Explicar os pontos de extremidade do serviço de rede virtual
Migrou os servidores de bases de dados e aplicações existentes do seu sistema ERP para o Azure como VMs. Agora, para reduzir os custos e requisitos administrativos, está a considerar utilizar alguns serviços PaaS (plataforma como serviço) do Azure. Os serviços de armazenamento irão manter determinados recursos de ficheiros grandes, tal como diagramas de engenharia. Esses diagramas de engenharia têm informações proprietárias e devem permanecer protegidos contra acesso não autorizado. Estes ficheiros têm de ser acessíveis somente a partir de sistemas específicos.
Nesta unidade, irá ver como utilizar pontos finais de serviço de rede virtual para proteger serviços do Azure suportados.
O que é um ponto de extremidade de serviço de rede virtual?
O ponto de extremidade do serviço de Rede Virtual (VNet) fornece conectividade segura e direta aos serviços do Azure através de uma rota otimizada através da rede de backbone do Azure. Os pontos finais permitem-lhe obter os seus recursos críticos de serviço do Azure apenas para as suas redes virtuais. Os Pontos Finais de serviço permitem que os endereços IP privados na VNet acedam ao ponto final de um serviço do Azure, sem precisar de um endereço IP público na VNet.
Por predefinição, os serviços do Azure são concebidos para o acesso direto à Internet. Todos os recursos do Azure têm endereços IP públicos, incluindo serviços PaaS, tais como a Base de Dados SQL do Azure e o Armazenamento do Microsoft Azure. Como estes serviços estão expostos à Internet, qualquer pessoa pode potencialmente aceder aos seus serviços do Azure.
Os pontos finais de serviço podem ligar determinados serviços PaaS diretamente ao seu espaço de endereços privados no Azure, para que ajam como se estivessem na mesma rede virtual. Utilize o seu espaço de endereços privados para aceder diretamente aos serviços PaaS. A adição de pontos finais de serviço não remove o ponto final público. Apenas fornece um redirecionamento de tráfego.
Preparando-se para implementar pontos de extremidade de serviço
Para habilitar um ponto de extremidade de serviço, você deve fazer as duas coisas a seguir:
- Desativar o acesso público ao serviço.
- Adicione o Service Endpoint a uma rede virtual.
Ao habilitar um Ponto de Extremidade de Serviço, você restringe o fluxo de tráfego e habilita suas VMs do Azure para acessar o serviço diretamente do seu espaço de endereço privado. Os dispositivos não podem aceder ao serviço a partir de uma rede pública. Em uma VM vNIC implantada, se você olhar para Rotas efetivas, notará o ponto de extremidade de serviço como o tipo de próximo salto.
Este é um exemplo de tabela de rotas, antes de habilitar um ponto de extremidade de serviço:
FONTE | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DE SALTO SEGUINTE |
---|---|---|---|
Predefinido | Ativos | 10.1.1.0/24 | VNet |
Predefinido | Ativos | 0.0.0.0./0 | Internet |
Predefinido | Ativos | 10.0.0.0/8 | Nenhuma |
Predefinido | Ativos | 100.64.0.0./ | Nenhuma |
Predefinido | Ativos | 192.168.0.0/16 | Nenhuma |
E aqui está um exemplo de tabela de rotas depois de adicionar dois pontos de extremidade de serviço à rede virtual:
FONTE | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DE SALTO SEGUINTE |
---|---|---|---|
Predefinido | Ativos | 10.1.1.0/24 | VNet |
Predefinido | Ativos | 0.0.0.0./0 | Internet |
Predefinido | Ativos | 10.0.0.0/8 | Nenhuma |
Predefinido | Ativos | 100.64.0.0./ | Nenhuma |
Predefinido | Ativos | 192.168.0.0/16 | Nenhuma |
Predefinido | Ativos | 20.38.106.0/23, mais 10 | Ponto Final de Serviço de Rede Virtual |
Predefinido | Ativos | 20.150.2.0/23, mais 9 | Ponto Final de Serviço de Rede Virtual |
Todo o tráfego do serviço agora é roteado para o Ponto de Extremidade do Serviço de Rede Virtual e permanece interno ao Azure.
Criar pontos de extremidade de serviço
Como engenheiro de rede, você está planejando mover arquivos de diagrama de engenharia confidenciais para o Armazenamento do Azure. Os ficheiros têm de ser acessíveis apenas a partir dos computadores dentro da rede empresarial. Você deseja criar um Ponto de Extremidade de Serviço de rede virtual para o Armazenamento do Azure para proteger a conectividade com suas contas de armazenamento.
No tutorial do ponto de extremidade de serviço, você aprenderá a:
- Habilitar um ponto de extremidade de serviço em uma sub-rede
- Usar regras de rede para restringir o acesso ao Armazenamento do Azure
- Criar um ponto final de serviço de rede virtual do Armazenamento do Microsoft Azure
- Verifique se o acesso é negado adequadamente
Configurar tags de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes das regras de segurança de rede.
Pode utilizar etiquetas de serviço para definir controlos de acesso à rede em grupos de segurança de rede ou no Azure Firewall. Utilize etiquetas de serviço em vez de endereços IP específicos quando criar regras de segurança. Ao especificar o nome da etiqueta de serviço, como Gerenciamento de API, no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
A partir de março de 2021, você também pode usar tags de serviço no lugar de intervalos de IP explícitos em rotas definidas pelo usuário. Esta funcionalidade está atualmente em Pré-visualização Pública.
Você pode usar marcas de serviço para obter isolamento de rede e proteger seus recursos do Azure da Internet geral enquanto acessa os serviços do Azure que têm pontos de extremidade públicos. Crie regras de grupo de segurança de rede de entrada/saída para negar tráfego de/para a Internet e permitir tráfego de/para o AzureCloud ou outras marcas de serviço disponíveis de serviços específicos do Azure.
Etiquetas de serviço disponíveis
A tabela a seguir inclui todas as tags de serviço disponíveis para uso em regras de grupo de segurança de rede.
As colunas indicam se a tag:
- É adequado para regras que abrangem o tráfego de entrada ou de saída.
- Suporta âmbito regional.
- É utilizável nas regras do Firewall do Azure.
Por padrão, as tags de serviço refletem os intervalos de toda a nuvem. Algumas tags de serviço também permitem um controle mais granular, restringindo os intervalos de IP correspondentes a uma região especificada. Por exemplo, a etiqueta de serviço Armazenamento representa o Armazenamento do Azure para toda a nuvem, mas Armazenamento. WestUS reduz o intervalo para apenas os intervalos de endereços IP de armazenamento da região WestUS. A tabela a seguir indica se cada marca de serviço oferece suporte a esse escopo regional.
As marcas de serviço dos serviços do Azure indicam os prefixos de endereço da nuvem específica que está sendo usada. Por exemplo, os intervalos de IP subjacentes que correspondem ao valor da marca SQL na nuvem pública do Azure serão diferentes dos intervalos subjacentes na nuvem do Azure China.
Se você implementar um Ponto de Extremidade de Serviço de rede virtual para um serviço, como o Armazenamento do Azure ou o Banco de Dados SQL do Azure, o Azure adicionará uma rota a uma sub-rede de rede virtual para o serviço. Os prefixos de endereço na rota são os mesmos prefixos de endereço, ou intervalos CIDR, que os da etiqueta de serviço correspondente.