Конечные точки службы для виртуальной сетиVirtual Network Service Endpoints

Конечные точки служб виртуальной сети расширяют пространство частных адресов и возможности идентификации вашей виртуальной сети в службах Azure благодаря прямому соединению.Virtual Network (VNet) service endpoints extend your virtual network private address space and the identity of your VNet to the Azure services, over a direct connection. Конечные точки позволяют защищать критически важные ресурсы служб Azure в пределах отдельных виртуальных сетей.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Трафик, поступающий из виртуальной сети в службу Azure, всегда остается в магистральной сети Microsoft Azure.Traffic from your VNet to the Azure service always remains on the Microsoft Azure backbone network.

Эта функция доступна для следующих служб и регионов Azure, и вы также найдете ресурс Microsoft. * в круглых скобках, который должен быть включен на стороне подсети при настройке конечных точек службы для службы:This feature is available for the following Azure services and regions, and you will also find the Microsoft.* resource in parenthesis that needs to be enabled from the Subnet side while configuring service endpoints for your service :

Общедоступная версияGenerally available

Общедоступная предварительная версияPublic Preview

  • Реестр контейнеров Azure (Microsoft. ContainerRegistry): Предварительная версия доступна во всех регионах Azure, где доступен реестр контейнеров Azure.Azure Container Registry (Microsoft.ContainerRegistry): Preview available in all Azure regions where Azure Container Registry is available.

Самые актуальные уведомления доступны на странице обновлений виртуальной сети Azure.For the most up-to-date notifications, check the Azure Virtual Network updates page.

Основные преимуществаKey benefits

Конечные точки служб обеспечивают следующие преимущества.Service endpoints provide the following benefits:

  • Повышение уровня безопасности для ресурсов служб Azure. Частное адресное пространство виртуальной сети может перекрываться, поэтому его нельзя использовать для уникальной идентификации трафика, поступающего из виртуальной сети.Improved security for your Azure service resources: VNet private address space can be overlapping and so, cannot be used to uniquely identify traffic originating from your VNet. Конечные точки службы дают возможность защитить ресурсы службы Azure в виртуальной сети путем расширения удостоверения виртуальной сети на эту службу.Service endpoints provide the ability to secure Azure service resources to your virtual network, by extending VNet identity to the service. Включив конечные точки служб в виртуальной сети, вы можете защитить в ней ресурсы служб Azure, добавив правило виртуальной сети для ресурсов.Once service endpoints are enabled in your virtual network, you can secure Azure service resources to your virtual network by adding a virtual network rule to the resources. Это повысит уровень безопасности, поскольку полностью исключается открытый доступ к ресурсам из Интернета и разрешается трафик только из виртуальной сети.This provides improved security by fully removing public Internet access to resources, and allowing traffic only from your virtual network.

  • Оптимальная маршрутизация трафика службы Azure из виртуальной сети. Сейчас по всем маршрутам в виртуальной сети, по которым к локальным или виртуальным устройствам принудительно направляется интернет-трафик (процесс принудительного туннелирования), также принудительно направляется трафик служб Azure.Optimal routing for Azure service traffic from your virtual network: Today, any routes in your virtual network that force Internet traffic to your premises and/or virtual appliances, known as forced-tunneling, also force Azure service traffic to take the same route as the Internet traffic. Конечные точки служб обеспечивают оптимальную маршрутизацию трафика Azure.Service endpoints provide optimal routing for Azure traffic.

    Конечные точки всегда направляют трафик служб непосредственно из виртуальной сети в службу в магистральной сети Microsoft Azure.Endpoints always take service traffic directly from your virtual network to the service on the Microsoft Azure backbone network. Так как трафик не покидает пределы магистральной сети, это позволяет и дальше выполнять аудит и мониторинг исходящего интернет-трафика из виртуальных сетей при помощи принудительного туннелирования без воздействия на трафик служб.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound Internet traffic from your virtual networks, through forced-tunneling, without impacting service traffic. Ознакомьтесь со сведениями об определяемых пользователем маршрутах и принудительном туннелировании.Learn more about user-defined routes and forced-tunneling.

  • Простота настройки и управления. Вам больше не требуются зарезервированные общедоступные IP-адреса в виртуальных сетях для защиты ресурсов Azure при помощи брандмауэра для IP-адресов.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through IP firewall. Для настройки конечных точек служб не нужны устройства NAT или шлюзы.There are no NAT or gateway devices required to set up the service endpoints. Чтобы настроить конечную точку службы, достаточно щелкнуть подсеть.Service endpoints are configured through a simple click on a subnet. Обслуживание конечных точек не требует дополнительных расходов.There is no additional overhead to maintaining the endpoints.

ОграниченияLimitations

  • Функция доступна только для виртуальных сетей, развернутых посредством модели развертывания с помощью Azure Resource Manager.The feature is available only to virtual networks deployed through the Azure Resource Manager deployment model.
  • Конечные точки включаются в подсетях, которые настроены в виртуальных сетях Azure.Endpoints are enabled on subnets configured in Azure virtual networks. Конечные точки нельзя использовать для трафика, поступающего из локальной среды в службы Azure.Endpoints cannot be used for traffic from your premises to Azure services. Дополнительные сведения см. в разделе о защите доступа к службам Azure из локальной среды.For more information, see Securing Azure service access from on-premises
  • В SQL Azure конечная точка службы применяется только к трафику службы Azure в пределах региона виртуальной сети.For Azure SQL, a service endpoint applies only to Azure service traffic within a virtual network's region. В службе хранилища Azure для поддержки трафика RA-GRS и GRS конечные точки также применяются к сопряженным регионам, в которых развернута виртуальная сеть.For Azure Storage, to support RA-GRS and GRS traffic, endpoints also extend to include paired regions where the virtual network is deployed. См. дополнительные сведения о парах регионов Azure.Learn more about Azure paired regions..
  • У Azure Data Lake Storage 1-го поколения возможность интеграции с виртуальной сетью доступна только для виртуальных сетей из одного региона.For ADLS Gen 1, the VNet Integration capability is only available for virtual networks within the same region. Также обратите внимание, что интеграция виртуальной сети для Azure Data Lake Storage 1-го поколения использует безопасность конечной точки службы виртуальной сети между виртуальной сетью и Azure Active Directory (Azure AD) для создания дополнительных утверждений безопасности в маркере доступа.Also note that virtual network integration for Azure Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Эти утверждения используются для проверки подлинности виртуальной сети в учетной записи ADLS 1-го поколения и для предоставления доступа.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access. Тег Microsoft. AzureActiveDirectory, указанный в разделе службы, поддерживающие конечные точки службы, используется только для вспомогательных конечных точек службы для ADLS Gen 1."Microsoft.AzureActiveDirectory" tag listed under services supporting service endpoints is used only for supporting service endpoints to ADLS Gen 1. Azure Active Directory (Azure AD) не поддерживает конечные точки службы изначально.Azure Active Directory (Azure AD) doesn't support service endpoints natively. Дополнительные сведения об интеграции с виртуальной сетью Azure Data Lake Store Gen 1.Learn more about Azure Data Lake Store Gen 1 VNet Integration.

Защита служб Azure в виртуальных сетяхSecuring Azure services to virtual networks

  • Конечная точка службы для виртуальной сети предоставляет службе Azure удостоверение виртуальной сети.A virtual network service endpoint provides the identity of your virtual network to the Azure service. Включив конечные точки служб в виртуальной сети, вы можете защитить в ней ресурсы служб Azure, добавив правило виртуальной сети для ресурсов.Once service endpoints are enabled in your virtual network, you can secure Azure service resources to your virtual network by adding a virtual network rule to the resources.
  • В настоящее время трафик служб Azure из виртуальной сети использует общедоступные IP-адреса в качестве исходных IP-адресов.Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. При помощи конечных точек служб трафик в качестве исходных IP-адресов использует частные адреса виртуальной сети при обращении к службе Azure из виртуальной сети.With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. Это переключение позволяет осуществлять доступ к службам без необходимости в зарезервированных общедоступных IP-адресах, которые используются в брандмауэрах.This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

Примечание

При использовании конечных точек службы исходные IP-адреса виртуальных машин в подсети для трафика служб переключаются с общедоступных адресов IPv4 на частные.With service endpoints, the source IP addresses of the virtual machines in the subnet for service traffic switches from using public IPv4 addresses to using private IPv4 addresses. Существующие правила брандмауэра службы Azure, использующие общедоступные IP-адреса Azure, перестанут работать после этого переключения.Existing Azure service firewall rules using Azure public IP addresses will stop working with this switch. Перед настройкой конечных точек службы убедитесь, что правила брандмауэра службы Azure поддерживают переключение.Please ensure Azure service firewall rules allow for this switch before setting up service endpoints. При настройке конечных точек службы также может наблюдаться временное прерывание трафика служб из этой подсети.You may also experience temporary interruption to service traffic from this subnet while configuring service endpoints.

  • Защита доступа к службам Azure из локальной среды.Securing Azure service access from on-premises:

    По умолчанию ресурсы служб Azure, которые защищены в виртуальной сети, недоступны для локальных сетей.By default, Azure service resources secured to virtual networks are not reachable from on-premises networks. Чтобы разрешить трафик из локальной среды, необходимо также разрешить общедоступные IP-адреса (обычно это NAT) из локальных каналов или каналов ExpressRoute.If you want to allow traffic from on-premises, you must also allow public (typically, NAT) IP addresses from your on-premises or ExpressRoute. Эти IP-адреса можно добавить в конфигурации брандмауэра IP-адресов для ресурсов служб Azure.These IP addresses can be added through the IP firewall configuration for Azure service resources.

    ExpressRoute. Если вы используете ExpressRoute для локальной среды, для общедоступного пиринга или пиринга Майкрософт, то вам необходимо определить используемые IP-адреса NAT.ExpressRoute: If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Для общедоступного пиринга в каждом канале ExpressRoute по умолчанию используется два IP-адреса NAT для трафика служб Azure, когда он входит в основную магистральную сеть Microsoft Azure.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Для пиринга Майкрософт используются IP-адреса NAT, предоставленные клиентом или поставщиком услуг.For Microsoft peering, the NAT IP address(es) that are used are either customer provided or are provided by the service provider. Чтобы разрешить доступ к ресурсам служб, необходимо разрешить эти общедоступные IP-адреса в настройках брандмауэра IP-адресов ресурсов. To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Чтобы найти IP-адреса канала ExpressRoute для общедоступного пиринга, отправьте запрос по ExpressRoute в службу поддержки через портал Azure. To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Узнайте больше о NAT для общедоступного пиринга и пиринга Майкрософт.Learn more about NAT for ExpressRoute public and Microsoft peering.

Защита служб Azure в виртуальных сетях

КонфигурацияConfiguration

  • Конечные точки служб настраиваются в подсети виртуальной сети.Service endpoints are configured on a subnet in a virtual network. Конечные точки работают с любым типом вычислительных экземпляров, выполняющихся в этой подсети.Endpoints work with any type of compute instances running within that subnet.
  • Можно настроить несколько конечных точек служб для всех поддерживаемых служб Azure (например, для службы хранилища Azure или Базы данных SQL Azure) в подсети.You can configure multiple service endpoints for all supported Azure services (Azure Storage, or Azure SQL Database, for example) on a subnet.
  • Для Базы данных SQL Azure виртуальные сети должны относиться к тому же региону, что и ресурс службы Azure.For Azure SQL Database, virtual networks must be in the same region as the Azure service resource. При использовании учетных записей хранения Azure GRS и RA-GRS основная учетная запись должна принадлежать тому же региону, что и виртуальная сеть.If using GRS and RA-GRS Azure Storage accounts, the primary account must be in the same region as the virtual network. Для всех остальных служб можно обеспечить защиту ресурсов Azure в виртуальных сетях в любом регионе.For all other services, Azure service resources can be secured to virtual networks in any region.
  • Виртуальная сеть, в которой настраивается конечная точка, может относиться к той же подписке, что и ресурс службы Azure, либо же к другой подписке.The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. Дополнительные сведения о разрешениях, которые требуются для настройки конечных точек и защиты служб Azure, см. в разделе Подготовка.For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.
  • Вы можете защитить новые или существующие ресурсы в виртуальных сетях с помощью конечных точек служб для поддерживаемых служб.For supported services, you can secure new or existing resources to virtual networks using service endpoints.

РекомендацииConsiderations

  • После включения конечной точки службы исходные IP-адреса виртуальных машин в подсети переключаются с общедоступных IPv4-адресов на частные, если осуществляется обмен данными со службой из этой подсети.After enabling a service endpoint, the source IP addresses of virtual machines in the subnet switch from using public IPv4 addresses to using their private IPv4 address, when communicating with the service from that subnet. Во время этого переключения все открытые TCP-подключения к службе закрываются.Any existing open TCP connections to the service are closed during this switch. Убедитесь, что при включении или отключении конечной точки службы в подсети не выполняются критически важные задачи.Ensure that no critical tasks are running when enabling or disabling a service endpoint to a service for a subnet. Также удостоверьтесь, что приложения могут автоматически подключаться к службам Azure после этого переключения IP-адресов.Also, ensure that your applications can automatically connect to Azure services after the IP address switch.

    Коммутатор IP-адресов влияет только на трафик служб из виртуальной сети.The IP address switch only impacts service traffic from your virtual network. Он не влияет ни на какой другой входящий или исходящий трафик, передаваемый по общедоступным IPv4-адресам, которые назначены виртуальным машинам.There is no impact to any other traffic addressed to or from the public IPv4 addresses assigned to your virtual machines. Если для служб Azure установлены правила брандмауэра с использованием общедоступных IP-адресов Azure, то после переключения на частные адреса виртуальной сети эти правила перестают работать.For Azure services, if you have existing firewall rules using Azure public IP addresses, these rules stop working with the switch to virtual network private addresses.

  • Если используются конечные точки служб, текущие записи DNS для служб Azure остаются без изменений и продолжают разрешать общедоступные IP-адреса, которые назначены службе Azure.With service endpoints, DNS entries for Azure services remain as-is today, and continue to resolve to public IP addresses assigned to the Azure service.

  • Группы безопасности сети (NSG) с конечными точками служб:Network security groups (NSGs) with service endpoints:

    • По умолчанию группы NSG разрешают исходящий интернет-трафик и, следовательно, трафик из виртуальной сети в службы Azure.By default, NSGs allow outbound Internet traffic and so, also allow traffic from your VNet to Azure services. При настройке конечных точек служб этот подход продолжает использоваться.This continues to work as is, with service endpoints.
    • Чтобы запретить весь исходящий интернет-трафик и разрешить трафик только в определенные службы Azure, воспользуйтесь тегами служб в группах NSG.If you want to deny all outbound Internet traffic and allow only traffic to specific Azure services, you can do so using service tags in your NSGs. Вы можете указать поддерживаемые службы Azure как место назначения в правилах NSG, и обслуживание IP-адресов, которые определены в каждом теге, будет выполняться средствами Azure.You can specify supported Azure services as destination in your NSG rules and the maintenance of IP addresses underlying each tag is provided by Azure. Дополнительные сведения см. в статье о тегах служб Azure для групп NSG.For more information, see Azure Service tags for NSGs.

СценарииScenarios

  • Пиринговые или подключенные виртуальные сети либо же несколько виртуальных сетей. Чтобы обеспечить защиту служб Azure в нескольких подсетях в виртуальной сети или в нескольких виртуальных сетях, вы можете включить конечные точки служб для каждой из этих подсетей независимо друг от друга и защитить ресурсы служб Azure во всех этих подсетях.Peered, connected, or multiple virtual networks: To secure Azure services to multiple subnets within a virtual network or across multiple virtual networks, you can enable service endpoints on each of the subnets independently, and secure Azure service resources to all of the subnets.
  • Фильтрация исходящего трафика, который поступает из виртуальной сети в службы Azure. Чтобы проверить или отфильтровать трафик, который поступает в службу Azure из виртуальной сети, можно развернуть в этой виртуальной сети виртуальное сетевое устройство.Filtering outbound traffic from a virtual network to Azure services: If you want to inspect or filter the traffic destined to an Azure service from a virtual network, you can deploy a network virtual appliance within the virtual network. Это позволяет применять конечные точки служб к подсети, в которой развертывается виртуальное сетевое устройство, и обеспечить защиту ресурса службы Azure только в этой подсети.You can then apply service endpoints to the subnet where the network virtual appliance is deployed, and secure Azure service resources only to this subnet. Это может быть полезно, если вам требуется разрешить доступ к службе Azure из виртуальной сети только для определенных ресурсов Azure с использованием фильтрации виртуального сетевого устройства.This scenario might be helpful if you wish to restrict Azure service access from your virtual network only to specific Azure resources, using network virtual appliance filtering. Дополнительные сведения см. в разделе Deploy highly available network virtual appliances (Развертывание высокодоступных сетевых устройств).For more information, see egress with network virtual appliances.
  • Защита ресурсов Azure для служб, развернутых непосредственно в виртуальных сетях. Различные службы Azure можно развернуть непосредственно в определенных подсетях в виртуальной сети.Securing Azure resources to services deployed directly into virtual networks: Various Azure services can be directly deployed into specific subnets in a virtual network. Вы можете защитить ресурсы служб Azure в подсетях управляемой службы, настроив конечную точку службы в подсети управляемой службы.You can secure Azure service resources to managed service subnets by setting up a service endpoint on the managed service subnet.
  • Трафик диска с виртуальной машины Azure. На трафик управляемых и неуправляемых дисков виртуальной машины (включая подключение, отключение и операции ввода-вывода диска) не влияет изменение маршрутов для конечных точек служб в службе хранилища Azure.Disk traffic from an Azure virtual machine: Virtual Machine Disk traffic (including mount and unmount, diskIO), for managed/unmanaged disks, is not affected by service endpoints routing changes for Azure Storage. Вы можете ограничить доступ REST для выбора сетей страничными BLOB-объектами с помощью конечных точек служб и сетевых правил службы хранилища Azure.You can limit REST access to page blobs to select networks, through service endpoints and Azure Storage network rules.

Ведение журнала и устранение неполадокLogging and troubleshooting

Настроив конечные точки для определенной службы, убедитесь, что для маршрута конечной точки службы поддерживаются:Once service endpoints are configured to a specific service, validate that the service endpoint route is in effect by:

  • Проверка исходного IP-адреса любого запроса к службе при ее диагностике.Validating the source IP address of any service request in the service diagnostics. Во всех новых запросах с использованием конечных точек служб исходный IP-адрес отображается как частный IP-адрес виртуальной сети, который назначен клиенту, выполняющему запрос из виртуальной сети.All new requests with service endpoints show the source IP address for the request as the virtual network private IP address, assigned to the client making the request from your virtual network. Без конечной точки этот адрес является общедоступным IP-адресом Azure.Without the endpoint, the address is an Azure public IP address.
  • Просмотр действующих маршрутов любого сетевого интерфейса в подсети.Viewing the effective routes on any network interface in a subnet. Маршрут к службе:The route to the service:
    • отображает более точный маршрут по умолчанию с учетом префиксов адресов каждой службы;Shows a more specific default route to address prefix ranges of each service
    • использует значение VirtualNetworkServiceEndpoint параметра nextHopType;Has a nextHopType of VirtualNetworkServiceEndpoint
    • указывает, что для службы применяется прямое соединение более высокого уровня, чем соединение любого маршрута с принудительным туннелированием.Indicates that a more direct connection to the service is in effect, compared to any forced-tunneling routes

Примечание

Маршрут конечной точки службы переопределяет маршруты BGP или UDR при совпадении префиксов адресов для службы Azure.Service endpoint routes override any BGP or UDR routes for the address prefix match of an Azure service. Ознакомьтесь со сведениями об устранении неполадок с действующими маршрутами.Learn more about troubleshooting with effective routes

Идет подготовкаProvisioning

Пользователь с правами на запись в виртуальной сети может настроить конечные точки служб в виртуальных сетях независимо друг от друга.Service endpoints can be configured on virtual networks independently, by a user with write access to a virtual network. Чтобы защитить ресурсы службы Azure для виртуальной сети, пользователь должен иметь разрешение на доступ к Microsoft. Network/virtualNetworks/подсети/жоинвиасервицеендпоинт/Action для добавляемых подсетей.To secure Azure service resources to a VNet, the user must have permission to Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action for the subnets being added. Это разрешение по умолчанию включено во встроенные роли администраторов служб и может быть изменено при создании настраиваемых ролей.This permission is included in the built-in service administrator roles, by default and can be modified by creating custom roles.

Узнайте больше о встроенных ролях и назначении разрешений, определенных для настраиваемых ролей.Learn more about built-in roles and assigning specific permissions to custom roles.

Виртуальные сети и ресурсы служб Azure могут находиться в одной или разных подписках.Virtual networks and Azure service resources can be in the same or different subscriptions. Если они находятся в разных подписках, ресурсы должны быть размещены в одном клиенте Active Directory (AD).If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

Цены и ограниченияPricing and limits

За использование конечных точек службы дополнительная плата не взимается.There is no additional charge for using service endpoints. Текущие цены на службы Azure (служба хранилища Azure, База данных SQL Azure и т. д.) применяются без изменений.The current pricing model for Azure services (Azure Storage, Azure SQL Database etc.) applies as is today.

Общее количество конечных точек служб в виртуальной сети не ограничено.There is no limit on the total number of service endpoints in a virtual network.

Некоторые службы Azure, такие как учетные записи хранения Azure, могут применять ограничения на количество подсетей, используемых для защиты ресурса.Certain Azure services, such as Azure Storage Accounts, may enforce limits on the number of subnets used for securing the resource. Дополнительные сведения см. в документации по различным службам в разделе Дальнейшие действия.Refer to the documentation for various services in Next steps for details.

Политики конечных точек служб для виртуальной сетиVirtual Network Service Endpoint Policies

Политики конечных точек служб для виртуальной сети позволяют фильтровать трафик из виртуальной сети к службам Azure, разрешая трафик определенных ресурсов служб через конечные точки служб.Virtual Network service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources, over service endpoints. Политики конечных точек служб предоставляют возможность детального контроля доступа трафика из виртуальной сети к службам Azure.Service endpoint policies provide granular access control for virtual network traffic to Azure services. Дополнительные сведения см. в статье Политики конечных точек служб для виртуальной сети (предварительная версия).More Info: Virtual Network Service Endpoint Policies

Часто задаваемые вопросыFAQs

Часто задаваемые вопросы о конечной точке службы для виртуальной сети см. здесь.For FAQs, look at Virtual Network Service Endpoint FAQs

Следующие шагиNext steps