Qu’est-ce qu’un point de terminaison privé ?

Un point de terminaison privé est une interface réseau qui utilise une adresse IP privée de votre réseau virtuel. Cette interface réseau vous connecte de manière privée et sécurisée à un service fonctionnant avec Azure Private Link. En activant un point de terminaison privé, vous intégrez le service à votre réseau virtuel.

Le service peut être l’un des services Azure suivants :

  • Stockage Azure
  • Azure Cosmos DB
  • Azure SQL Database
  • Votre propre service utilisant un service Private Link.

Propriétés du point de terminaison privé

Un point de terminaison privé spécifie les propriétés suivantes :

Propriété Description
Nom Nom unique dans le groupe de ressources.
Subnet Sous-réseau à déployer et emplacement où l’adresse IP privée est attribuée. Pour connaître les impératifs liés au sous-réseau, consultez la section Limitations ultérieurement dans cet article.
Ressource private-link Ressource private-link à connecter avec l’ID de ressource ou l’alias dans la liste des types disponibles. Un identificateur réseau unique est généré pour tout le trafic qui est envoyé à cette ressource.
Sous-ressource cible Sous-ressource à connecter. Chaque type de ressource private-link a différentes options à sélectionner en fonction de vos préférences.
Méthode d’approbation de la connexion Automatique ou manuel. Selon les autorisations de contrôle d’accès en fonction du rôle Azure, votre point de terminaison privé peut être approuvé automatiquement. Si vous vous connectez à une ressource private-link sans autorisation en fonction du rôle Azure, utilisez la méthode manuelle pour permettre au propriétaire de la ressource d’approuver la connexion.
Message de requête Vous pouvez spécifier un message pour que les connexions demandées soient approuvées manuellement. Ce message peut être utilisé pour identifier une demande spécifique.
État de la connexion Propriété en lecture seule qui spécifie si le point de terminaison privé est actif. Seules les instances Private Endpoint dans un état approuvé peuvent être utilisées pour envoyer du trafic. Autres états disponibles :
  • Approuvée : la connexion a été approuvée automatiquement ou manuellement et est prête à être utilisée.
  • En attente : la connexion a été créée manuellement et est en attente d’approbation par le propriétaire de la ressource private-link.
  • Rejetée : la connexion a été rejetée par le propriétaire de la ressource private-link.
  • Déconnectée : la connexion a été supprimée par le propriétaire de la ressource private-link. Private Endpoint devient informatif et doit être supprimé pour le nettoyage.
  • Au fur et à mesure que vous créez des points de terminaison privés, tenez compte des points suivants :

    • Les points de terminaison privés activent la connectivité entre les clients de la même manière :

      • Réseau virtuel
      • réseaux virtuels avec peering régional ;
      • réseaux virtuels avec peering mondial ;
      • Environnements locaux qui utilisent VPN ou Express route
      • Services alimentés par Private Link
    • Des connexions réseau ne peuvent être établies que par des clients qui se connectent au point de terminaison privé. Les fournisseurs de services n’ont pas de configuration de routage pour établir des connexions avec des clients du service. Les connexions ne peuvent uniquement être établies quand dans une seule direction.

    • Une interface réseau en lecture seule est automatiquement créée pour le cycle de vie du point de terminaison privé. Une adresse IP privée dynamique est attribuée à l’interface à partir du sous-réseau qui est mappé à la ressource private-link. La valeur de l’adresse IP privée reste inchangée pour l’intégralité du cycle de vie du point de terminaison privé.

    • Le point de terminaison privé doit être déployé dans la même région et dans le même abonnement que le réseau virtuel.

    • La ressource private-link peut être déployée dans une autre région que celle du réseau virtuel et du point de terminaison privé.

    • Vous pouvez créer plusieurs points de terminaison privés à l’aide de la même ressource private-link. Dans le cas d’un seul réseau utilisant une configuration de serveur DNS courante, il est recommandé d’utiliser un seul point de terminaison privé pour une ressource private-link spécifiée. Utilisez cette bonne pratique pour éviter les entrées en double ou les conflits de résolution DNS.

    • Plusieurs instances Private Endpoint privées peuvent être créées sur des sous-réseaux identiques ou différents au sein du même réseau virtuel. Il existe des limites au nombre d’instances Private Endpoint que vous pouvez créer dans un abonnement. Pour plus d'informations, consultez Limites Azure.

    • L’abonnement qui contient la ressource de lien privé doit également être inscrit auprès du fournisseur de ressources Microsoft Network. L’abonnement qui contient le point de terminaison privé doit également être inscrit auprès du fournisseur de ressources Microsoft Network. Pour plus d’informations, consultez Fournisseur de ressources Azure.

    Une ressource private-link est la cible de destination d’un point de terminaison privé spécifié. Le tableau suivant répertorie les ressources disponibles qui prennent en charge un point de terminaison privé :

    Nom de la ressource private-link Type de ressource Sous-ressources
    Application Gateway Microsoft.Network/applicationgateways Nom de la configuration IP front-end
    Recherche Azure AI Microsoft.Search/searchServices searchService
    Azure AI services Microsoft.CognitiveServices/accounts compte
    API Azure pour FHIR (Fast Healthcare Interoperability Resources) Microsoft.HealthcareApis/services fhir
    Gestion des API Azure Microsoft.ApiManagement/service Passerelle
    Azure App Configuration Microsoft.Appconfiguration/configurationStores configurationStores
    Azure App Service Microsoft.Web/hostingEnvironments environnement d'hébergement
    Azure App Service Microsoft.Web/sites sites
    Service Azure Attestation Microsoft.Attestation/attestationProviders standard
    Azure Automation Microsoft.Automation/automationAccounts Webhook, DSCAndHybridWorker
    Sauvegarde Azure Microsoft.RecoveryServices/vaults AzureBackup, AzureSiteRecovery
    Azure Batch Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Cache Azure pour Redis Microsoft.Cache/Redis redisCache
    Azure Cache pour Redis Entreprise Microsoft.Cache/redisEnterprise redisEnterprise
    Azure Container Registry Microsoft.ContainerRegistry/registries Registre
    Azure Cosmos DB Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, MongoDB, Cassandra, Gremlin, Table
    Azure Cosmos DB for MongoDB vCore Microsoft.DocumentDb/mongoClusters mongoCluster
    Azure Cosmos DB pour PostgreSQL Microsoft.DBforPostgreSQL/serverGroupsv2 coordinatrice
    Explorateur de données Azure Microsoft.Kusto/clusters cluster
    Azure Data Factory Microsoft.DataFactory/factories dataFactory
    Azure Database for MariaDB Microsoft.DBforMariaDB/servers mariadbServer
    Serveurs flexibles Azure Database pour MySQL Microsoft.DBforMySQL/flexibleServers mysqlServer
    Serveur unique Azure Database pour MySQL Microsoft.DBforMySQL/servers mysqlServer
    Azure Database pour PostgreSQL - Serveur flexible Microsoft.DBforPostgreSQL/flexibleServers postgresqlServer
    Azure Database pour PostgreSQL - Serveur unique Microsoft.DBforPostgreSQL/servers postgresqlServer
    Azure Databricks Microsoft.Databricks/workspaces databricks_ui_api, browser_authentication
    Service d’approvisionnement des appareils Azure Microsoft.Devices/provisioningServices iotDps
    Azure Digital Twins Microsoft.DigitalTwins/digitalTwinsInstances API
    Azure Event Grid Microsoft.EventGrid/domains domaine
    Azure Event Grid Microsoft.EventGrid/topics topic
    Azure Event Hub Microsoft.EventHub/namespaces espace de noms
    Azure File Sync Microsoft.StorageSync/storageSyncServices Service File Sync
    Azure HDInsight Microsoft.HDInsight/clusters cluster
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Azure IoT Hub Microsoft.Devices/IotHubs iotHub
    Azure Key Vault Microsoft.KeyVault/vaults coffre
    Azure Key Vault HSM (module de sécurité matériel) Microsoft.Keyvault/managedHSMs HSM
    Azure Kubernetes Service - API Kubernetes Microsoft.ContainerService/managedClusters gestion
    Azure Machine Learning Microsoft.MachineLearningServices/registries amlregistry
    Azure Machine Learning Microsoft.MachineLearningServices/workspaces amlworkspace
    Azure Disques managés Microsoft.Compute/diskAccesses disque managé
    Azure Media Services Microsoft.Media/mediaservices keydelivery, liveevent, streamingendpoint
    Azure Migrate Microsoft.Migrate/assessmentProjects projet
    Étendue de liaison privée Azure Monitor Microsoft.Insights/privatelinkscopes azuremonitor
    Azure Relay Microsoft.Relay/namespaces espace de noms
    Azure Service Bus Microsoft.ServiceBus/namespaces espace de noms
    Service Azure SignalR Microsoft.SignalRService/SignalR signalr
    Service Azure SignalR Microsoft.SignalRService/webPubSub webpubsub
    Azure SQL Database Microsoft.Sql/servers SQL Server (sqlServer)
    Azure SQL Managed Instance Microsoft.Sql/managedInstances managedInstance
    Azure Static Web Apps Microsoft.Web/staticSites staticSites
    Stockage Azure Microsoft.Storage/storageAccounts Blob (blob, blob_secondary)
    Table (table, table_secondary)
    File d'attente (queue, queue_secondary)
    Fichier (file, file_secondary)
    Web (web, web_secondary)
    Dfs (dfs, dfs_secondary)
    Azure Synapse Microsoft.Synapse/privateLinkHubs web
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Dev
    Pools d’hôtes : Azure Virtual Desktop Microsoft.DesktopVirtualization/hostpools connection
    Azure Virtual Desktop : espaces de travail Microsoft.DesktopVirtualization/workspaces feed
    global
    Device Update pour IoT Hub Microsoft.DeviceUpdate/accounts DeviceUpdate
    Compte d’intégration (Premium) Microsoft.Logic/integrationAccounts integrationAccount
    Microsoft Purview Microsoft.Purview/accounts account
    Microsoft Purview Microsoft.Purview/accounts portail
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Service Private Link (votre propre service) Microsoft.Network/privateLinkServices empty
    Liaisons privées de gestion des ressources Microsoft.Authorization/resourceManagementPrivateLinks ResourceManagement

    Remarque

    Vous pouvez créer des points de terminaison privés uniquement sur un compte de stockage Usage général v2 (GPv2).

    Sécurité réseau de Private Endpoint

    Quand vous utilisez des points de terminaison privés, le trafic est sécurisé vers une ressource private-link. La plateforme valide les connexions réseau, en autorisant uniquement celles qui atteignent la ressource de liaison privée spécifiée. Pour accéder à d’autres sous-ressources au sein du même service Azure, d’autres points de terminaison privés avec des cibles correspondantes sont requis. Dans le cas de Stockage Azure, par exemple, vous auriez besoin de points de terminaison privés distincts pour accéder aux sous-ressources file et blob.

    Les points de terminaison privés fournissent une adresse IP accessible en privé pour le service Azure, mais ne restreignent pas nécessairement l’accès à celui-ci via un réseau public. Toutefois, tous les autres services Azure nécessitent des contrôles d’accèssupplémentaires. Ces contrôles fournissent une couche de sécurité réseau supplémentaire à vos ressources, apportant une protection qui permet d’empêcher l’accès au service Azure associé à la ressource de liaison privée.

    Les points de terminaison privés prennent en charge les stratégies réseau. Les stratégies réseau permettent la prise en charge des groupes de sécurité réseau (NSG), des routes définies par l’utilisateur (UDR) et des groupes de sécurité d’application (ASG). Pour plus d’informations sur l’activation des stratégies réseau pour un point de terminaison privé, consultez Gérer les stratégies réseau pour les points de terminaison privés. Pour utiliser un groupe de sécurité d’application avec un point de terminaison privé, consultez Configurer un groupe de sécurité d’application avec un point de terminaison privé.

    Vous pouvez vous connecter à une ressource private-link à l’aide des méthodes d’approbation de connexion suivantes :

    • Approuver automatiquement : utilisez cette méthode lorsque vous possédez ou disposez des autorisations pour la ressource private-link spécifique. Les autorisations requises sont basées sur le type de ressource private-link au format suivant :

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Demande manuelle : utilisez cette méthode lorsque vous n’avez pas les autorisations requises et que vous souhaitez demander l’accès. Un workflow d’approbation est lancé. Le point de terminaison privé et les connexions de point de terminaison privé ultérieures sont créés dans un état En attente. Le propriétaire de la ressource private-link est responsable de l’approbation de la connexion. Une fois approuvé, le point de terminaison privé est activé pour envoyer le trafic normalement, comme indiqué dans le diagramme de flux de travail d’approbation suivant :

    Diagramme du processus d’approbation du workflow.

    Sur une connexion de point de terminaison privé, le propriétaire d’une ressource private-link peut :

    • Passer en revue tous les détails des connexions de point de terminaison privé.
    • Approuver une connexion de point de terminaison privé. Le point de terminaison privé correspondant est activé pour envoyer le trafic vers la ressource private-link.
    • Rejeter une connexion de point de terminaison privé. Le point de terminaison privé correspondant est mis à jour pour refléter cet état.
    • Supprimez une connexion de point de terminaison dans n’importe quel état. Le point de terminaison privé correspondant est mis à jour avec un état déconnecté pour refléter l’action. Le propriétaire du point de terminaison privé peut supprimer uniquement la ressource à ce stade.

    Notes

    Seuls les points de terminaison privés à l’état Approuvé peuvent envoyer le trafic vers une ressource private-link spécifiée.

    Connecter à l’aide d’un alias

    Un alias est un moniker unique qui est généré lorsque le propriétaire du service crée le service private-link derrière un équilibreur de charge standard. Les propriétaires de services peuvent partager cet alias hors connexion avec les consommateurs de votre service.

    Les consommateurs peuvent demander une connexion au service private-link à l’aide de l’URI de ressource ou de l’alias. Pour vous connecter à l’aide de l’alias, créez un point de terminaison privé en utilisant la méthode d’approbation de connexion manuelle. Pour utiliser la méthode d’approbation de connexion manuelle, affectez la valeur True au paramètre de demande manuelle au cours de la création de votre flux private-endpoint. Pour plus d’informations, consultez New-AzPrivateEndpoint et az network private-endpoint create.

    Notes

    Cette requête manuelle peut être approuvée automatiquement si l’abonnement consommateur figure dans la liste verte côté fournisseur. Pour plus d’informations, accédez à Contrôle de l’accès au service.

    Configuration DNS

    Les paramètres DNS que vous utilisez pour vous connecter à une ressource private-link sont importants. Les services Azure existants peuvent déjà avoir une configuration DNS que vous pouvez utiliser lorsque vous vous connectez à un point de terminaison public. Pour vous connecter au même service via un point de terminaison privé, des paramètres DNS séparés, souvent configurés via des zones DNS privées, sont requis. Vérifiez que vos paramètres DNS sont corrects quand vous utilisez le nom de domaine complet (FQDN) pour la connexion. Les paramètres doivent correspondre à l’adresse IP privée du point de terminaison privé.

    L’interface réseau associée au point de terminaison privé contient les informations nécessaires à la configuration de votre DNS. Les informations incluent le nom FQDN et l’adresse IP privée d’une ressource private-link.

    Pour obtenir des informations détaillées complètes sur les recommandations relatives à la configuration du DNS pour les points de terminaison privés, consultez Configuration DNS des points de terminaison privés.

    Limites

    Les informations suivantes énumèrent les limitations connues de l'utilisation de points d'extrémité privés :

    Adresse IP statique

    Limite Description
    Configuration d’adresse IP statique actuellement non prise en charge. Azure Kubernetes Service (AKS)
    Azure Application Gateway
    HD Insight
    Recovery Services Coffres
    Services Private Link tiers

    Groupe de sécurité réseau

    Limite Description
    Itinéraires effectifs et règles de sécurité non disponibles pour l’interface réseau de point de terminaison privé. Les itinéraires effectifs et les règles de sécurité ne s’affichent pas pour la carte réseau de point de terminaison privé dans le Portail Azure.
    Journaux de flux NSG non pris en charge. Journaux de flux du NSG non disponibles pour le trafic entrant destiné à un terminal privé.
    Plus de 50 membres dans un groupe de sécurité d’application. Cinquante est le nombre de configurations IP qui peuvent être liées à chaque ASG respectif couplé au groupe de sécurité réseau sur le sous-réseau de point de terminaison privé. Les échecs de connexion peuvent se produire avec plus de 50 membres.
    Plages de ports de destination prises en charge jusqu’à un facteur de 250 K. Les plages de ports de destination sont prises en charge en tant que multiplication SourceAddressPrefixes, DestinationAddressPrefixes et DestinationPortRanges.

    Exemple de règle entrante :
    Une source * une destination * 4 K portRanges = 4 K Valide
    10 sources * 10 destinations * 10 portRanges = 1 K Valide
    50 sources * 50 destinations * 50 portRanges = 125 K Valide
    50 sources * 50 destinations * 100 portRanges = 250 K Valide
    100 sources * 100 destinations * 100 portRanges = 1 M Invalide, NSG a trop de sources/destinations/ports.
    Le filtrage de port source est interprété comme * Le filtrage de port source n’est pas utilisé activement comme scénario valide de filtrage du trafic pour le trafic destiné à un point de terminaison privé.
    Fonctionnalité non disponible dans les régions sélectionnées. Actuellement indisponible dans les régions suivantes :
    Inde Ouest
    Australie Centre 2
    Afrique du Sud Ouest
    Brésil Sud-Est
    Toutes les régions gouvernementales
    Toutes les régions chinoises

    Autres considérations relatives au groupe de sécurité réseau

    • Le trafic sortant refusé à partir d’un point de terminaison privé n’est pas un scénario valide, car le fournisseur de services ne peut pas provenir du trafic.

    • Les services suivants peuvent nécessiter l’ouverture de tous les ports de destination lors de l’utilisation d’un point de terminaison privé et l’ajout de filtres de sécurité NSG :

    UDR

    Limite Description
    SNAT est toujours recommandé. En raison de la nature variable du plan de données du point d'extrémité privé, il est recommandé de SNAT le trafic destiné à un point d'extrémité privé pour s'assurer que le trafic de retour est honoré.
    Fonctionnalité non disponible dans les régions sélectionnées. Actuellement indisponible dans les régions suivantes :
    Inde Ouest
    Australie Centre 2
    Afrique du Sud Ouest
    Brésil Sud-Est

    Groupe de sécurité d’application

    Limite Description
    Fonctionnalité non disponible dans les régions sélectionnées. Actuellement indisponible dans les régions suivantes :
    Inde Ouest
    Australie Centre 2
    Afrique du Sud Ouest
    Brésil Sud-Est

    Étapes suivantes