Conectividade aos serviços da Azure PaaSConnectivity to Azure PaaS services

Com base nas secções de conectividade anteriores, esta secção explora abordagens de conectividade recomendadas para a utilização dos serviços Azure PaaS.Building on the previous connectivity sections, this section explores recommended connectivity approaches for using Azure PaaS services.

Considerações de conceção:Design considerations:

  • Os serviços Azure PaaS são normalmente acedidos sobre pontos finais públicos.Azure PaaS services are typically accessed over public endpoints. No entanto, a plataforma Azure fornece capacidades para garantir tais pontos finais ou mesmo torná-los inteiramente privados:However, the Azure platform provides capabilities to secure such endpoints or even make them entirely private:

    • A injeção de rede virtual fornece implementações privadas dedicadas para serviços suportados.Virtual network injection provides dedicated private deployments for supported services. O tráfego de aviões de gestão ainda flui através de endereços IP públicos.Management plane traffic still flows through public IP addresses.

    • O Private Link fornece acesso dedicado utilizando endereços IP privados para instâncias Azure PaaS ou serviços personalizados por trás do nível padrão do Azure Load Balancer.Private Link provides dedicated access by using private IP addresses to Azure PaaS instances or custom services behind Azure Load Balancer Standard tier.

    • Os pontos finais do serviço de rede virtual fornecem acesso ao nível do serviço de serviço de sub-redes selecionados para serviços PaaS selecionados.Virtual network service endpoints provide service-level access from selected subnets to selected PaaS services.

  • Muitas vezes, as empresas têm preocupações com os pontos finais públicos dos serviços paaS que devem ser devidamente atenuados.Enterprises often have concerns about public endpoints for PaaS services that must be appropriately mitigated.

  • Para serviços suportados,o Private Link aborda as preocupações de exfiltração de dados associadas aos pontos finais do serviço.For supported services, Private Link addresses data exfiltration concerns associated with service endpoints. Como alternativa, pode utilizar a filtragem de saída através de NVAs para fornecer medidas para mitigar a exfiltração de dados.As an alternative, you can use outbound filtering via NVAs to provide steps to mitigate data exfiltration.

Recomendações de design:Design recommendations:

  • Utilize a injeção de rede virtual para serviços Azure suportados para os disponibilizar a partir da sua rede virtual.Use virtual network injection for supported Azure services to make them available from within your virtual network.

  • Os serviços Azure PaaS que foram injetados numa rede virtual ainda realizam operações de gestão de aviões utilizando endereços IP públicos.Azure PaaS services that have been injected into a virtual network still perform management plane operations by using public IP addresses. Certifique-se de que esta comunicação é bloqueada dentro da rede virtual utilizando UDRs e NSGs.Ensure that this communication is locked down within the virtual network by using UDRs and NSGs.

  • Utilize o Private Link, sempre que disponível,para serviços Azure PaaS partilhados.Use Private Link, where available, for shared Azure PaaS services. Private Link está geralmente disponível para vários serviços e está em pré-visualização pública para inúmeros.Private Link is generally available for several services and is in public preview for numerous ones.

  • Aceda aos serviços Azure PaaS a partir do local através do expressRoute private peering.Access Azure PaaS services from on-premises via ExpressRoute private peering. Utilize a injeção de rede virtual para serviços dedicados da Azure ou para o Azure Private Link para os serviços Azure partilhados disponíveis.Use either virtual network injection for dedicated Azure services or Azure Private Link for available shared Azure services. Para aceder aos serviços Azure PaaS a partir de instalações quando a injeção de rede virtual ou o Private Link não estiverem disponíveis, utilize o ExpressRoute com o espreitar pela Microsoft.To access Azure PaaS services from on-premises when virtual network injection or Private Link isn't available, use ExpressRoute with Microsoft peering. Este método evita a passagem pela internet pública.This method avoids transiting over the public internet.

  • Utilize pontos finais de serviço de rede virtual para garantir o acesso aos serviços Azure PaaS a partir da sua rede virtual, mas apenas quando o Private Link não estiver disponível e não houver preocupações com a exfiltração de dados.Use virtual network service endpoints to secure access to Azure PaaS services from within your virtual network, but only when Private Link isn't available and there are no data exfiltration concerns. Para resolver as preocupações de exfiltração de dados com os pontos finais do serviço, utilize a filtragem NVA ou utilize políticas de ponto final de serviço de rede virtual para armazenamento Azure.To address data exfiltration concerns with service endpoints, use NVA filtering or use virtual network service endpoint policies for Azure Storage.

  • Não ative os pontos finais de serviço de rede virtual por predefinição em todas as sub-redes.Don't enable virtual network service endpoints by default on all subnets.

  • Não utilize pontos finais de serviço de rede virtual quando existem preocupações de exfiltração de dados, a menos que utilize filtragem NVA.Don't use virtual network service endpoints when there are data exfiltration concerns, unless you use NVA filtering.

  • Não recomendamos que implemente túneis forçados para permitir a comunicação dos recursos de Azure a Azure.We don't recommend that you implement forced tunneling to enable communication from Azure to Azure resources.