Explicar pontos de extremidade de serviço de rede virtual
Você migrou seu aplicativo existente e os servidores de banco de dados do sistema ERP para o Azure como VMs. Agora, para reduzir os custos e os requisitos administrativos, você está pensando em usar alguns serviços PaaS (plataforma como serviço) do Azure. Os serviços de armazenamento conterão alguns ativos de arquivos grandes, como diagramas de engenharia. Esses diagramas de engenharia têm informações proprietárias e precisam permanecer seguros contra o acesso não autorizado. Esses arquivos só precisam ser acessíveis em sistemas específicos.
Nesta unidade, você verá como usar pontos de extremidade de serviço de rede virtual para proteger os serviços do Azure compatíveis.
O que é um ponto de extremidade de serviço de rede virtual?
O ponto de extremidade do serviço de Rede Virtual (VNet) oferece conectividade direta e segura aos serviços do Azure em uma rota otimizada pela rede de backbone do Azure. Os pontos de extremidade permitem que você possa garantir os recursos essenciais do serviço do Azure somente para suas redes virtuais. Os pontos de extremidade de serviço permitem que os endereços IP privados na VNet alcancem o ponto de extremidade de um serviço do Azure sem precisar de um endereço IP público na VNet.
Por padrão, os serviços do Azure foram projetados para acesso direto à Internet. Todos os recursos do Azure têm endereços IP públicos e isso inclui serviços PaaS, tais como o Banco de Dados SQL do Azure e o Armazenamento do Azure. Como esses serviços são expostos à Internet, qualquer pessoa pode potencialmente acessar os serviços do Azure.
Os pontos de extremidade de serviço podem se conectar a determinados serviços PaaS diretamente no seu espaço de endereço privado no Azure. Portanto, eles funcionam como se estivessem na mesma rede virtual. Use seu espaço de endereço privado para acessar os serviços PaaS diretamente. Adicionar pontos de extremidade de serviço não remove o ponto de extremidade público. Ele simplesmente fornece um redirecionamento de tráfego.
Preparação para a implementação dos pontos de extremidade de serviço
Para habilitar um ponto de extremidade de serviço, você precisará realizar estas duas ações:
- Desligar o acesso público ao serviço.
- Adicionar o ponto de extremidade de serviço a uma rede virtual.
Quando você habilita um ponto de extremidade de serviço, restringe o fluxo de tráfego e permite que as VMs do Azure acessem o serviço diretamente no seu espaço de endereço privado. Os dispositivos não podem acessar o serviço em uma rede pública. Em uma vNIC de VM implantada, se você observar as Rotas efetivas, verá o ponto de extremidade de serviço como o Tipo do Próximo Salto.
Esta é uma tabela de rotas de exemplo, antes da habilitação de um ponto de extremidade de serviço:
| FONTE | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DO PRÓXIMO SALTO |
|---|---|---|---|
| Padrão | Ativo | 10.1.1.0/24 | VNET |
| Padrão | Ativo | 0.0.0.0./0 | Internet |
| Padrão | Ativo | 10.0.0.0/8 | Nenhum |
| Padrão | Ativo | 100.64.0.0./ | Nenhum |
| Padrão | Ativo | 192.168.0.0/16 | Nenhum |
E aqui está um exemplo de tabela de rota após você adicionar dois pontos de extremidade de serviço à rede virtual:
| FONTE | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DO PRÓXIMO SALTO |
|---|---|---|---|
| Padrão | Ativo | 10.1.1.0/24 | VNET |
| Padrão | Ativo | 0.0.0.0./0 | Internet |
| Padrão | Ativo | 10.0.0.0/8 | Nenhum |
| Padrão | Ativo | 100.64.0.0./ | Nenhum |
| Padrão | Ativo | 192.168.0.0/16 | Nenhum |
| Padrão | Ativo | 20.38.106.0/23, mais 10 | VirtualNetworkServiceEndpoint |
| Padrão | Ativo | 20.150.2.0/23, mais 9 | VirtualNetworkServiceEndpoint |
Agora, todo o tráfego para o serviço é roteado para o ponto de extremidade de serviço de rede virtual e permanece interno no Azure.
Criar pontos de extremidade de serviço
Como engenheiro de rede, você pretende mover arquivos confidenciais de diagrama de engenharia para o Armazenamento do Azure. Os arquivos só precisam ser acessíveis em computadores da rede corporativa. Você quer criar um ponto de extremidade de serviço de rede virtual para o Armazenamento do Azure a fim de proteger a conectividade com suas contas de armazenamento.
No tutorial do ponto de extremidade de serviço, você aprenderá a:
- Habilitar um ponto de extremidade de serviço para uma sub-rede
- Usar regras de rede para restringir o acesso ao Armazenamento do Azure
- Criar um ponto de extremidade de serviço de rede virtual para o Armazenamento do Azure
- Verificar se o acesso está configurado adequadamente
Configurar marcas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede.
Você pode usar marcas de serviço para definir os controles de acesso à rede em grupos de segurança de rede ou Firewall do Azure. Use marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço, como Gerenciamento de API, no campo correto de origem ou destino de uma regra, você poderá permitir ou negar o tráfego para o serviço correspondente.
A partir de março de 2021, você também pode usar Marcas de Serviço no lugar de intervalos de IP explícitos em rotas definidas pelo usuário. Esse recurso está atualmente em visualização pública.
Você pode usar as marcas de serviço para obter o isolamento da rede e proteger os recursos do Azure da Internet em geral ao acessar os serviços do Azure que tenham pontos de extremidade públicos. Crie regras de entrada/saída para o grupo de segurança de rede a fim de negar o tráfego de/para a Internet e permitir o tráfego de/para o AzureCloud ou outras marcas de serviço disponíveis de serviços específicos do Azure.
Marcas de serviço disponíveis
A tabela a seguir inclui todas as marcas de serviço disponíveis para uso em regras do grupo de segurança de rede.
As colunas indicam se a marca:
- É adequada para regras que abrangem o tráfego de entrada ou de saída.
- Dá suporte a um escopo regional.
- Pode ser usada em regras do Firewall do Azure.
Por padrão, as marcas de serviço refletem os intervalos para toda a nuvem. Algumas marcas de serviço também permitem um controle mais granular ao restringir os intervalos de IP correspondentes a uma região especificada. Por exemplo, a marca de serviço Armazenamento representa o Armazenamento do Microsoft Azure de toda a nuvem, exceto do Armazenamento. Oeste dos EUA restringe o alcance a apenas os intervalos de endereços IP de armazenamento da região Oeste dos EUA. A tabela a seguir indica se cada marca de serviço dá suporte a esse escopo regional.
As marcas de serviços do Azure indicam os prefixos de endereços de uma nuvem específica a ser usada. Por exemplo, os intervalos de IP subjacentes que correspondem ao valor da marca SQL na nuvem pública do Azure serão diferentes dos intervalos subjacentes da nuvem do Azure China.
Se você implementar um ponto de extremidade de serviço de rede virtual em um serviço, como o Armazenamento do Azure ou o Banco de Dados SQL do Azure, o Azure adicionará uma rota para uma sub-rede de rede virtual para o serviço. Os prefixos de endereços na rota são os mesmos prefixos de endereços, ou intervalos CIDR, aos correspondentes da marca de serviço.