Permitir acesso aos namespaces do Barramento de Serviço do Azure por meio de pontos de extremidade privados

O Serviço de Link Privado do Azure permite acessar os Serviços do Azure (por exemplo, o Barramento de Serviço do Azure, o Armazenamento do Azure e o Azure Cosmos DB) e serviços de parceiros/clientes hospedados no Azure em um ponto de extremidade privado da sua rede virtual.

O ponto de extremidade privado é uma interface de rede que conecta você de forma privada e segura a um serviço com tecnologia do Link Privado do Azure. O ponto de extremidade privado usa um endereço IP privado da rede virtual, colocando efetivamente o serviço na sua rede virtual. Todo o tráfego para o serviço pode ser roteado por meio do ponto de extremidade privado; assim, nenhum gateway, nenhum dispositivo NAT, nenhuma conexão ExpressRoute ou VPN e nenhum endereço IP público é necessário. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure, fornecendo o nível mais alto de granularidade no controle de acesso.

Para obter mais informações, confira O que é o Link Privado do Azure?

Pontos importantes

• Esse recurso é compatível com a camada Premium do Barramento de Serviço do Azure. Para saber mais sobre a camada Premium, confira Camadas de mensagens Premium e Standard do Barramento de Serviço.

• Implementar pontos de extremidade privados pode impedir que outros serviços do Azure interajam com Barramento de Serviço. Como exceção, você pode permitir o acesso a recursos de Barramento de Serviço de determinados serviços confiáveis mesmo quando pontos de extremidade privados estiverem habilitadas. Para obter uma lista de serviços confiáveis, confira Serviços confiáveis.

  Os serviços da Microsoft a seguir devem estar em uma rede virtual

  • Serviço de aplicativo do Azure
  • Funções do Azure

• Especifique pelo menos uma regra de IP ou regra de rede virtual para o namespace para permitir o tráfego somente dos endereços IP ou da sub-rede de uma rede virtual especificada. Se não houver nenhuma regra de rede virtual e IP, o namespace poderá ser acessado pela Internet pública (usando a chave de acesso).

Inclusão de um ponto de extremidade privado através do portal do Azure

Pré-requisitos

Para integrar um namespace do Barramento de Serviço ao Link Privado do Azure, você precisará ter as seguintes entidades ou permissões:

• Um namespace do barramento de serviço.
• Uma rede virtual do Azure.
• Uma sub-rede na rede virtual. Você pode usar a sub-rede padrão.
• Permissões de proprietário ou colaborador para o namespace e a rede virtual do Barramento de Serviço.

Seu ponto de extremidade privado e a rede virtual devem estar na mesma região. Quando você selecionar uma região para o ponto de extremidade privado usando o portal, ele filtrará automaticamente apenas as redes virtuais que estiverem nessa região. O namespace do Barramento de Serviço pode estar em uma região diferente. Além disso, seu ponto de extremidade privado usa um endereço IP privado em sua rede virtual.

Configurar o acesso privado durante a criação de um namespace

Ao criar um namespace, você pode permitir acesso somente público (de todas as redes) ou somente privado (somente por meio de pontos de extremidade privados) ao namespace.

Se você selecionar a opção Acesso privado na página Rede do assistente de criação de namespace, poderá adicionar um ponto de extremidade privado na página selecionando o botão + Ponto de extremidade privado. Confira a próxima seção para ver as etapas detalhadas de como adicionar um ponto de extremidade privado.

Configurar o acesso privado para um namespace existente

Se você já tem um namespace, crie um ponto de extremidade privado seguindo estas etapas:

1. Entre no portal do Azure.

2. Na barra de pesquisa, digite Barramento de Serviço.

3. Selecione o namespace na lista à qual você deseja adicionar um ponto de extremidade privado.

4. No menu à esquerda, selecione a opção Rede em Configurações.

   Observação

   Você vê a guia Rede somente para namespaces premium.

5. Na página Rede, para Acesso à rede pública, selecione Desabilitado se desejar que o namespace seja acessado somente por meio de pontos de extremidade privados.

6. Para Permitir que serviços confiáveis da Microsoft ignorem esse firewall, selecione Sim se você quiser permitir que os serviços confiáveis da Microsoft ignorem esse firewall.

   

7. Para permitir o acesso ao namespace por meio de pontos de extremidade privados, selecione a guia Conexões de ponto de extremidade privado na parte superior da página

8. Selecione o botão + Ponto de Extremidade Privado, na parte superior da página.

   

9. Na página Básico, siga estas etapas:

   1. Selecione a Assinatura do Azure na qual você quer criar o ponto de extremidade privado.

   2. Selecione o grupo de recursos para o recurso de ponto de extremidade privado.

   3. Insira um nome para o ponto de extremidade privado.

   4. Digite um nome para o novo adaptador de rede.

   5. Insira uma região para o ponto de extremidade privado. Seu ponto de extremidade privado precisa estar na mesma região da rede virtual, mas pode estar em uma região diferente do recurso de link privado ao qual você está se conectando.

   6. Selecione o botão Avançar: Recurso na parte inferior da página.

      

10. Na página Recurso, examine as configurações e selecione Avançar: rede virtual na parte inferior da página.

    

11. Na página Rede Virtual, selecione a sub-rede em uma rede virtual na qual você deseja implantar o ponto de extremidade privado.

    1. Selecione uma rede virtual. São listadas somente as redes virtuais na assinatura e na localização selecionadas no momento na lista suspensa.
    2. Selecione uma sub-rede na rede virtual selecionada.
    3. Observe que a política de rede para pontos de extremidade privados está desabilitada. Se você quiser habilitá-la, selecione editar, atualize a configuração e selecione Salvar.
    4. Para a Configuração de IP privado, por padrão, a opção Alocar endereço IP dinamicamente está selecionada. Se você quiser atribuir um endereço IP estático, selecione Alocar endereço IP estaticamente*.
    5. Para o Grupo de segurança do aplicativo, selecione um grupo de segurança de aplicativo existente ou crie um que deve ser associado ao ponto de extremidade privado.
    6. Selecione o botão Avançar:DNS> na parte inferior da página.

    

12. Na página DNS, selecione se deseja que o ponto de extremidade privado seja integrado a uma zona DNS privada e selecione Avançar: Marcas.

    

13. Na página Marcas, crie quaisquer marcas (nomes e valores) que você deseja associar ao recurso de ponto de extremidade privado. Em seguida, selecione o botão Revisar + criar na parte inferior da página.

14. Em Revisar + criar, examine todas as configurações e selecione Criar para criar o ponto de extremidade privado.

    

15. Confirme se o ponto de extremidade privado foi criado. Se você for o proprietário do recurso e tiver selecionado a opção Conectar-se a um recurso do Azure no meu diretório como Método de conexão, a conexão do ponto de extremidade será aprovada automaticamente. Se estado no estado pendente, consulte a seção Gerenciar pontos de extremidade privados usando o portal do Azure.

    

Serviços Microsoft confiáveis

Ao habilitar a opção Permitir que os serviços confiáveis da Microsoft ignorem essa configuração de firewall, os seguintes serviços recebem acesso aos seus recursos do Barramento de Serviço.

Serviço confiável	Cenários de uso com suporte
Grade de Eventos do Azure	Permite que a Grade de Eventos do Azure envie eventos para filas ou tópicos no seu namespace do Barramento de Serviço. Também é necessário executar as seguintes etapas: Habilitar a identidade atribuída pelo sistema para um tópico ou domínio Adicionar a identidade à função de remetente de dados do Barramento de Serviço do Azure no namespace do Barramento de Serviço Em seguida, configure a assinatura do evento que usa uma fila ou tópico do Barramento de Serviço como um ponto de extremidade para usar a identidade atribuída pelo sistema. Para obter mais informações, consulte Entrega de eventos com identidade gerenciada
Stream Analytics do Azure	Permite que um trabalho do Azure Stream Analytics gere dados para filas do Barramento de Serviço para tópicos. Importante: o trabalho de Stream Analytics deve ser configurado para usar uma identidade gerenciada para de acessar o namespace do Barramento de Serviço. Adicionar a identidade à função Remetente de Dados do Barramento de Serviço do Azure no namespace do Barramento de Serviço.
Hub IoT do Azure	Permite que um hub IoT envie mensagens para filas ou tópicos no namespace do Barramento de Serviço. Também é necessário executar as seguintes etapas: Habilite a identidade gerenciada atribuída pelo sistema ou pelo usuário no hub IoT. Adicione a identidade à função Remetente de Dados do Barramento de Serviço do Azure no namespace do Barramento de Serviço. Configure o hub IoT que usa uma entidade do Barramento de Serviço como um ponto de extremidade para usar a autenticação baseada em identidade.
Gerenciamento de API do Azure	O serviço de Gerenciamento de API permite o envio de mensagens para uma fila/tópico do Barramento de Serviço no seu namespace do Barramento de Serviço. É possível disparar fluxos de trabalho personalizados enviando mensagens para a fila/tópico do Barramento de Serviço quando uma API é invocada usando a política de solicitação de envio. Também é possível tratar uma fila/tópico do Barramento de Serviço como seu back-end em uma API. Para obter uma política de exemplo, consulte Autenticar usando uma identidade gerenciada para acessar uma fila ou tópico do Barramento de Serviço. Também é necessário executar as seguintes etapas: Habilite a identidade atribuída pelo sistema na instância de Gerenciamento de API. Para obter instruções, consulte Usar identidades gerenciadas no Gerenciamento de API do Azure. Adicionar a identidade à função de remetente de dados do Barramento de Serviço do Azure no namespace do Barramento de Serviço
Azure IoT Central	Permite que o IoT Central exporte dados para filas ou tópicos do Barramento de Serviço em seu namespace do Barramento de Serviço. Também é necessário executar as seguintes etapas: Habilitar a identidade atribuída pelo sistema para o seu aplicativo do IoT Central Adicionar a identidade à função Remetente de Dados do Barramento de Serviço do Azure no namespace do Barramento de Serviço. Em seguida, configure o destino de exportação do Barramento de Serviço em seu aplicativo IoT Central para usar autenticação baseada em identidade.
Gêmeos Digitais do Azure	Permite que os Gêmeos Digitais do Azure enviem dados para tópicos do Barramento de Serviço no namespace do seu Barramento de Serviço. Também é necessário executar as seguintes etapas: Habilite a identidade atribuída pelo sistema para sua instância dos Gêmeos Digitais do Azure. Adicionar a identidade à função Remetente de Dados do Barramento de Serviço do Azure no namespace do Barramento de Serviço. Em seguida, configure um ponto de extremidade dos Gêmeos Digitais do Azure ou uma conexão de histórico de dados dos Gêmeos Digitais do Azure que usa a identidade atribuída pelo sistema para autenticar. Para obter mais informações sobre como configurar pontos de extremidade e rotas de evento para recursos do Barramento de Serviço dos Gêmeos Digitais do Azure, confira Rotear eventos dos Gêmeos Digitais do Azure e Criar pontos de extremidade nos Gêmeos Digitais do Azure.
Azure Monitor (grupos de ações e configurações de diagnóstico)	Permite que o Azure Monitor envie informações de diagnóstico e notificações de alerta para o Barramento de Serviço no namespace do seu Barramento de Serviço. O Azure Monitor pode ler e gravar dados no namespace do Barramento de Serviço.
Azure Synapse	Permite que o Azure Synapse se conecte ao barramento de serviço usando a Identidade Gerenciada do Workspace do Synapse. Adicione as funções de Remetente, Destinatário ou Proprietário de Dados do Barramento de Serviço do Azure à identidade no namespace do Barramento de Serviço.

Os outros serviços confiáveis do Barramento de Serviço do Azure podem ser encontrados abaixo:

• Azure Data Explorer
• Serviços de Dados de Saúde do Azure
• Azure Arc
• Kubernetes do Azure
• Azure Machine Learning
• Microsoft Purview

Para permitir que os serviços confiáveis acessem seu namespace, alterne para a guia Acesso Público na página Rede, e selecione Sim para Permitir que os serviços confiáveis da Microsoft ignorem este firewall?.

Inclusão de um ponto de extremidade privado através do PowerShell

O exemplo a seguir mostra como usar o Azure PowerShell para criar uma conexão de ponto de extremidade privado com um namespace de Barramento de Serviço.

Seu ponto de extremidade privado e a rede virtual devem estar na mesma região. O namespace do Barramento de Serviço pode estar em uma região diferente. Além disso, seu ponto de extremidade privado usa um endereço IP privado em sua rede virtual.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Gerenciamento de pontos de extremidade privados usando o portal do Azure

Quando você cria um ponto de extremidade privado, a conexão deve ser aprovada. Se o recurso para o qual você está criando um ponto de extremidade privado estiver em seu diretório, você pode aprovar a solicitação de conexão desde que tenha permissões suficientes. Se estiver se conectando a um recurso do Azure em outro diretório, você deve aguardar o proprietário desse recurso aprovar a sua solicitação de conexão.

Há quatro estados de provisionamento:

Ação de serviço	Estado de ponto de extremidade privado do consumidor do serviço	Descrição
Nenhum	Pendente	A conexão é criada manualmente e está pendente de aprovação do proprietário do recurso do Link Privado.
Aprovar	Aprovado	A conexão foi aprovada automaticamente ou manualmente e está pronta para ser usada.
Rejeitar	Rejeitado	A conexão foi rejeitada pelo proprietário do recurso do link privado.
Remover	Desconectado	A conexão foi removida pelo proprietário do recurso do link privado, o ponto de extremidade privado se torna informativo e deve ser excluído para limpeza.

Aprovação, rejeição ou remoção de uma conexão de ponto de extremidade privado

1. Entre no portal do Azure.
2. Na barra de pesquisa, digite Barramento de Serviço.
3. Selecione o namespace que você deseja gerenciar.
4. Selecione a guia Rede.
5. Acesse a seção apropriada a seguir com base na operação que você quer: aprovar, rejeitar ou remover.

Aprovação de uma conexão de ponto de extremidade privado

1. Se houver conexões pendentes, você verá uma conexão listada com o estado de provisionamento Pendente.

2. Selecione o ponto de extremidade privado que você deseja aprovar

3. Selecione o botão Aprovar.

   

4. Na página Aprovar conexão, digite um comentário opcional e selecione Sim. Se selecionar Não, nada acontecerá.

   

5. O status da conexão exibido na lista muda para Aprovado.

   

Rejeição de uma conexão de ponto de extremidade privado

1. Se houver conexões de ponto de extremidade privado que você deseja rejeitar, seja uma solicitação pendente ou uma conexão existente que já tenha sido aprovada, selecione a conexão do ponto de extremidade e o botão Rejeitar.

   

2. Na página Rejeitar conexão, digite um comentário opcional e selecione Sim. Se selecionar Não, nada acontecerá.

   

3. O status da conexão exibido na lista muda para Rejeitado.

   

Remoção de uma conexão de ponto de extremidade privado

1. Para remover uma conexão de ponto de extremidade privado, selecione-a na lista e selecione Remover na barra de ferramentas.

   

2. Na página Excluir conexão, selecione Sim para confirmar a exclusão do ponto de extremidade privado. Se selecionar Não, nada acontecerá.

   

3. O status muda para Desconectado. Em seguida, o ponto de extremidade desaparecerá da lista.

Validar se a conexão de link privado funciona

Você deve validar se os recursos na rede virtual do ponto de extremidade privado estão se conectando ao namespace do Barramento de Serviço por meio de um endereço IP privado e se eles têm a integração de zona DNS privada correta.

Primeiro, crie uma máquina virtual seguindo as etapas em Criar uma máquina virtual do Windows no portal do Azure

Na guia Rede:

1. Especifique a Rede virtual e a Sub-rede. Selecione a Rede Virtual na qual você implantou o ponto de extremidade privado.
2. Especifique um recurso de IP Público.
3. Para o Grupo de segurança de rede da NIC, selecione Nenhum.
4. Para o Balanceamento de carga, selecione Não.

Conecte-se à VM, abra a linha de comando e execute o seguinte comando:

nslookup <service-bus-namespace-name>.servicebus.windows.net

Você verá um resultado parecido com o mostrado a seguir.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

Limitações e considerações de design

• Para obter informações sobre preço, confira Preço do Link Privado do Azure.
• O recurso está disponível em todas as regiões públicas do Azure.
• Número máximo de pontos de extremidade privados por namespace do Barramento de Serviço: 120.
• O tráfego é bloqueado na camada do aplicativo, não na camada TCP. Por isso, você verá conexões TCP ou operações nslookup bem sucedidas no ponto de extremidade público, mesmo que o acesso público esteja desabilitado.

Para saber mais, confira Serviço de Link Privado do Azure: Limitações

Próximas etapas

• Saiba mais sobre o Link Privado do Azure
• Saiba mais sobre o Barramento de Serviço do Azure.