Pontos finais de serviço de Rede VirtualVirtual Network service endpoints

O ponto final de serviço da Rede Virtual (VNet) proporciona conectividade segura e direta aos serviços Azure durante uma rota otimizada sobre a rede de espinha dorsal Azure.Virtual Network (VNet) service endpoint provides secure and direct connectivity to Azure services over an optimized route over the Azure backbone network. Os pontos finais permitem-lhe obter os seus recursos críticos de serviço do Azure apenas para as suas redes virtuais.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. O Service Endpoints permite que os endereços IP privados no VNet cheguem ao ponto final de um serviço Azure sem precisar de um endereço IP público no VNet.Service Endpoints enables private IP addresses in the VNet to reach the endpoint of an Azure service without needing a public IP address on the VNet.

Esta funcionalidade está disponível para os seguintes serviços e regiões Azure.This feature is available for the following Azure services and regions. O recurso da Microsoft * está em parênteses.The Microsoft.* resource is in parenthesis. Ative este recurso a partir do lado da sub-rede enquanto configura os pontos finais de serviço para o seu serviço:Enable this resource from the subnet side while configuring service endpoints for your service:

Disponível em GeralGenerally available

  • Azure Storage (Microsoft.Storage): Geralmente disponível em todas as regiões Azure.Azure Storage (Microsoft.Storage): Generally available in all Azure regions.
  • Base de Dados Azure SQL (Microsoft.Sql): Geralmente disponível em todas as regiões do Azure.Azure SQL Database (Microsoft.Sql): Generally available in all Azure regions.
  • Azure Synapse Analytics (Microsoft.Sql): Geralmente disponível em todas as regiões Azure para piscinas SQL dedicadas (anteriormente SQL DW).Azure Synapse Analytics (Microsoft.Sql): Generally available in all Azure regions for dedicated SQL pools (formerly SQL DW).
  • Base de Dados Azure para servidor PostgreSQL (Microsoft.Sql): Geralmente disponível nas regiões de Azure onde o serviço de base de dados está disponível.Azure Database for PostgreSQL server (Microsoft.Sql): Generally available in Azure regions where database service is available.
  • Base de Dados Azure para servidor MySQL (Microsoft.Sql): Geralmente disponível nas regiões de Azure onde o serviço de base de dados está disponível.Azure Database for MySQL server (Microsoft.Sql): Generally available in Azure regions where database service is available.
  • Base de Dados Azure para MariaDB (Microsoft.Sql): Geralmente disponível nas regiões de Azure onde o serviço de base de dados está disponível.Azure Database for MariaDB (Microsoft.Sql): Generally available in Azure regions where database service is available.
  • Azure Cosmos DB (Microsoft.AzureCosmosDB): Geralmente disponível em todas as regiões do Azure.Azure Cosmos DB (Microsoft.AzureCosmosDB): Generally available in all Azure regions.
  • Azure Key Vault (Microsoft.KeyVault): Geralmente disponível em todas as regiões do Azure.Azure Key Vault (Microsoft.KeyVault): Generally available in all Azure regions.
  • Azure Service Bus (Microsoft.ServiceBus): Geralmente disponível em todas as regiões do Azure.Azure Service Bus (Microsoft.ServiceBus): Generally available in all Azure regions.
  • Azure Event Hubs (Microsoft.EventHub): Geralmente disponível em todas as regiões do Azure.Azure Event Hubs (Microsoft.EventHub): Generally available in all Azure regions.
  • Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory): Geralmente disponível em todas as regiões do Azure onde a ADLS Gen1 está disponível.Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory): Generally available in all Azure regions where ADLS Gen1 is available.
  • Azure App Service (Microsoft.Web): Geralmente disponível em todas as regiões Azure onde o serviço de aplicações está disponível.Azure App Service (Microsoft.Web): Generally available in all Azure regions where App service is available.
  • Azure Cognitive Services (Microsoft.CognitiveServices): Geralmente disponível em todas as regiões do Azure onde os serviços cognitivos estão disponíveis.Azure Cognitive Services (Microsoft.CognitiveServices): Generally available in all Azure regions where Cognitive services are available.

Pré-visualização públicaPublic Preview

  • Registo de contentores Azure (Microsoft.ContainerRegistry): Pré-visualização disponível em regiões limitadas de Azure onde o Registo de Contentores Azure está disponível.Azure Container Registry (Microsoft.ContainerRegistry): Preview available in limited Azure regions where Azure Container Registry is available.

Para obter as notificações mais atualizadas, veja a página Atualizações da Rede Virtual do Azure.For the most up-to-date notifications, check the Azure Virtual Network updates page.

Principais vantagensKey benefits

Os pontos finais de serviço oferecem as seguintes vantagens:Service endpoints provide the following benefits:

  • Segurança melhorada para os seus recursos de serviço Azure: os espaços de endereço privado VNet podem sobrepor-se.Improved security for your Azure service resources: VNet private address spaces can overlap. Não pode utilizar espaços sobrepostos para identificar de forma única o tráfego originário do seu VNet.You can't use overlapping spaces to uniquely identify traffic that originates from your VNet. Os pontos finais de serviço fornecem a capacidade de garantir recursos de serviço Azure à sua rede virtual, estendendo a identidade VNet ao serviço.Service endpoints provide the ability to secure Azure service resources to your virtual network by extending VNet identity to the service. Uma vez que ative os pontos finais do serviço na sua rede virtual, pode adicionar uma regra de rede virtual para proteger os recursos de serviço Azure à sua rede virtual.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network. A adição de regras proporciona uma segurança melhorada, removendo totalmente o acesso público à Internet aos recursos e permitindo o tráfego apenas a partir da sua rede virtual.The rule addition provides improved security by fully removing public internet access to resources and allowing traffic only from your virtual network.

  • O roteiro ideal para o tráfego de serviçoS Azure da sua rede virtual: Hoje, quaisquer rotas na sua rede virtual que forcem o tráfego de internet para os seus locais e/ou aparelhos virtuais também forçam o tráfego de serviço Azure a tomar a mesma rota que o tráfego da internet.Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances also force Azure service traffic to take the same route as the internet traffic. Os pontos finais de serviço fornecem encaminhamento ótimo para o tráfego do Azure.Service endpoints provide optimal routing for Azure traffic.

    Os pontos finais assumem sempre o tráfego de serviço diretamente a partir da rede virtual para o serviço na rede backbone do Microsoft Azure.Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Manter o tráfego na rede backbone do Azure permite-lhe continuar a auditar e a monitorizar o tráfego de Internet de saída das suas redes virtuais através da imposição de túnel e sem afetar o tráfego de serviço.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. Para obter mais informações sobre as rotas definidas pelo utilizador e a escavação forçada, consulte o encaminhamento de tráfego de rede virtual Azure.For more information about user-defined routes and forced-tunneling, see Azure virtual network traffic routing.

  • Fácil de configurar com menos overhead de gestão: já não necessita de endereços IP reservados e públicos nas redes virtuais para proteger os recursos do Azure através da firewall do IP.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. Não existem dispositivos de tradução de endereços de rede (NAT) ou dispositivos de gateway necessários para configurar os pontos finais de serviço.There are no Network Address Translation (NAT) or gateway devices required to set up the service endpoints. Pode configurar os pontos finais do serviço através de um simples clique numa sub-rede.You can configure service endpoints through a simple click on a subnet. Não há despesas adicionais para manter os pontos finais.There's no additional overhead to maintaining the endpoints.

LimitaçõesLimitations

  • A funcionalidade só está disponível para redes virtuais implementadas através do modelo de implementação Azure Resource Manager.The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • Os pontos finais estão ativados nas sub-redes configuradas em redes virtuais do Azure.Endpoints are enabled on subnets configured in Azure virtual networks. Os pontos finais não podem ser utilizados para o tráfego das suas instalações para os serviços Azure.Endpoints can't be used for traffic from your premises to Azure services. Para mais informações, consulte o acesso ao serviço Secure Azure a partir do localFor more information, see Secure Azure service access from on-premises
  • No Azure SQL, um ponto final de serviço aplica-se apenas ao tráfego de serviço do Azure numa região da rede virtual.For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. Para o armazenamento Azure, os pontos finais também se estendem para incluir regiões emparelhadas onde você implanta a rede virtual para suportar o tráfego de armazenamento Read-Access Geo-Redundant (RA-GRS) e Geo-Redundant armazenamento (GRS).For Azure Storage, endpoints also extend to include paired regions where you deploy the virtual network to support Read-Access Geo-Redundant Storage (RA-GRS) and Geo-Redundant Storage (GRS) traffic. Para mais informações, consulte as regiões emparelhadas Azure.For more information, see Azure paired regions.
  • Para o Azure Data Lake Storage (ADLS) Gen 1, a capacidade de Integração VNet só está disponível para redes virtuais dentro da mesma região.For Azure Data Lake Storage (ADLS) Gen 1, the VNet Integration capability is only available for virtual networks within the same region. Note também que a integração de rede virtual para a ADLS Gen1 utiliza a segurança do ponto final do serviço de rede virtual entre a sua rede virtual e o Azure Ative Directory (Azure AD) para gerar pedidos de segurança adicionais no token de acesso.Also note that virtual network integration for ADLS Gen1 uses the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Essas afirmações são, posteriormente, utilizadas para autenticar a rede virtual na conta do Data Lake Storage Gen1 e permitir o acesso.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. A tag Microsoft.AzureActiveDirectory listada nos pontos finais de serviço de suporte de serviços é utilizada apenas para apoiar pontos finais de serviço para a ADLS Gen 1.The Microsoft.AzureActiveDirectory tag listed under services supporting service endpoints is used only for supporting service endpoints to ADLS Gen 1. A Azure AD não suporta pontos finais de serviço de forma nativa.Azure AD doesn't support service endpoints natively. Para obter mais informações sobre a integração da Azure Data Lake Store Gen 1 VNet, consulte a segurança da rede em Azure Data Lake Storage Gen1.For more information about Azure Data Lake Store Gen 1 VNet integration, see Network security in Azure Data Lake Storage Gen1.

Serviços Secure Azure para redes virtuaisSecure Azure services to virtual networks

  • Um ponto final de serviço de rede virtual transmite a identidade da sua rede virtual ao serviço do Azure.A virtual network service endpoint provides the identity of your virtual network to the Azure service. Uma vez que ative os pontos finais do serviço na sua rede virtual, pode adicionar uma regra de rede virtual para proteger os recursos de serviço Azure à sua rede virtual.Once you enable service endpoints in your virtual network, you can add a virtual network rule to secure the Azure service resources to your virtual network.

  • Atualmente, o tráfego de serviço do Azure a partir de uma rede virtual utiliza endereços IP públicos como endereços IP de origem.Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. Com pontos finais de serviço, o tráfego de serviço comuta-se para utilizar endereços privados da rede virtual como endereços IP de origem quando acede ao serviço do Azure a partir de uma rede virtual.With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. Esta comutação permite-lhe aceder aos serviços sem necessitar de endereços IP reservados públicos utilizados nas firewalls IP.This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

    Nota

    Com pontos finais de serviço, os endereços IP de origem das máquinas virtuais na sub-rede para tráfego de serviço mudam da utilização de endereços IPv4 públicos para a utilizam de endereços IPv4 privados.With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. As regras de firewall de serviço do Azure existentes com os endereços IP públicos do Azure deixarão de funcionar com esta troca.Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. Certifique-se de que as regras de firewall do serviço do Azure permitem esta troca antes de configurar os pontos finais de serviço.Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. Também poderá experienciar uma interrupção temporária do tráfego de serviço desta sub-rede ao configurar pontos finais de serviço.You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

Acesso de serviço Secure Azure a partir do localSecure Azure service access from on-premises

Por padrão, os recursos de serviço Azure protegidos para redes virtuais não são alcançáveis a partir de redes no local.By default, Azure service resources secured to virtual networks aren't reachable from on-premises networks. Se pretender permitir o tráfego a partir do local, também deve permitir endereços IP públicos (tipicamente, NAT) a partir das suas instalações ou ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Pode adicionar estes endereços IP através da configuração de firewall IP para recursos de serviço Azure.You can add these IP addresses through the IP firewall configuration for Azure service resources.

ExpressRoute: Se estiver a utilizar o ExpressRoute para espreitar publicamente ou a Microsoft a espreitar das suas instalações, terá de identificar os endereços IP DO NAT que está a utilizar.ExpressRoute: If you're using ExpressRoute for public peering or Microsoft peering from your premises, you'll need to identify the NAT IP addresses that you're using. Para espreitar publicamente, cada circuito ExpressRoute utiliza dois endereços NAT IP, por padrão, aplicados ao tráfego de serviço Azure quando o tráfego entra na espinha dorsal da rede Microsoft Azure.For public peering, each ExpressRoute circuit uses two NAT IP addresses, by default, applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Para o estojo da Microsoft, os endereços NAT IP são fornecidos pelo cliente ou fornecidos pelo prestador de serviços.For Microsoft peering, the NAT IP addresses are either customer provided or provided by the service provider. Para permitir o acesso aos recursos de serviço, tem de permitir estes endereços IP públicos na definição da firewall do IP dos recursos.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Para localizar os endereços IP do circuito ExpressRoute de peering público, abra um pedido de suporte no ExpressRoute através do portal do Azure.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Para obter mais informações sobre o NAT para o público ExpressRoute e o microsoft espreitar, consulte os requisitos do ExpressRoute NAT.For more information about NAT for ExpressRoute public and Microsoft peering, see ExpressRoute NAT requirements.

Proteger serviços do Azure para redes virtuais

ConfiguraçãoConfiguration

  • Configure os pontos finais de serviço numa sub-rede numa rede virtual.Configure service endpoints on a subnet in a virtual network. Os pontos finais funcionam com qualquer tipo de instância de computação em execução nessa sub-rede.Endpoints work with any type of compute instances running within that subnet.
  • Pode configurar vários pontos finais de serviço para todos os serviços Azure suportados (Azure Storage ou Azure SQL Database, por exemplo) numa sub-rede.You can configure multiple service endpoints for all supported Azure services (Azure Storage or Azure SQL Database, for example) on a subnet.
  • Na Base de Dados SQL do Azure, as redes virtuais têm de estar na mesma região que o recurso de serviço do Azure.For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. Se utilizar contas do Armazenamento do Microsoft Azure GRS e RA-GRS, a conta principal deve existir na mesma região que a rede virtual.If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. Para todos os outros serviços, você pode garantir recursos de serviço Azure para redes virtuais em qualquer região.For all other services, you can secure Azure service resources to virtual networks in any region.
  • A rede virtual onde o ponto final está configurado pode existir na mesma subscrição ou numa subscrição diferente que a do recurso de serviço do Azure.The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. Para obter mais informações sobre as permissões necessárias para configurar pontos finais e para proteger serviços do Azure, veja Aprovisionamento.For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • Para os serviços suportados, pode proteger recursos novos ou existentes para redes virtuais através de pontos finais de serviço.For supported services, you can secure new or existing resources to virtual networks using service endpoints.

ConsideraçõesConsiderations

  • Depois de permitir um ponto final de serviço, os endereços IP de origem passam a utilizar endereços IPv4 públicos para utilizar o seu endereço IPv4 privado ao comunicar com o serviço a partir dessa sub-rede.After enabling a service endpoint, the source IP addresses switch from using public IPv4 addresses to using their private IPv4 address when communicating with the service from that subnet. Todas as ligações TCP abertas existentes para o serviço serão fechadas durante esta mudança.Any existing open TCP connections to the service are closed during this switch. Certifique-se de que não existem tarefas críticas em execução quando ativar ou desativar um ponto final de serviço para um serviço para uma sub-rede.Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. Verifique também se as aplicações conseguem ligar-se automaticamente aos serviços do Azure após esta mudança do endereço IP.Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    A mudança do endereço IP só afeta o tráfego de serviço da rede virtual.The IP address switch only impacts service traffic from your virtual network. Não há qualquer impacto em qualquer outro tráfego endereçado a ou a partir dos endereços públicos IPv4 atribuídos às suas máquinas virtuais.There's no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Nos serviços do Azure, se tiver regras de firewall existente que utilizem IPs públicos do Azure, estas regras deixam de funcionar com a mudança para os endereços privados da rede virtual.For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • Com os pontos finais de serviço, as entradas de DNS para os serviços Azure permanecem como é hoje e continuam a resolver-se para endereços IP públicos atribuídos ao serviço Azure.With service endpoints, DNS entries for Azure services remain as-is today and continue to resolve to public IP addresses assigned to the Azure service.

  • Grupos de segurança de rede (NSGs) com pontos finais de serviço:Network security groups (NSGs) with service endpoints:

    • Por padrão, os NSGs permitem o tráfego de internet de saída e também permitem o tráfego dos seus serviços VNet para Azure.By default, NSGs allow outbound internet traffic and also allow traffic from your VNet to Azure services. Este tráfego continua a funcionar com os pontos finais de serviço como está.This traffic continues to work with service endpoints as is.
    • Se pretender negar todo o tráfego de internet de saída e permitir apenas tráfego para serviços Azure específicos, pode fazê-lo usando tags de serviço nos seus NSGs.If you want to deny all outbound internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. Pode especificar os serviços Azure suportados como destino nas suas regras NSG e a Azure também fornece a manutenção de endereços IP subjacentes a cada tag.You can specify supported Azure services as destination in your NSG rules and Azure also provides the maintenance of IP addresses underlying each tag. Para obter mais informações, consulte Etiquetas de Serviço do Azure para NSGs.For more information, see Azure Service tags for NSGs.

CenáriosScenarios

  • Redes virtuais múltiplas, ligadas ou ponto a ponto: para proteger serviços do Azure em várias sub-redes numa rede virtual ou em várias redes virtuais, pode ativar pontos finais de serviço em cada uma destas sub-redes de forma independente e proteger os recursos de serviço do Azure em todas essas sub-redes.Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • Filtrar o tráfego de saída de uma rede virtual para os serviços Azure: Se pretender inspecionar ou filtrar o tráfego enviado para um serviço Azure a partir de uma rede virtual, pode implantar um aparelho virtual de rede dentro da rede virtual.Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic sent to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Em seguida, pode aplicar pontos finais de serviço à sub-rede onde está implementada a aplicação de rede virtual e proteger o recurso de serviço do Azure apenas nesta sub-rede.You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. Este cenário pode ser útil se pretender utilizar a filtragem de aparelhos virtuais de rede para restringir o acesso do serviço Azure da sua rede virtual apenas a recursos específicos do Azure.This scenario might be helpful if you want use network virtual appliance filtering to restrict Azure service access from your virtual network only to specific Azure resources. Para obter mais informações, veja saída com aplicações de rede virtual.For more information, see egress with network virtual appliances.
  • Garantir recursos da Azure a serviços implantados diretamente em redes virtuais: Pode implementar diretamente vários serviços Azure em sub-redes específicas numa rede virtual.Securing Azure resources to services deployed directly into virtual networks: You can directly deploy various Azure services into specific subnets in a virtual network. Pode proteger recursos de serviço do Azure para sub-redes de serviços geridos ao configurar um ponto final de serviço na sub-rede do serviço gerido.You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Tráfego de disco a partir de uma máquina virtual Azure: O tráfego de disco de máquina virtual para discos geridos e não geridos não é afetado por alterações de encaminhamento de pontos finais de serviço para o Armazenamento Azure.Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic for managed and unmanaged disks isn't affected by service endpoints routing changes for Azure Storage. Este tráfego inclui diskIO, bem como montagem e desmontagem.This traffic includes diskIO as well as mount and unmount. Pode limitar o acesso do REST às bolhas de página para selecionar redes através de pontos finais de serviço e regras de rede de armazenamento Azure.You can limit REST access to page blobs to select networks through service endpoints and Azure Storage network rules.

Registo e resolução de problemasLogging and troubleshooting

Uma vez configurar os pontos finais de serviço para um serviço específico, valide que a rota do ponto final de serviço está em vigor por:Once you configure service endpoints to a specific service, validate that the service endpoint route is in effect by:

  • Validação do endereço IP de origem de qualquer pedido de serviço no diagnóstico do serviço.Validating the source IP address of any service request in the service diagnostics. Todos os novos pedidos com pontos finais de serviço mostram o endereço IP de origem para o pedido como o endereço IP privado da rede virtual atribuído ao cliente que efetua o pedido a partir da sua rede virtual.All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. Sem o ponto final, o endereço é um endereço IP público do Azure.Without the endpoint, the address is an Azure public IP address.
  • Visualização das rotas efetivas em qualquer interface de rede numa sub-rede.Viewing the effective routes on any network interface in a subnet. A rota para o serviço:The route to the service:
    • Mostra uma rota predefinida mais específica para endereçar intervalos de prefixo de cada serviçoShows a more specific default route to address prefix ranges of each service
    • Tem um nextHopType de VirtualNetworkServiceEndpointHas a nextHopType of VirtualNetworkServiceEndpoint
    • Indica que uma ligação mais direta ao serviço está em vigor em comparação com quaisquer rotas de túneis forçadosIndicates that a more direct connection to the service is in effect compared to any forced-tunneling routes

Nota

As rotas do ponto final de serviço substituem quaisquer rotas BGP ou UDR para a correspondência de prefixo de endereço de um serviço do Azure.Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. Para mais informações, consulte a resolução de problemas com rotas eficazes.For more information, see troubleshooting with effective routes.

AprovisionamentoProvisioning

Os pontos finais de serviço podem ser configurados em redes virtuais de forma independente por um utilizador com acesso por escrito a uma rede virtual.Service endpoints can be configured on virtual networks independently by a user with write access to a virtual network. Para garantir os recursos de serviço do Azure a um VNet, o utilizador deve ter permissão para microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action para as sub-redes adicionadas.To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the added subnets. As funções de administrador de serviço incorporado incluem esta permissão por padrão.The built-in service administrator roles include this permission by default. Pode modificar a permissão criando funções personalizadas.You can modify the permission by creating custom roles.

Para obter mais informações sobre papéis incorporados, consulte as funções incorporadas do Azure.For more information about built-in roles, see Azure built-in roles. Para obter mais informações sobre a atribuição de permissões específicas a funções personalizadas, consulte as funções personalizadas Azure.For more information about assigning specific permissions to custom roles, see Azure custom roles.

As redes virtuais e os recursos de serviço do Azure podem pertencer às mesmas subscrições ou a subscrições diferentes.Virtual networks and Azure service resources can be in the same or different subscriptions. Certos Serviços Azure (nem todos) como o Azure Storage e o Azure Key Vault também suportam pontos finais de serviço em diferentes inquilinos ative directory(AD), ou seja, a rede virtual e o recurso de serviço Azure podem estar em diferentes inquilinos ative directory (AD).Certain Azure Services (not all) such as Azure Storage and Azure Key Vault also support service endpoints across different Active Directory(AD) tenants i.e., the virtual network and Azure service resource can be in different Active Directory (AD) tenants. Verifique a documentação individual do serviço para mais detalhes.Please check individual service documentation for more details.

Preços e limitesPricing and limits

Não há nenhuma taxa adicional para usar pontos finais de serviço.There's no additional charge for using service endpoints. O atual modelo de preços para os serviços Azure (Azure Storage, Azure SQL Database, etc.) aplica-se como é hoje.The current pricing model for Azure services (Azure Storage, Azure SQL Database, etc.) applies as-is today.

Não há limite para o número total de pontos finais de serviço numa rede virtual.There's no limit on the total number of service endpoints in a virtual network.

Certos serviços Azure, tais como contas de armazenamento Azure, podem impor limites ao número de sub-redes utilizadas para assegurar o recurso.Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. Consulte a documentação para vários serviços na secção etapas seguintes para obter mais detalhes.Refer to the documentation for various services in the Next steps section for details.

Políticas de ponto final de serviço VNetVNet service endpoint policies

As políticas de ponto final do serviço VNet permitem filtrar o tráfego de rede virtual para os serviços Azure.VNet service endpoint policies allow you to filter virtual network traffic to Azure services. Este filtro permite apenas recursos de serviço Azure específicos sobre os pontos finais de serviço.This filter allows only specific Azure service resources over service endpoints. As políticas de ponto final de serviço fornecem controlo de acesso granular para tráfego de rede virtual para serviços Azure.Service endpoint policies provide granular access control for virtual network traffic to Azure services. Para obter mais informações, consulte as Políticas de Ponto final do Serviço de Rede Virtual.For more information, see Virtual Network Service Endpoint Policies.

FAQsFAQs

Para perguntas frequentes, consulte as FAQs de endpoint do serviço de rede virtual.For FAQs, see Virtual Network Service Endpoint FAQs.

Passos seguintesNext steps