription
NomeName Um nome exclusivo dentro do grupo de recursos.A unique name within the resource group.
Sub-redeSubnet A sub-rede para implantar e alocar endereços IP privados de uma rede virtual.The subnet to deploy and allocate private IP addresses from a virtual network. Para obter os requisitos de sub-rede, consulte a seção limitações neste artigo.For subnet requirements, see the Limitations section in this article.
Recurso de link privadoPrivate Link Resource O recurso de link privado para se conectar usando a ID de recurso ou alias da lista de tipos disponíveis.The private link resource to connect using resource ID or alias, from the list of available types. Um identificador de rede exclusivo será gerado para todo o tráfego enviado para esse recurso.A unique network identifier will be generated for all traffic sent to this resource.
Subrecurso de destinoTarget subresource O subrecurso a ser conectado.The subresource to connect. Cada tipo de recurso de link privado tem opções diferentes para selecionar com base na preferência.Each private link resource type has different options to select based on preference.
Método de aprovação de conexãoConnection approval method Automático ou manual.Automatic or manual. Com base nas permissões de RBAC (controle de acesso baseado em função), seu ponto de extremidade privado pode ser aprovado automaticamente.Based on role-based access control (RBAC) permissions, your private endpoint can be approved automatically. Se você tentar se conectar a um recurso de link privado sem RBAC, use o método manual para permitir que o proprietário do recurso aprove a conexão.If you try to connect to a private link resource without RBAC, use the manual method to allow the owner of the resource to approve the connection.
Mensagem de SolicitaçãoRequest Message Você pode especificar uma mensagem para que as conexões solicitadas sejam aprovadas manualmente.You can specify a message for requested connections to be approved manually. Essa mensagem pode ser usada para identificar uma solicitação específica.This message can be used to identify a specific request.
Status da conexãoConnection status Uma propriedade somente leitura que especifica se o ponto de extremidade privado está ativo.A read-only property that specifies if the private endpoint is active. Somente pontos de extremidade privados em um Estado aprovado podem ser usados para enviar tráfego.Only private endpoints in an approved state can be used to send traffic. Outros Estados disponíveis:Additional states available:
-aprovado: a conexão foi aprovada automaticamente ou manualmente e está pronta para ser usada.-Approved: Connection was automatically or manually approved and is ready to be used.

-pendente: a conexão foi criada manualmente e está aguardando a aprovação do proprietário do recurso de link privado.-Pending: Connection was created manually and is pending approval by the private link resource owner.

-rejeitado: a conexão foi rejeitada pelo proprietário do recurso de link privado.-Rejected: Connection was rejected by the private link resource owner.

-desconectado: a conexão foi removida pelo proprietário do recurso de link privado.-Disconnected: Connection was removed by the private link resource owner. O ponto de extremidade privado se torna informativo e deve ser excluído para limpeza.The private endpoint becomes informative and should be deleted for cleanup.

Aqui estão alguns detalhes importantes sobre pontos de extremidade privados:Here are some key details about private endpoints:

  • O ponto de extremidade privado permite a conectividade entre os consumidores da mesma VNet, VNets emparelhadas de modo global e no local usando VPN ou rota expressa e serviços fornecidos por um link privado.Private endpoint enables connectivity between the consumers from the same VNet, regionally peered VNets, globally peered VNets and on premises using VPN or Express Route and services powered by Private Link.

  • Ao criar um ponto de extremidade privado, uma interface de rede também é criada para o ciclo de vida do recurso.When creating a private endpoint, a network interface is also created for the lifecycle of the resource. A interface recebe um endereço IP privado da sub-rede que mapeia para o serviço de vínculo privado.The interface is assigned a private IP address from the subnet that maps to the Private Link Service.

  • O ponto de extremidade privado deve ser implantado na mesma região que a rede virtual.The private endpoint must be deployed in the same region as the virtual network.

  • O recurso de link privado pode ser implantado em uma região diferente da rede virtual e do ponto de extremidade privado.The private link resource can be deployed in a different region than the virtual network and private endpoint.

  • Vários pontos de extremidade privados podem ser criados usando o mesmo recurso de link privado.Multiple private endpoints can be created using the same private link resource. Para uma única rede usando uma configuração de servidor DNS comum, a prática recomendada é usar um único ponto de extremidade privado para um determinado recurso de link privado para evitar entradas duplicadas ou conflitos na resolução de DNS.For a single network using a common DNS server configuration, the recommended practice is to use a single private endpoint for a given private link resource to avoid duplicate entries or conflicts in DNS resolution.

  • Vários pontos de extremidade privados podem ser criados nas mesmas ou em sub-redes diferentes na mesma rede virtual.Multiple private endpoints can be created on the same or different subnets within the same virtual network. Há limites para o número de pontos de extremidade privados que você pode criar em uma assinatura.There are limits to the number of private endpoints you can create in a subscription. Para obter detalhes, consulte limites do Azure.For details, see Azure limits.

Um recurso de link privado é o destino de destino de um determinado ponto de extremidade particular.A private link resource is the destination target of a given private endpoint. A seguir está uma lista de tipos de recursos de link privado disponíveis:The following is a list of available private link resource types:

Nome do recurso do link privadoPrivate link resource name Tipo de recursoResource type Sub-recursosSubresources
Serviço de vínculo privado (seu próprio serviço)Private Link Service (Your own service) Microsoft. Network/privateLinkServicesMicrosoft.Network/privateLinkServices emptyempty
Banco de Dados SQL do AzureAzure SQL Database Microsoft.Sql/serversMicrosoft.Sql/servers SQL Server (sqlServer)Sql Server (sqlServer)
Análise de Synapse do AzureAzure Synapse Analytics Microsoft.Sql/serversMicrosoft.Sql/servers SQL Server (sqlServer)Sql Server (sqlServer)
Armazenamento do AzureAzure Storage Microsoft.Storage/storageAccountsMicrosoft.Storage/storageAccounts BLOB (BLOB, blob_secondary)Blob (blob, blob_secondary)
Tabela (tabela, table_secondary)Table (table, table_secondary)
Fila (fila, queue_secondary)Queue (queue, queue_secondary)
Arquivo (arquivo, file_secondary)File (file, file_secondary)
Web (Web, web_secondary)Web (web, web_secondary)
Azure Data Lake Storage Gen2Azure Data Lake Storage Gen2 Microsoft.Storage/storageAccountsMicrosoft.Storage/storageAccounts BLOB (BLOB, blob_secondary)Blob (blob, blob_secondary)
Data Lake sistema de arquivos Gen2 (DFS, dfs_secondary)Data Lake File System Gen2 (dfs, dfs_secondary)
Azure Cosmos DBAzure Cosmos DB Microsoft. AzureCosmosDB/databaseAccountsMicrosoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, tabelaSql, MongoDB, Cassandra, Gremlin, Table
Banco de dados do Azure para PostgreSQL-servidor únicoAzure Database for PostgreSQL -Single server Microsoft.DBforPostgreSQL/serversMicrosoft.DBforPostgreSQL/servers postgresqlServerpostgresqlServer
Banco de Dados do Azure para MySQLAzure Database for MySQL Microsoft.DBforMySQL/serversMicrosoft.DBforMySQL/servers mysqlServermysqlServer
Banco de Dados do Azure para MariaDBAzure Database for MariaDB Microsoft.DBforMariaDB/serversMicrosoft.DBforMariaDB/servers mariadbServermariadbServer
Cofre da Chave do AzureAzure Key Vault Microsoft.KeyVault/vaultsMicrosoft.KeyVault/vaults cofrevault

Segurança de rede de pontos de extremidade privadosNetwork security of private endpoints

Ao usar pontos de extremidade privados para serviços do Azure, o tráfego é protegido para um recurso de link particular específico.When using private endpoints for Azure services, traffic is secured to a specific private link resource. A plataforma executa um controle de acesso para validar conexões de rede que atingem apenas o recurso de link particular especificado.The platform performs an access control to validate network connections reaching only the specified private link resource. Para acessar recursos adicionais dentro do mesmo serviço do Azure, são necessários pontos de extremidade privados adicionais.To access additional resources within the same Azure service, additional private endpoints are required.

Você pode bloquear completamente suas cargas de trabalho de acessar pontos de extremidade públicos para se conectar a um serviço do Azure com suporte.You can completely lock down your workloads from accessing public endpoints to connect to a supported Azure service. Esse controle fornece uma camada de segurança de rede adicional para seus recursos, fornecendo uma proteção interna do vazamento que impede o acesso a outros recursos hospedados no mesmo serviço do Azure.This control provides an additional network security layer to your resources by providing a built-in exfiltration protection that prevents access to other resources hosted on the same Azure service.

Você pode se conectar a um recurso de link privado usando os seguintes métodos de aprovação de conexão:You can connect to a private link resource using the following connection approval methods:

  • Aprovado automaticamente quando você possui ou tem permissão no recurso de link particular específico.Automatically approved when you own or have permission on the specific private link resource. A permissão necessária é baseada no tipo de recurso de link privado no seguinte formato: Microsoft. Provedor de<>/< resource_type >/privateEndpointConnectionApproval/actionThe permission required is based on the private link resource type in the following format: Microsoft.<Provider>/<resource_type>/privateEndpointConnectionApproval/action
  • Solicitação manual quando você não tem a permissão necessária e deseja solicitar acesso.Manual request when you don't have the permission required and would like to request access. Um fluxo de trabalho de aprovação será iniciado.An approval workflow will be initiated. O ponto de extremidade privado e a conexão do ponto de extremidade particular subsequente serão criados em um estado "Pendente".The private endpoint and subsequent private endpoint connection will be created in a "Pending" state. O proprietário do recurso de link privado é responsável por aprovar a conexão.The private link resource owner is responsible to approve the connection. Depois de aprovado, o ponto de extremidade privado é habilitado para enviar o tráfego normalmente, conforme mostrado no diagrama de fluxo de trabalho de aprovação a seguir.After it's approved, the private endpoint is enabled to send traffic normally, as shown in the following approval workflow diagram.

aprovação do fluxo de trabalho

O proprietário do recurso de link privado pode executar as seguintes ações em uma conexão de ponto de extremidade particular:The private link resource owner can perform the following actions over a private endpoint connection:

  • Examine todos os detalhes de conexões do ponto de extremidade privado.Review all private endpoint connections details.
  • Aprove uma conexão de ponto de extremidade particular.Approve a private endpoint connection. O ponto de extremidade privado correspondente será habilitado para enviar o tráfego para o recurso de link privado.The corresponding private endpoint will be enabled to send traffic to the private link resource.
  • Rejeite uma conexão de ponto de extremidade privada.Reject a private endpoint connection. O ponto de extremidade privado correspondente será atualizado para refletir o status.The corresponding private endpoint will be updated to reflect the status.
  • Exclua uma conexão de ponto de extremidade particular em qualquer Estado.Delete a private endpoint connection in any state. O ponto de extremidade privado correspondente será atualizado com um estado desconectado para refletir a ação, o proprietário do ponto de extremidade privado só poderá excluir o recurso neste ponto.The corresponding private endpoint will be updated with a disconnected state to reflect the action, the private endpoint owner can only delete the resource at this point.

Observação

Somente um ponto de extremidade privado em um Estado aprovado pode enviar tráfego para um determinado recurso de link privado.Only a private endpoint in an approved state can send traffic to a given private link resource.

Conectando usando aliasConnecting using Alias

Alias é um moniker exclusivo gerado quando o proprietário do serviço cria o serviço de vínculo privado por trás de um balanceador de carga padrão.Alias is a unique moniker that is generated when the service owner creates the private link service behind a standard load balancer. O proprietário do serviço pode compartilhar esse alias com seus consumidores offline.Service owner can share this Alias with their consumers offline. Os consumidores podem solicitar uma conexão com o serviço de vínculo privado usando o URI do recurso ou o alias.Consumers can request a connection to private link service using either the resource URI or the Alias. Se você quiser se conectar usando o alias, deverá criar um ponto de extremidade privado usando o método de aprovação de conexão manual.If you want to connect using Alias, you must create private endpoint using manual connection approval method. Para usar o método de aprovação de conexão manual, defina o parâmetro de solicitação manual como true durante o fluxo de criação do ponto de extremidade privado.For using manual connection approval method, set manual request parameter to true during private endpoint create flow. Examine New-AzPrivateEndpoint e AZ Network Private-Endpoint Create para obter detalhes.Look at New-AzPrivateEndpoint and az network private-endpoint create for details.

Configuração de DNSDNS configuration

Ao se conectar a um recurso de link privado usando um FQDN (nome de domínio totalmente qualificado) como parte da cadeia de conexão, é importante definir corretamente as configurações de DNS para resolver o endereço IP privado alocado.When connecting to a private link resource using a fully qualified domain name (FQDN) as part of the connection string, it's important to correctly configure your DNS settings to resolve to the allocated private IP address. Os serviços do Azure existentes já podem ter uma configuração de DNS para usar ao se conectar por meio de um ponto de extremidade público.Existing Azure services might already have a DNS configuration to use when connecting over a public endpoint. Isso precisa ser substituído para se conectar usando seu ponto de extremidade privado.This needs to be overridden to connect using your private endpoint.

O adaptador de rede associado ao ponto de extremidade privado contém o conjunto completo de informações necessárias para configurar o DNS, incluindo endereços IP privados e FQDN alocados para um determinado recurso de link privado.The network interface associated with the private endpoint contains the complete set of information required to configure your DNS, including FQDN and private IP addresses allocated for a given private link resource.

Você pode usar as seguintes opções para definir as configurações de DNS para pontos de extremidade privados:You can use the following options to configure your DNS settings for private endpoints:

  • Use o arquivo de host (recomendado apenas para teste) .Use the Host file (only recommended for testing). Você pode usar o arquivo de host em uma máquina virtual para substituir o DNS.You can use the host file on a virtual machine to override the DNS.
  • Use uma zona DNS privada.Use a private DNS zone. Você pode usar zonas DNS privadas para substituir a resolução DNS para um determinado ponto de extremidade particular.You can use private DNS zones to override the DNS resolution for a given private endpoint. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver domínios específicos.A private DNS zone can be linked to your virtual network to resolve specific domains.
  • Use seu servidor DNS personalizado.Use your custom DNS server. Você pode usar seu próprio servidor DNS para substituir a resolução DNS para um determinado recurso de link privado.You can use your own DNS server to override the DNS resolution for a given private link resource. Se o servidor DNS estiver hospedado em uma rede virtual, você poderá criar uma regra de encaminhamento de DNS para usar uma zona DNS privada para simplificar a configuração de todos os recursos de link privado.If your DNS server is hosted on a virtual network, you can create a DNS forwarding rule to use a private DNS zone to simplify the configuration for all private link resources.

Importante

Não é recomendável substituir uma zona que esteja ativamente em uso para resolver pontos de extremidade públicos.It's not recommended to override a zone that is actively in use to resolve public endpoints. As conexões com recursos não poderão ser resolvidas corretamente sem o encaminhamento de DNS para o DNS público.Connections to resources won't be able to resolve correctly without DNS forwarding to the public DNS. Para evitar problemas, crie um nome de domínio diferente ou siga o nome sugerido para cada serviço abaixo.To avoid issues, create a different domain name or follow the suggested name for each service below.

Para os serviços do Azure, use os nomes de zona recomendados, conforme descrito na tabela a seguir:For Azure services, use the recommended zone names as described in the following table:

Tipo de recurso de link privadoPrivate Link resource type SubrecursosSubresource Nome da zonaZone name
Banco de BD SQL/DW (Microsoft. SQL/Servers)SQL DB/DW (Microsoft.Sql/servers) SQL Server (sqlServer)Sql Server (sqlServer) privatelink.database.windows.netprivatelink.database.windows.net
Conta de armazenamento (Microsoft. Storage/storageAccounts)Storage Account (Microsoft.Storage/storageAccounts) BLOB (BLOB, blob_secondary)Blob (blob, blob_secondary) privatelink.blob.core.windows.netprivatelink.blob.core.windows.net
Conta de armazenamento (Microsoft. Storage/storageAccounts)Storage Account (Microsoft.Storage/storageAccounts) Tabela (tabela, table_secondary)Table (table, table_secondary) privatelink.table.core.windows.netprivatelink.table.core.windows.net
Conta de armazenamento (Microsoft. Storage/storageAccounts)Storage Account (Microsoft.Storage/storageAccounts) Fila (fila, queue_secondary)Queue (queue, queue_secondary) privatelink.queue.core.windows.netprivatelink.queue.core.windows.net
Conta de armazenamento (Microsoft. Storage/storageAccounts)Storage Account (Microsoft.Storage/storageAccounts) Arquivo (arquivo, file_secondary)File (file, file_secondary) privatelink.file.core.windows.netprivatelink.file.core.windows.net
Conta de armazenamento (Microsoft. Storage/storageAccounts)Storage Account (Microsoft.Storage/storageAccounts) Web (Web, web_secondary)Web (web, web_secondary) privatelink.web.core.windows.netprivatelink.web.core.windows.net
Data Lake sistema de arquivos Gen2 (Microsoft. Storage/storageAccounts)Data Lake File System Gen2 (Microsoft.Storage/storageAccounts) Data Lake sistema de arquivos Gen2 (DFS, dfs_secondary)Data Lake File System Gen2 (dfs, dfs_secondary) privatelink.dfs.core.windows.netprivatelink.dfs.core.windows.net
Azure Cosmos DB (Microsoft. AzureCosmosDB/databaseAccounts)Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) SQLSQL privatelink.documents.azure.comprivatelink.documents.azure.com
Azure Cosmos DB (Microsoft. AzureCosmosDB/databaseAccounts)Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) MongoDBMongoDB privatelink.mongo.cosmos.azure.comprivatelink.mongo.cosmos.azure.com
Azure Cosmos DB (Microsoft. AzureCosmosDB/databaseAccounts)Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) CassandraCassandra privatelink.cassandra.cosmos.azure.comprivatelink.cassandra.cosmos.azure.com
Azure Cosmos DB (Microsoft. AzureCosmosDB/databaseAccounts)Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) GremlinGremlin privatelink.gremlin.cosmos.azure.comprivatelink.gremlin.cosmos.azure.com
Azure Cosmos DB (Microsoft. AzureCosmosDB/databaseAccounts)Azure Cosmos DB (Microsoft.AzureCosmosDB/databaseAccounts) TableTable privatelink.table.cosmos.azure.comprivatelink.table.cosmos.azure.com
Banco de dados do Azure para PostgreSQL-servidor único (Microsoft. DBforPostgreSQL/Servers)Azure Database for PostgreSQL - Single server (Microsoft.DBforPostgreSQL/servers) postgresqlServerpostgresqlServer privatelink.postgres.database.azure.comprivatelink.postgres.database.azure.com
Banco de dados do Azure para MySQL (Microsoft. DBforMySQL/Servers)Azure Database for MySQL (Microsoft.DBforMySQL/servers) mysqlServermysqlServer privatelink.mysql.database.azure.comprivatelink.mysql.database.azure.com
Banco de dados do Azure para MariaDB (Microsoft. DBforMariaDB/Servers)Azure Database for MariaDB (Microsoft.DBforMariaDB/servers) mariadbServermariadbServer privatelink.mariadb.database.azure.comprivatelink.mariadb.database.azure.com
Azure Key Vault (Microsoft. keyvault/cofres)Azure Key Vault (Microsoft.KeyVault/vaults) cofrevault privatelink.vaultcore.azure.netprivatelink.vaultcore.azure.net

O Azure criará um registro DNS de nome canônico (CNAME) no DNS público para redirecionar a resolução para os nomes de domínio sugeridos.Azure will create a canonical name DNS record (CNAME) on the public DNS to redirect the resolution to the suggested domain names. Você poderá substituir a resolução pelo endereço IP privado dos seus pontos de extremidade privados.You'll be able to override the resolution with the private IP address of your private endpoints.

Seus aplicativos não precisam alterar a URL de conexão.Your applications don't need to change the connection URL. Ao tentar resolver usando um DNS público, o servidor DNS agora será resolvido para seus pontos de extremidade privados.When attempting to resolve using a public DNS, the DNS server will now resolve to your private endpoints. O processo não afeta seus aplicativos.The process does not impact your applications.

LimitaçõesLimitations

A tabela a seguir inclui uma lista de limitações conhecidas ao usar pontos de extremidade privados:The following table includes a list of known limitations when using private endpoints:

LimitaçõesLimitation DescriçãoDescription AtenuaçãoMitigation
As regras do NSG (grupo de segurança de rede) e as rotas definidas pelo usuário não se aplicam ao ponto de extremidade privadoNetwork Security Group (NSG) rules and User Defined Routes do not apply to Private Endpoint Não há suporte para NSG em pontos de extremidade privados.NSG is not supported on private endpoints. Embora as sub-redes que contenham o ponto de extremidade privado possam ter NSG associado a ela, as regras não serão efetivas no tráfego processado pelo ponto de extremidade privado.While subnets containing the private endpoint can have NSG associated with it, the rules will not be effective on traffic processed by the private endpoint. Você deve ter imposição de políticas de rede desabilitada para implantar pontos de extremidade privados em uma sub-rede.You must have network policies enforcement disabled to deploy private endpoints in a subnet. O NSG ainda é imposto em outras cargas de trabalho hospedadas na mesma sub-rede.NSG is still enforced on other workloads hosted on the same subnet. As rotas em qualquer sub-rede do cliente usarão um prefixo/32, alterando o comportamento de roteamento padrão requer um UDR semelhanteRoutes on any client subnet will be using an /32 prefix, changing the default routing behavior requires a similar UDR Controle o tráfego usando regras de NSG para o tráfego de saída em clientes de origem.Control the traffic by using NSG rules for outbound traffic on source clients. Implante rotas individuais com o prefixo/32 para substituir rotas de ponto de extremidade particulares.Deploy individual routes with /32 prefix to override private endpoint routes. Logs de fluxo NSG e informações de monitoramento para conexões de saída ainda têm suporte e podem ser usadasNSG Flow logs and monitoring information for outbound connections are still supported and can be used

{1>{2>Próximas etapas<2}<1}Next steps