Tjänstslutpunkter för virtuellt nätverk

Virtual Network tjänstslutpunkt (VNet) ger säker och direkt anslutning till Azure-tjänster via en optimerad väg över Azure-stamnätverket. Med slutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk. Med tjänstslutpunkter kan privata IP-adresser i det virtuella nätverket nå slutpunkten för en Azure-tjänst utan att behöva en offentlig IP-adress i det virtuella nätverket.

Anteckning

Microsoft rekommenderar att du Azure Private Link säker och privat åtkomst till tjänster som finns på Azure-plattformen. Mer information finns i Azure Private Link.

Tjänstslutpunkter är tillgängliga för följande Azure-tjänster och -regioner. Microsoft.-resursen * är inom parentes. Aktivera den här resursen från undernätssidan när du konfigurerar tjänstslutpunkter för din tjänst:

Allmänt tillgänglig

  • Azure Storage (Microsoft.Storage): Allmänt tillgänglig i alla Azure-regioner.
  • Azure SQL Database (Microsoft.Sql): Allmänt tillgänglig i alla Azure-regioner.
  • Azure Synapse Analytics (Microsoft.Sql): Allmänt tillgänglig i alla Azure-regioner för dedikerade SQL -pooler (tidigare SQL DW).
  • Azure Database for PostgreSQL server (Microsoft.Sql): Allmänt tillgänglig i Azure-regioner där databastjänsten är tillgänglig.
  • Azure Database for MySQL server (Microsoft.Sql): Allmänt tillgänglig i Azure-regioner där databastjänsten är tillgänglig.
  • Azure Database for MariaDB (Microsoft.Sql): Allmänt tillgänglig i Azure-regioner där databastjänsten är tillgänglig.
  • Azure Cosmos DB (Microsoft.AzureCosmosDB): Allmänt tillgänglig i alla Azure-regioner.
  • Azure Key Vault (Microsoft.KeyVault): Allmänt tillgängligt i alla Azure-regioner.
  • Azure Service Bus (Microsoft.ServiceBus): Allmänt tillgängligt i alla Azure-regioner.
  • Azure Event Hubs (Microsoft.EventHub): Allmänt tillgänglig i alla Azure-regioner.
  • Azure Data Lake Store Gen 1 (Microsoft.AzureActiveDirectory): Allmänt tillgänglig i alla Azure-regioner där ADLS Gen1 är tillgänglig.
  • Azure App Service (Microsoft.Web): Allmänt tillgängligt i alla Azure-regioner där App Service är tillgängligt.
  • Azure Cognitive Services (Microsoft.CognitiveServices): Allmänt tillgängligt i alla Azure-regioner där Cognitive Services är tillgängligt.

Offentlig förhandsversion

  • Azure Container Registry (Microsoft.ContainerRegistry): Förhandsversion är tillgänglig i begränsade Azure-regioner där Azure Container Registry är tillgänglig.

De mest uppdaterade meddelandena finns på sidan för Azure Virtual Network-uppdateringar.

Viktiga fördelar

Tjänstslutpunkter har följande fördelar:

  • Förbättrad säkerhet för dina Azure-tjänstresurser: Privata adressutrymmen i det virtuella nätverket kan överlappa varandra. Du kan inte använda överlappande utrymmen för att unikt identifiera trafik som kommer från ditt virtuella nätverk. Med tjänstslutpunkter kan du skydda Azure-tjänstresurser i ditt virtuella nätverk genom att utöka VNet-identiteten till tjänsten. När du aktiverar tjänstslutpunkter i det virtuella nätverket kan du lägga till en regel för virtuellt nätverk för att skydda Azure-tjänstresurserna i det virtuella nätverket. Regel-tillägget ger bättre säkerhet genom att helt ta bort offentlig Internetåtkomst till resurser och endast tillåta trafik från det virtuella nätverket.

  • Optimal routning för Azure-tjänsttrafik från ditt virtuella nätverk: I dag tvingar alla vägar i ditt virtuella nätverk som tvingar internettrafik till din lokala och/eller virtuella installationer även Azure-tjänsttrafiken att ta samma väg som Internettrafiken. Med tjänstslutpunkter får du optimal routning för Azure-trafiken.

    Slutpunkter tar alltid tjänsttrafiken direkt från ditt virtuella nätverk till tjänsten i Microsoft Azure-stamnätverket. Om du behåller trafiken i Azure-stamnätverket kan du fortsätta att granska och övervaka den utgående internettrafiken från dina virtuella nätverk, via tvingad tunneltrafik, utan att tjänsttrafiken påverkas. Mer information om användardefinierade vägar och tvingad tunneltrafik finns i Trafikroutning för virtuella Azure-nätverk.

  • Enkelt att konfigurera och lägre administrationskostnader: du behöver inte längre reserverade, offentliga IP-adresser i ditt virtuella nätverk för att skydda Azure-resurser genom IP-brandväggen. Det krävs inga NAT-enheter (Network Address Translation) eller gatewayenheter för att konfigurera tjänstslutpunkterna. Du kan konfigurera tjänstslutpunkter med ett enkelt klick på ett undernät. Det finns inga ytterligare kostnader för att underhålla slutpunkterna.

Begränsningar

  • Funktionen är bara tillgänglig för virtuella nätverk som distribuerats med Azure Resource Manager-distributionsmodellen.
  • Slutpunkter aktiveras i undernät som konfigurerats i virtuella Azure-nätverk. Slutpunkter kan inte användas för trafik från din lokala plats till Azure-tjänster. Mer information finns i Skydda Azure-tjänståtkomst från en lokal plats
  • För Azure SQL gäller en tjänstslutpunkt bara för Azure-tjänsttrafik i regionen för det virtuella nätverket. Slutpunkter Azure Storage till exempel också att inkludera parkopplade regioner där du distribuerar det virtuella nätverket för att stödja Read-Access Geo-Redundant Storage-trafik (RA-GRS) och Geo-Redundant Storage (GRS). Mer information finns i Azure-parkopplade regioner.
  • För Azure Data Lake Storage (ADLS) Gen 1 är funktionen för VNet-integrering endast tillgänglig för virtuella nätverk inom samma region. Observera också att integrering av virtuella nätverk för ADLS Gen1 använder tjänstslutpunktssäkerhet för virtuellt nätverk mellan ditt virtuella nätverk och Azure Active Directory (Azure AD) för att generera ytterligare säkerhetsanspråk i åtkomsttoken. Dessa anspråk används sedan för att autentisera ditt virtuella nätverk till ditt Data Lake Storage Gen1-konto och tillåta åtkomst. Taggen Microsoft.AzureActiveDirectory som anges under tjänster som stöder tjänstslutpunkter används endast för att stödja tjänstslutpunkter till ADLS Gen 1. Azure AD har inte inbyggt stöd för tjänstslutpunkter. Mer information om integrering av virtuella Azure Data Lake Store Gen 1-nätverk finns i Nätverkssäkerhet i Azure Data Lake Storage Gen1.

Skydda Azure-tjänster till virtuella nätverk

  • En tjänstslutpunkt för virtuellt nätverk anger det virtuella nätverkets identitet för Azure-tjänsten. När du aktiverar tjänstslutpunkter i det virtuella nätverket kan du lägga till en regel för virtuellt nätverk för att skydda Azure-tjänstresurserna i det virtuella nätverket.

  • Idag används offentliga IP-adresser som IP-källadresser för Azure-tjänsttrafiken från ett virtuellt nätverk. Med tjänstslutpunkter använder tjänsttrafiken istället privata adresser i det virtuella nätverket som IP-källadresser vid åtkomst till Azure-tjänsten från det virtuella nätverket. Med det här bytet kan du komma åt tjänsterna utan att behöva reserverade, offentliga IP-adresser som används i brandväggar.

    Anteckning

    Med tjänstslutpunkter växlar källans IP-adresser för virtuella datorer i undernätet för tjänsttrafik från att använda offentliga IPv4-adresser till att istället använda privata. Befintliga brandväggsregler för Azure-tjänsten med hjälp av offentliga IP-adresser i Azure slutar att fungera via den här ändringen. Kontrollera att brandväggsreglerna för Azure-tjänsten tillåter den här växeln innan du konfigurerar tjänstslutpunkter. Det kan också uppstå tillfälligt avbrott för tjänsttrafik från det här undernätet när du konfigurerar tjänstslutpunkter.

Skydda Azure-tjänståtkomst från en lokal plats

Som standard kan azure-tjänstresurser som skyddas i virtuella nätverk inte nås från lokala nätverk. Om du vill tillåta trafik från en lokal plats måste du även tillåta offentliga IP-adresser (vanligtvis NAT) från din lokala plats eller ExpressRoute. Du kan lägga till dessa IP-adresser via IP-brandväggskonfigurationen för Azure-tjänstresurser.

ExpressRoute: Om du använder ExpressRoute för offentlig peering eller Microsoft-peering från din lokala plats måste du identifiera de NAT IP-adresser som du använder. För offentlig peering använder varje ExpressRoute-krets två NAT IP-adresser, som standard tillämpas på Azure-tjänsttrafik när trafiken kommer Microsoft Azure nätverkets stamnät. För Microsoft-peering är NAT-IP-adresserna antingen kunder som tillhandahålls eller tillhandahålls av tjänstleverantören. Om du vill tillåta åtkomst till dina tjänstresurser måste du tillåta dessa offentliga IP-adresser i resursens IP-brandväggsinställning. För att kunna hitta ExpressRoute-kretsens IP-adresser för offentlig peering öppnar du en supportbegäran hos ExpressRoute via Azure-portalen. Mer information om NAT för expressroute offentlig och Microsoft-peering finns i ExpressRoute NAT requirements (NAT-krav för ExpressRoute).

Skydda Azure-tjänster i virtuella nätverk

Konfiguration

  • Konfigurera tjänstslutpunkter i ett undernät i ett virtuellt nätverk. Slutpunkter fungerar med valfri typ av beräkningsinstans som körs inom det undernätet.
  • Du kan konfigurera flera tjänstslutpunkter för alla Azure-tjänster som stöds (Azure Storage eller Azure SQL Database till exempel) i ett undernät.
  • För Azure SQL Database måste virtuella nätverk finnas i samma region som Azure-tjänstresursen. Om du använder GRS- och RA-GRS-konton för Azure Storage måste det primära kontot finnas i samma region som det virtuella nätverket. För alla andra tjänster kan du skydda Azure-tjänstresurser i virtuella nätverk i valfri region.
  • Det virtuella nätverket där slutpunkten konfigureras kan vara i samma prenumeration som Azure-tjänstresursen eller i en annan. Mer information om vilka behörigheter som krävs för att konfigurera slutpunkter och skydda Azure-tjänster finns under Etablering.
  • För tjänster som stöds kan du skydda nya eller befintliga resurser i virtuella nätverk som använder tjänstslutpunkter.

Överväganden

  • När du har aktiverar en tjänstslutpunkt växlar käll-IP-adresserna från att använda offentliga IPv4-adresser till att använda sin privata IPv4-adress vid kommunikation med tjänsten från det undernätet. Befintliga öppna TCP-anslutningar till tjänsten stängs under bytet. Kontrollera att inga kritiska uppgifter körs när du aktiverar eller inaktiverar en tjänstslutpunkt för en tjänst för ett undernät. Kontrollera även att dina program ansluter automatiskt till Azure-tjänster efter IP-adressbytet.

    IP-adressbytet påverkar bara tjänsttrafiken från ditt virtuella nätverk. Det påverkar inte någon annan trafik som är adresserad till eller från de offentliga IPv4-adresserna som tilldelats till dina virtuella datorer. För Azure-tjänster gäller att befintliga brandväggsregler där offentliga Azure-IP-adresser används slutar att fungera vid bytet till privata adresser i det virtuella nätverket.

  • Med tjänstslutpunkter förblir DNS-posterna för Azure-tjänster som de är idag och fortsätter att matcha mot offentliga IP-adresser som tilldelats Till Azure-tjänsten.

  • Nätverkssäkerhetsgrupper (NSG) med tjänstslutpunkter:

    • Som standard tillåter NSG:er utgående Internettrafik och tillåter även trafik från ditt VNet till Azure-tjänster. Den här trafiken fortsätter att fungera med tjänstslutpunkter som den är.
    • Om du vill neka all utgående Internettrafik och endast tillåta trafik till specifika Azure-tjänster kan du göra det med hjälp av tjänsttaggar i dina NSG:er. Du kan ange Azure-tjänster som stöds som mål i dina NSG-regler och Azure tillhandahåller även underhåll av IP-adresser som ligger under varje tagg. Mer information finns i Azure-tjänsttaggar för NSG:er.

Scenarier

  • Peerkopplade, anslutna eller flera virtuella nätverk: om du vill skydda Azure-tjänster i flera undernät inom ett virtuellt nätverk eller i flera virtuella nätverk kan du aktivera tjänstslutpunkter i vart och ett av dessa undernät separat och skydda Azure-tjänstresurser i samtliga undernät.
  • Filtrera utgående trafik från ett virtuellt nätverk till Azure-tjänster: Om du vill inspektera eller filtrera trafiken som skickas till en Azure-tjänst från ett virtuellt nätverk kan du distribuera en virtuell nätverksinstallation i det virtuella nätverket. Du kan sedan använda tjänstslutpunkter för undernätet där den virtuella nätverksinstallationen är distribuerad och endast skydda Azure-tjänstresurser i det här undernätet. Det här scenariot kan vara användbart om du vill använda filtrering av virtuella nätverksinstallationer för att begränsa Azure-tjänståtkomsten från ditt virtuella nätverk till specifika Azure-resurser. Mer information finns i Utgående trafik med virtuella nätverksinstallationer.
  • Skydda Azure-resurser på tjänster som distribueras direkt till virtuella nätverk: Du kan distribuera olika Azure-tjänster direkt till specifika undernät i ett virtuellt nätverk. Du kan skydda Azure-tjänstresurser i undernät med hanterade tjänster genom att konfigurera en tjänstslutpunkt i undernätet med hanterade tjänster.
  • Disktrafik från en virtuell Azure-dator: Disktrafik på virtuella datorer för hanterade och ohanterade diskar påverkas inte av tjänstslutpunkters routningsändringar för Azure Storage. Den här trafiken inkluderar diskIO samt montering och demontering. Du kan begränsa REST-åtkomsten till sidblobar för att välja nätverk via tjänstslutpunkter och Azure Storage nätverksregler.

Loggning och felsökning

När du har konfigurerat tjänstslutpunkter för en specifik tjänst kontrollerar du att tjänstslutpunktens väg gäller genom att:

  • Verifiera IP-källadressen för alla tjänstbegäran i tjänstdiagnostiken. Alla nya begäranden med tjänstslutpunkter visar IP-källadressen för begäran som det virtuella nätverkets privata adress, som tilldelats till klienten som gör begäran från ditt virtuella nätverk. Utan slutpunkten är denna adress en offentlig IP-adress för Azure.
  • Visa effektiva vägar i alla nätverksgränssnitt i ett undernät. Vägen till tjänsten:
    • Visar en mer specifik standardväg till adressprefixområden för varje tjänst
    • Har VirtualNetworkServiceEndpoint som nextHopType
    • Anger att en mer direkt anslutning till tjänsten gäller jämfört med tvingad tunneltrafik

Anteckning

Vägar för tjänstslutpunkter åsidosätter BGP- eller UDR-vägar vid matchning av adressprefix för en Azure-tjänst. Mer information finns i Felsökning med gällande vägar.

Etablering

Tjänstslutpunkter kan konfigureras i virtuella nätverk oberoende av en användare med skrivåtkomst till ett virtuellt nätverk. För att skydda Azure-tjänstresurser i ett virtuellt nätverk måste användaren ha behörighet till Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action för de tillagda undernäten. De inbyggda tjänstadministratörsrollerna innehåller den här behörigheten som standard. Du kan ändra behörigheten genom att skapa anpassade roller.

Mer information om inbyggda roller finns i Inbyggda roller i Azure. Mer information om hur du tilldelar specifika behörigheter till anpassade roller finns i Anpassade Roller i Azure.

Virtuella nätverk och Azure-tjänstresurser kan finnas i samma eller olika prenumerationer. Vissa Azure-tjänster (inte alla), till exempel Azure Storage och Azure Key Vault, stöder även tjänstslutpunkter för olika Active Directory(AD)-klienter, d.v.s. det virtuella nätverket och Azure-tjänstresursen kan finnas i olika Active Directory-klienter (AD). Mer information finns i dokumentationen för enskilda tjänster.

Priser och begränsningar

Det tillkommer inga extra avgifter för att använda tjänstslutpunkter. Den aktuella prismodellen för Azure-tjänster (Azure Storage, Azure SQL Database osv.) gäller som den är i dag.

Det finns ingen gräns för det totala antalet tjänstslutpunkter i ett virtuellt nätverk.

Vissa Azure-tjänster, till exempel Azure Storage-konton, kan framtvinga begränsningar för antalet undernät som används för att skydda resursen. Mer information finns i dokumentationen för olika tjänster i avsnittet Nästa steg.

Principer för VNet-tjänstslutpunkter

Med principer för VNet-tjänstslutpunkter kan du filtrera trafik i virtuella nätverk till Azure-tjänster. Det här filtret tillåter endast specifika Azure-tjänstresurser över tjänstslutpunkter. Principer för tjänstslutpunkt ger detaljerad åtkomstkontroll för trafik i virtuella nätverk till Azure-tjänster. Mer information finns i Virtual Network principer för tjänstslutpunkter.

Vanliga frågor och svar

Vanliga frågor och svar finns i vanliga Virtual Network vanliga frågor och svar om tjänstslutpunkter.

Nästa steg