Sanal Ağ hizmet uç noktaları

Sanal Ağ (VNet) hizmet uç noktası, Azure omurga ağı üzerinden iyileştirilmiş bir yol üzerinden Azure hizmetleriyle güvenli ve doğrudan bağlantı sağlar. Uç noktalar kritik Azure hizmeti kaynaklarınızı sanal ağlarınızla sınırlayarak güvenliğini sağlamanıza imkan verir. Hizmet Uç Noktaları, sanal ağ üzerinde genel IP adresine gerek kalmadan sanal ağ içinde özel IP adreslerinin bir Azure hizmetinin uç noktasına ulaşarak ulaşabilirsiniz.

Hizmet uç noktaları aşağıdaki Azure hizmetleri ve bölgeleri için kullanılabilir. Microsoft. * kaynağı parantez içindedir. Hizmetiniz için hizmet uç noktalarını yapılandırırken bu kaynağı alt ağ tarafından etkinleştirin:

Genel kullanıma sunuldu

• Azure Depolama (Microsoft.Depolama): Genel olarak tüm Azure bölgelerinde kullanılabilir.
• Azure SQL Veritabanı (Microsoft.Sql): Genel olarak tüm Azure bölgelerinde kullanılabilir.
• Azure Synapse Analytics (Microsoft.Sql): Ayrılmış SQL havuzları (eski adı DW) için tüm Azure SQL kullanılabilir.
• PostgreSQL için Azure Veritabanı sunucusu (Microsoft.Sql): Veritabanı hizmetinin kullanılabilir olduğu Azure bölgelerinde genel olarak kullanılabilir.
• MySQL için Azure Veritabanı sunucusu (Microsoft.Sql): Veritabanı hizmetinin kullanılabilir olduğu Azure bölgelerinde genel olarak kullanılabilir.
• MariaDB için Azure Veritabanı (Microsoft.Sql): Veritabanı hizmetinin kullanılabilir olduğu Azure bölgelerinde genel olarak kullanılabilir.
• Azure Cosmos DB (Microsoft.AzureCosmosDB): Genel olarak tüm Azure bölgelerinde kullanılabilir.
• Azure Key Vault (Microsoft.KeyVault): Genel olarak tüm Azure bölgelerinde kullanılabilir.
• Azure Service Bus (Microsoft.ServiceBus): Genel olarak tüm Azure bölgelerinde kullanılabilir.
• Azure Event Hubs (Microsoft.EventHub): Genel olarak tüm Azure bölgelerinde kullanılabilir.
• Azure Data Lake Store 1. Nesil (Microsoft.AzureActiveDirectory): Azure'ın kullanılabilir olduğu tüm Azure ADLS 1. Nesil kullanılabilir.
• Azure App Service (Microsoft.Web): App Service'in kullanılabilir olduğu tüm Azure bölgelerinde genel olarak kullanılabilir.
• Azure Bilişsel Hizmetler (Microsoft.CognitiveServices): Bilişsel hizmetlerin kullanılabilir olduğu tüm Azure bölgelerinde genel olarak kullanılabilir.

Genel Önizleme

• Azure Container Registry (Microsoft.ContainerRegistry): Önizleme, kullanılabilir olduğu sınırlı Azure Azure Container Registry kullanılabilir.

En güncel bildirimler için Azure Sanal Ağ güncelleştirmeleri sayfasını inceleyin.

Önemli avantajlar

Hizmet uç noktaları aşağıdaki avantajları sağlar:

• Azure hizmet kaynaklarınız için geliştirilmiş güvenlik: Sanal ağ özel adres alanları çakışabilir. Sanal ağınız kaynaklı trafiği benzersiz bir şekilde tanımlamak için çakışan alanları kullanamazsiniz. Hizmet uç noktaları, sanal ağ kimliğini hizmete genişleterek Sanal ağınıza Azure hizmet kaynaklarının güvenliğini sağlama olanağı sağlar. Sanal ağ içinde hizmet uç noktalarını etkinleştiren bir sanal ağ kuralı ekp sanal ağınıza Azure hizmet kaynaklarının güvenliğini sebilirsiniz. Kural eklemesi, kaynaklara genel İnternet erişimini tamamen kaldırarak ve yalnızca sanal ağınıza gelen trafiğe izin vererek gelişmiş güvenlik sağlar.

• Sanal ağınıza yönelik Azure hizmet trafiği için en uygun yönlendirme: Günümüzde, sanal ağınız içinde İnternet trafiğini şirket içi ve/veya sanal gereçlere yönlendiren tüm yollar, Azure hizmet trafiğini de İnternet trafiğiyle aynı yolu almaya zorlar. Hizmet uç noktaları Azure trafiği için en uygun rotayı sunar.

  Uç noktalar her zaman hizmet trafiğini sanal ağınızdan doğrudan Microsoft Azure omurga ağındaki hizmete yönlendirir. Trafiğin Azure omurga ağında tutulması, zorlamalı tünel aracılığıyla hizmet trafiğini etkilemeden, giden İnternet trafiğini sanal ağlarınızdan denetlemeye ve izlemeye devam etmenize olanak sağlar. Kullanıcı tanımlı yollar ve zorlamalı tünel hakkında daha fazla bilgi için bkz. Azure sanal ağ trafiği yönlendirme.

• Kolay kurulum sayesinde daha az yönetim yükü: Azure kaynaklarını IP güvenlik duvarı aracılığıyla güvenli hale getirmek için artık sanal ağınızda ayrılmış, ortak IP adresleri olması gerekmez. Hizmet uç noktalarını ayarlamak için ağ adresi çevirisi (NAT) veya ağ geçidi cihazı gerekmez. Bir alt ağda basit bir tıklamayla hizmet uç noktalarını yapılandırabilirsiniz. Uç noktaların bakımını yapmak için ek yük yoktur.

Sınırlamalar

• Bu özellik yalnızca Azure Resource Manager dağıtım modeli üzerinden dağıtılmış olan sanal ağlarda kullanılabilir.
• Uç noktalar Azure sanal ağlarında yapılandırılmış olan alt ağlarda etkindir. Uç noktalar, şirket içi ve Azure hizmetlerinden gelen trafik için kullanılamaz. Daha fazla bilgi için bkz. Şirket içi Azure hizmet erişiminin güvenliğini sağlama
• Azure SQL için, hizmet uç noktası yalnızca sanal ağ ile aynı bölgedeki Azure hizmeti trafiği için geçerlidir. Azure Depolama uç noktaları ayrıca sanal ağı dağıtarak Read-Access Geo-Redundant Depolama (RA-GRS) ve Geo-Redundant Depolama (GRS) trafiğini destekleyecek şekilde genişletebilirsiniz. Daha fazla bilgi için bkz. Azure eşleştirilmiş bölgeleri.
• Azure Data Lake Depolama (ADLS) 1. Nesil için Sanal Ağ Tümleştirme özelliği yalnızca aynı bölgedeki sanal ağlar için kullanılabilir. Ayrıca, ADLS 1. Nesil için sanal ağ tümleştirmesi, erişim belirtecinin içinde ek güvenlik talepleri oluşturmak için sanal ağınız ve Azure Active Directory (Azure AD) arasındaki sanal ağ hizmet uç noktası güvenliğini kullanır. Ardından bu talepler sanal ağınız için Data Lake Storage 1. Nesil hesabınızda kimlik doğrulaması gerçekleştirme ve erişim izni verme amacıyla kullanılır. Hizmet uç noktalarını destekleyen hizmetler altında listelenen Microsoft.AzureActiveDirectory etiketi yalnızca ADLS 1. Nesil'e yönelik hizmet uç noktalarını desteklemek için kullanılır. Azure AD, hizmet uç noktalarını yerel olarak desteklemez. Azure 1. Nesil sanal Data Lake Store hakkında daha fazla bilgi için bkz. Azure Data Lake'te ağ güvenliği Depolama 1. Nesil.

Azure hizmetlerinin sanal ağlarla güvenliğini sağlama

• Sanal ağ hizmet uç noktası, Azure hizmetine sanal ağınızın kimliğini sağlar. Sanal ağ içinde hizmet uç noktalarını etkinleştiren bir sanal ağ kuralı ekp sanal ağınıza Azure hizmet kaynaklarının güvenliğini sebilirsiniz.

• Günümüzde, bir sanal ağdan gelen Azure hizmet trafiği, kaynak IP adresleri olarak ortak IP adreslerini kullanır. Hizmet uç noktaları ile, hizmet trafiği sanal ağınızdan Azure hizmetinize erişim sırasında kaynak IP adresleri olarak sanal ağ özel adreslerini kullanır. Bu anahtar IP güvenlik duvarlarında kullanılan ayrılmış ve genel IP adreslerini kullanmadan hizmetlere erişmenizi sağlar.

  Not

  Hizmet uç noktaları ile alt ağdaki sanal makinelerin kaynak IP adresleri hizmet trafiği için genel IPv4 adresleri yerine özel IPv4 adreslerini kullanmaya başlar. Bu değişikliğin ardından Azure genel IP adreslerini kullanan mevcut Azure hizmeti güvenlik duvarı kuralları çalışmamaya başlar. Hizmet uç noktalarını ayarlamadan önce Azure hizmeti güvenlik duvarı kurallarının bu değişikliğe uygun olduğundan emin olun. Hizmet uç noktalarını yapılandırırken bu alt ağdan gelen hizmet trafiğinde geçici kesintiler de yaşayabilirsiniz.

Şirket içi Azure hizmeti erişiminin güvenliğini sağlama

Varsayılan olarak, sanal ağlarla güvenliği sağlanacak Azure hizmet kaynaklarına şirket içi ağlardan erişilemez. Şirket içi gelen trafiğe izin vermek için, şirket içi veya ExpressRoute'tan genel (genellikle NAT) IP adreslerine de izin verebilirsiniz. Azure hizmet kaynakları için IP güvenlik duvarı yapılandırması aracılığıyla bu IP adreslerini ebilirsiniz.

ExpressRoute: Şirket içi genel eşleme veya Microsoft eşlemesi için ExpressRoute kullanıyorsanız, kullanmakta olduğunu NAT IP adreslerini tanımlamanız gerekir. Genel eşleme için, her ExpressRoute bağlantı hattı varsayılan olarak iki NAT IP adresi kullanır ve trafik ağ omurgası içine Microsoft Azure Azure hizmet trafiğine uygulanır. Microsoft eşlemesi için NAT IP adresleri müşteri tarafından sağlanır veya hizmet sağlayıcısı tarafından sağlanır. Hizmet kaynaklarınıza erişime izin vermek için, bu genel IP adreslerine kaynak IP güvenlik duvarı ayarında izin vermeniz gerekir. Ortak eşleme ExpressRoute bağlantı hattı IP adreslerinizi bulmak için Azure portalında ExpressRoute ile bir destek bileti açın. ExpressRoute genel ve Microsoft eşlemesi için NAT hakkında daha fazla bilgi için bkz. ExpressRoute NAT gereksinimleri.

Yapılandırma

• Sanal ağ içinde bir alt ağda hizmet uç noktalarını yapılandırın. Uç noktalar ilgili alt ağ içinde çalışan tüm işlem örneği türleriyle birlikte çalışabilir.
• Bir alt ağda desteklenen tüm Azure hizmetleri (örneğin, Azure Depolama veya Azure SQL Veritabanı) için birden çok hizmet uç noktası yapılandırabilirsiniz.
• Azure SQL Veritabanı için, sanal ağların Azure hizmet kaynağıyla aynı bölgede bulunması gerekir. GRS ve RA-GRS Azure Depolama hesapları kullanılıyorsa, birincil hesap sanal ağ ile aynı bölgede olmalıdır. Diğer tüm hizmetler için Azure hizmet kaynaklarını herhangi bir bölgedeki sanal ağlarla güvenli hale getirdiniz.
• Uç noktanın yapılandırıldığı sanal ağ, Azure hizmet kaynağıyla aynı veya ondan farklı abonelikte olabilir. Uç noktaları ayarlamak ve Azure hizmetlerinin güvenliğini sağlamak için gerekli olan izinler hakkında daha fazla bilgi için Sağlama bölümüne bakın.
• Desteklenen hizmetler için yeni veya mevcut kaynaklar ile sanal ağlar arasındaki güvenliği hizmet uç noktaları kullanarak sağlayabilirsiniz.

Dikkat edilmesi gerekenler

• Bir hizmet uç noktası etkinleştirdikten sonra, kaynak IP adresleri genel IPv4 adreslerinden hizmetle bu alt ağdan iletişim kurarken özel IPv4 adreslerini kullanmaya geçiştir. Hizmete giden mevcut açık TCP bağlantıları bu geçiş sırasında kapatılır. Bir alt ağ için hizmete yönelik hizmet uç noktasını etkinleştirmeden veya devre dışı bırakmadan önce çalışan kritik görev olmadığından emin olun. Ayrıca uygulamalarınızın IP adresi değişikliğinin ardından Azure hizmetlerine otomatik olarak bağlanabildiğinden emin olun.

  IP adresi değişiklikleri yalnızca sanal ağınızdan giden hizmet trafiğini etkiler. Sanal makinelerinize atanan genel IPv4 adreslerine veya adreslerinden gelen diğer trafik etkilenmez. Azure hizmetleri açısından, Azure genel IP adreslerini kullanan mevcut güvenlik duvarı kurallarınız varsa bu kurallar sanal ağ özel adresine geçiş yapıldığında çalışmaz.

• Hizmet uç noktalarıyla, Azure hizmetlerinin DNS girişleri bugün olduğu gibi kalır ve Azure hizmetine atanan genel IP adreslerine çözüme devam eder.

• Hizmet uç noktasına sahip ağ güvenlik grupları (NSG):

  • Varsayılan olarak, NSG'ler giden İnternet trafiğine izin ve ayrıca sanal ağınız ile Azure hizmetleri arasında trafiğe izin sağlar. Bu trafik hizmet uç noktalarıyla olduğu gibi çalışmaya devam eder.
  • Tüm giden İnternet trafiğini reddetmek ve yalnızca belirli Azure hizmetleri için trafiğe izin vermek için NSG'lerinize hizmet etiketlerini kullanabilirsiniz. NSG kurallarında hedef olarak desteklenen Azure hizmetlerini belirtebilirsiniz ve Azure ayrıca her etiketin temel alınan IP adreslerinin bakımını da sağlar. Daha fazla bilgi için bkz. NSG'ler için Azure Hizmet etiketleri.

Senaryolar

• Eşlenmiş, bağlı veya birden çok sanal ağ: Bir sanal ağ içindeki veya birden fazla sanal ağ üzerinde bulunan birden fazla alt ağdaki Azure hizmetlerinin güvenliğini sağlamak için, her bir alt ağdaki hizmet uç noktasını ayrı ayrı etkinleştirebilir ve bu alt ağlara giden Azure hizmet kaynaklarının güvenliğini sağlayabilirsiniz.
• Sanal ağdan Azure hizmetlerine giden trafiği filtreleme: Bir sanal ağdan Azure hizmetine gönderilen trafiği incelemek veya filtrelemek için sanal ağ içinde bir ağ sanal aleti dağıtabilirsiniz. Ardından hizmet uç noktalarını ağ sanal gerecinin dağıtılmış olduğu alt ağa uygulayabilir ve Azure hizmet kaynağını yalnızca bu alt ağ ile sınırlayabilirsiniz. Bu senaryo, Sanal ağınıza gelen Azure hizmeti erişimini yalnızca belirli Azure kaynaklarıyla kısıtlamak için ağ sanal gereç filtrelemesi kullanmak için yararlı olabilir. Daha fazla bilgi için bkz. Ağ sanal gereçleri ile çıkış.
• Azure kaynaklarını doğrudan sanal ağlara dağıtılan hizmetlerle güvenli hale getirme: Çeşitli Azure hizmetlerini bir sanal ağ içinde belirli alt ağlara doğrudan dağıtabilirsiniz. Yönetilen hizmet alt ağında bir hizmet uç noktası kurarak Azure hizmet kaynaklarını yönetilen hizmet alt ağlarına ayırabilirsiniz.
• Azure sanal makinesinden disk trafiği: Yönetilen ve yönetilemeyen diskler için Sanal Makine Disk trafiği, Azure sanal makineleri için hizmet uç noktası yönlendirme değişikliklerinden Depolama. Bu trafik diskIO'yu ve bağlamayı ve çıkar'ları içerir. Hizmet uç noktaları ve Azure ağ kuralları aracılığıyla ağları seçmek için sayfa bloblarına REST erişimini Depolama edebilirsiniz.

Günlüğe kaydetme ve sorun giderme

Hizmet uç noktalarını belirli bir hizmete yapılandırdıktan sonra, aşağıdakiler ile hizmet uç noktası yolunun geçerli olduğunu doğrular:

• Hizmet tanılamada herhangi bir hizmet isteğinin kaynak IP adresini doğrulama. Hizmet uç noktalarına sahip tüm yeni isteklerin kaynak IP adresi değerinde isteği sanal ağınızdan gönderen istemciye atanmış olan sanal ağ özel IP adresi gösterilir. Uç noktası olmadığında bu adres Azure genel IP adreslerinden biri olur.
• Bir alt ağdaki herhangi bir ağ arabiriminin etkin yollarını görüntüleme. Hizmet yolu:
  • Her hizmetin adres ön eki aralıklarına daha belirli bir varsayılan yolu gösterir
  • nextHopType değeri VirtualNetworkServiceEndpoint olarak belirlenmiştir
  • Zorlamalı tünel rotaları ile karşılaştırıldığında hizmete daha doğrudan bir bağlantının geçerli olduğunu gösterir

Sağlama

Hizmet uç noktaları, bir sanal ağa yazma erişimi olan bir kullanıcı tarafından sanal ağlarda bağımsız olarak yalıtılabilir. Azure hizmet kaynaklarını bir sanal ağ ile güvenli hale almak için kullanıcının eklenen alt ağlar için Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action iznine sahip olması gerekir. Yerleşik hizmet yöneticisi rolleri varsayılan olarak bu izni içerir. Özel roller oluşturarak izni değiştirebilirsiniz.

Yerleşik roller hakkında daha fazla bilgi için bkz. Azure yerleşik rolleri. Özel rollere belirli izinler atama hakkında daha fazla bilgi için bkz. Azure özel rolleri.

Sanal ağlar ve Azure hizmet kaynakları aynı ağda veya farklı aboneliklerde olabilir. Azure Depolama ve Azure Key Vault gibi bazı Azure Hizmetleri (hepsi değil) farklı Active Directory (AD) kiracılarında hizmet uç noktalarını da destekler; örneğin, sanal ağ ve Azure hizmet kaynağı farklı Active Directory (AD) kiracılarında olabilir. Daha fazla ayrıntı için lütfen tek tek hizmet belgelerine bakın.

Fiyatlandırma ve limitler

Hizmet uç noktalarını kullanmak için ek ücret ödemezsiniz. Azure hizmetleri (Azure Depolama, Azure SQL Veritabanı vb.) için geçerli fiyatlandırma modeli bugün olduğu gibi geçerlidir.

Sanal ağdaki hizmet uç noktalarının toplam sayısına bir sınır yoktur.

Azure Depolama Hesapları gibi bazı Azure hizmetleri, kaynağın güvenliğini sağlamak için kullanılan alt ağ sayısına yönelik sınırları zorlar. Ayrıntılar için Sonraki adımlar bölümündeki çeşitli hizmetlere ilişkin belgelere bakın.

Sanal ağ hizmet uç noktası ilkeleri

Sanal ağ hizmet uç noktası ilkeleri, Azure hizmetleri için sanal ağ trafiğini filtrelemeye olanak sağlar. Bu filtre, hizmet uç noktaları üzerinden yalnızca belirli Azure hizmet kaynaklarına izin verir. Hizmet uç noktası ilkeleri, Azure hizmetleri için sanal ağ trafiği için ayrıntılı erişim denetimi sağlar. Daha fazla bilgi için bkz. Sanal Ağ Hizmeti Uç Nokta İlkeleri.

SSS

SSS için bkz. Sanal Ağ Hizmet Uç Noktası hakkında SSS.

Sonraki adımlar

• Sanal ağ hizmet uç noktalarını yapılandırma
• Bir Azure Depolama hesabının güvenliğini sanal ağ ile sağlama
• Sanal Azure SQL Veritabanı güvenli hale
• Sanal Azure Synapse Analytics güvenli hale
• Özel Uç Noktaları ve Hizmet Uç Noktalarını Karşılaştırma
• Sanal Ağ Hizmeti Uç Nokta İlkeleri
• Azure Resource Manager şablonu