Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli endpoint servizio di rete virtuale di Azure offrono connettività sicura e diretta ai servizi di Azure tramite una route ottimizzata tramite la rete backbone di Azure. Questi endpoint consentono di proteggere le risorse critiche del servizio di Azure esclusivamente alle reti virtuali, consentendo agli indirizzi IP privati di raggiungere i servizi di Azure senza richiedere indirizzi IP pubblici. Questa guida illustra come configurare gli endpoint di servizio, i relativi vantaggi e le procedure consigliate per l'implementazione.
Note
Microsoft consiglia l'uso di collegamento privato di Azure e di endpoint privati per l'accesso sicuro e privato ai servizi ospitati nella piattaforma Azure. Azure Private Link distribuisce un'interfaccia di rete in una rete virtuale a tua scelta per servizi Azure come Azure Storage o Azure SQL. Per altre informazioni, vedere collegamento privato di Azure e Che cos'è un endpoint privato?.
Gli endpoint di servizio sono disponibili per i servizi e le aree di Azure seguenti. La risorsa Microsoft.* è racchiusa tra parentesi. Abilitare questa risorsa dal lato subnet durante la configurazione degli endpoint di servizio per il servizio:
Disponibile a livello generale
Archiviazione di Azure (Microsoft.Storage): disponibile a livello generale in tutte le aree di Azure.
Endpoint di servizio tra le aree di Archiviazione di Azure (Microsoft.Storage.Global): generalmente disponibile in tutte le aree di Azure.
Database SQL di Azure (Microsoft.Sql): disponibile a livello generale in tutte le aree di Azure.
Azure Synapse Analytics (Microsoft.Sql): disponibile a livello generale in tutte le aree di Azure per i pool SQL dedicati (in precedenza SQL DW).
Database di Azure per MariaDB (Microsoft.Sql): disponibile a livello generale nelle aree di Azure in cui è disponibile il servizio di database.
Azure Cosmos DB (Microsoft.AzureCosmosDB): disponibile a livello generale in tutte le aree di Azure.
Azure Key Vault (Microsoft.KeyVault): disponibile a livello generale in tutte le aree di Azure.
Bus di servizio di Azure (Microsoft.ServiceBus): disponibile a livello generale in tutte le aree di Azure.
Hub eventi di Azure (Microsoft.EventHub): disponibile a livello generale in tutte le aree di Azure.
Servizio app di Azure (Microsoft.Web): disponibile a livello generale in tutte le aree di Azure in cui è disponibile il servizio app.
Servizi cognitivi di Azure (Microsoft.CognitiveServices): disponibile a livello generale in tutte le aree di Azure in cui sono disponibili servizi di Azure AI.
Registro Azure Container (Microsoft.ContainerRegistry): disponibile a livello generale in tutte le aree di Azure in cui è disponibile Registro Azure Container.
Anteprima pubblica
Per le notifiche più aggiornate, vedere la pagina Aggiornamenti della rete virtuale di Azure.
Vantaggi principali
Gli endpoint di servizio offrono i vantaggi seguenti:
Maggiore sicurezza per le risorse del servizio di Azure: gli spazi indirizzi privati della rete virtuale possono sovrapporsi. Non è possibile usare spazi sovrapposti per identificare in modo univoco il traffico proveniente dalla rete virtuale. Gli endpoint di servizio consentono di proteggere le risorse del servizio di Azure nella rete virtuale estendendo l'identità di rete virtuale al servizio. Dopo aver abilitato gli endpoint di servizio nella rete virtuale, è possibile aggiungere una regola di rete virtuale per proteggere le risorse del servizio di Azure nella rete virtuale. L'aggiunta di regole offre una maggiore sicurezza rimuovendo completamente l'accesso Internet pubblico alle risorse e consentendo il traffico solo dalla rete virtuale.
Routing ottimale per il traffico del servizio di Azure dalla rete virtuale: attualmente, tutte le route nella rete virtuale che forzano il traffico Internet verso le appliance virtuali e/o locali forzano anche il traffico del servizio di Azure a seguire la stessa route del traffico Internet. Gli endpoint di servizio forniscono il routing ottimale per il traffico di Azure.
Gli endpoint instradano sempre il traffico del servizio direttamente dalla rete virtuale al servizio nella rete backbone di Microsoft Azure. Mantenendo il traffico nella rete backbone di Azure è possibile continuare a monitorare e verificare il traffico Internet in uscita dalle reti virtuali, tramite il tunneling forzato, senza conseguenze per il traffico del servizio. Per altre informazioni sulle route definite dall'utente e sul tunneling forzato, vedere Routing del traffico di rete virtuale di Azure.
Semplice da configurare con un minor overhead di gestione: non sono più necessari indirizzi IP pubblici riservati nelle reti virtuali per proteggere le risorse di Azure attraverso il firewall IP. Non sono necessari dispositivi NAT (Network Address Translation) o gateway per configurare gli endpoint di servizio. È possibile configurare gli endpoint di servizio tramite una singola selezione in una subnet. Non è previsto alcun sovraccarico aggiuntivo per la gestione degli endpoint.
Limitazioni
La funzionalità è disponibile solo per le reti virtuali distribuite con il modello di distribuzione Azure Resource Manager.
Gli endpoint vengono abilitati nelle subnet configurate nelle reti virtuali di Azure. Gli endpoint non possono essere usati per il traffico dai servizi locali ai servizi di Azure. Per altre informazioni, vedere Proteggere l'accesso ai servizi di Azure da locale
Per SQL di Azure, un endpoint di servizio si applica solo al traffico del servizio di Azure nell'area della rete virtuale.
Per Azure Data Lake Storage (ADLS) Gen 1, la funzionalità di integrazione della rete virtuale è disponibile solo per le reti virtuali all'interno della stessa area. L'integrazione della rete virtuale per ADLS Gen1 utilizza la sicurezza dell'endpoint del servizio di rete virtuale tra la rete virtuale e Microsoft Entra ID per generare attestazioni di sicurezza aggiuntive nel token di accesso. Queste attestazioni vengono quindi usate per autenticare la rete virtuale nell'account Data Lake Storage Gen1 e consentire l'accesso. Il tag Microsoft.AzureActiveDirectory elencato nei servizi che supportano gli endpoint di servizio viene usato solo per supportare gli endpoint di servizio ad ADLS Gen 1. Microsoft Entra ID non supporta gli endpoint di servizio in modo nativo. Per altre informazioni sull'integrazione della rete virtuale di Azure Data Lake Store Gen1, vedere Sicurezza di rete in Azure Data Lake Storage Gen1.
Una rete virtuale può essere associata a un massimo di 200 sottoscrizioni e aree diverse da ogni servizio supportato con regole di rete virtuale attive configurate.
Proteggere i servizi di Azure nelle reti virtuali
Un endpoint servizio di rete virtuale fornisce l'identità della rete virtuale al servizio di Azure. Dopo aver abilitato gli endpoint di servizio nella rete virtuale, è possibile aggiungere una regola di rete virtuale per proteggere le risorse del servizio di Azure nella rete virtuale.
Il traffico del servizio di Azure da una rete virtuale usa attualmente indirizzi IP pubblici come indirizzi IP di origine. Con gli endpoint di servizio, il traffico del servizio passa all'uso di indirizzi privati della rete virtuale come indirizzi IP di origine per l'accesso al servizio di Azure dalla rete virtuale. Questa opzione consente di accedere ai servizi senza che siano necessari gli indirizzi IP pubblici riservati usati nei firewall IP.
Note
Con gli endpoint di servizio, gli indirizzi IP di origine delle macchine virtuali nella subnet per il traffico del servizio passano da indirizzi IPv4 pubblici a indirizzi IPv4 privati. Le regole del firewall del servizio di Azure esistenti che usano gli indirizzi IP pubblici di Azure non funzionano più con questa opzione. Assicurarsi che le regole del firewall del servizio di Azure consentano questa opzione prima di configurare gli endpoint di servizio. È anche possibile che si verifichi un'interruzione temporanea del traffico del servizio da questa subnet durante la configurazione degli endpoint di servizio.
Proteggere l'accesso al servizio di Azure da locale
Per impostazione predefinita, le risorse del servizio di Azure protette nelle reti virtuali non sono raggiungibili dalle reti locali. Se si vuole consentire il traffico dall'ambiente locale, è necessario autorizzare anche gli indirizzi IP pubblici (generalmente NAT) dall'ambiente locale o da ExpressRoute. È possibile aggiungere questi indirizzi IP tramite la configurazione del firewall IP per le risorse del servizio di Azure.
ExpressRoute: Se stai utilizzando ExpressRoute per il peering Microsoft dalla tua sede, identifica gli indirizzi IP NAT che stai usando. Gli indirizzi IP NAT sono forniti dal cliente o dal provider di servizi. Per consentire l'accesso alle risorse del servizio è necessario autorizzare questi indirizzi IP pubblici nell'impostazione del firewall IP per le risorse. Per altre informazioni sul peering NAT per ExpressRoute Microsoft, vedere Requisiti NAT di ExpressRoute.
Configurazione
Configurare gli endpoint di servizio in una subnet in una rete virtuale. Gli endpoint funzionano con qualsiasi tipo di istanza di calcolo in esecuzione in tale subnet.
È possibile configurare più endpoint di servizio per tutti i servizi di Azure supportati in una subnet, ad esempio Archiviazione di Azure e database SQL di Azure.
Per Database SQL di Azure, le reti virtuali devono trovarsi nella stessa area della risorsa del servizio di Azure. Per tutti gli altri servizi, è possibile proteggere le risorse dei servizi di Azure nelle reti virtuali in qualsiasi area.
La rete virtuale in cui è configurato l'endpoint può trovarsi nella stessa sottoscrizione della risorsa del servizio di Azure o in una sottoscrizione diversa. Per altre informazioni sulle autorizzazioni necessarie per configurare gli endpoint e proteggere i servizi di Azure, vedere la sezione Provisioning.
Per i servizi supportati, è possibile associare risorse nuove o esistenti alle reti virtuali tramite gli endpoint di servizio.
Considerazioni
Dopo la distribuzione dell'endpoint di servizio, gli indirizzi IP di origine passano dall'uso degli indirizzi IPv4 pubblici all'uso del relativo indirizzo IPv4 privato durante la comunicazione con il servizio da tale subnet. Eventuali connessioni TCP aperte per il servizio vengono chiuse durante questo passaggio. Verificare che non siano in esecuzione attività critiche quando si abilita o disabilita un endpoint di servizio per un servizio in una subnet. Assicurarsi anche che le applicazioni possano connettersi automaticamente ai servizi di Azure dopo il cambio di indirizzo IP.
Il cambio di indirizzo IP interessa solo il traffico del servizio dalla propria rete virtuale. Non c'è alcun effetto su qualsiasi altro traffico indirizzato verso o dagli indirizzi IPv4 pubblici assegnati alle macchine virtuali. Per i servizi di Azure, se sono presenti regole del firewall che usano indirizzi IP pubblici di Azure, queste regole smetteranno di funzionare con il passaggio agli indirizzi privati della rete virtuale.
Con gli endpoint di servizio, le voci DNS per i servizi di Azure rimangono invariate e continuano a risolversi in indirizzi IP pubblici assegnati al servizio di Azure.
Gruppi di sicurezza di rete (NGS) con gli endpoint di servizio:
Per impostazione predefinita, gli NSG consentono il traffico Internet in uscita e inoltre consentono il traffico dalla tua rete virtuale ai servizi Azure. Questo traffico continua a funzionare con gli endpoint di servizio così come sono.
Per negare tutto il traffico Internet in uscita e consentire solo il traffico verso servizi specifici di Azure, è possibile usare i tag di servizio nei gruppi di sicurezza di rete. È possibile specificare i servizi di Azure supportati come destinazione nelle regole del gruppo di sicurezza di rete e Azure fornisce anche la manutenzione degli indirizzi IP sottostanti a ogni tag. Per altre informazioni, vedere Tag del servizio di Azure per i gruppi di sicurezza di rete.
Scenari
Rete virtuali con peering, connesse o multiple: Per proteggere i servizi di Azure in più subnet all'interno di una rete virtuale o tra più reti virtuali, abilitare gli endpoint di servizio sul lato rete in ogni subnet in modo indipendente. Questa procedura protegge le risorse del servizio di Azure in tutte le subnet.
Filtro del traffico in uscita da una rete virtuale ai servizi di Azure: se si vuole controllare o filtrare il traffico inviato a un servizio di Azure da una rete virtuale, è possibile implementare un'appliance virtuale di rete all'interno della rete virtuale. Sarà quindi possibile applicare gli endpoint di servizio alla subnet in cui è distribuita l'appliance virtuale di rete e associare le risorse del servizio di Azure solo a questa subnet. Questo scenario può essere utile se si vuole usare il filtro dell'appliance virtuale di rete per limitare l'accesso al servizio di Azure dalla rete virtuale solo a specifiche risorse di Azure. Per altre informazioni, vedere il traffico in uscita con le appliance virtuali di rete.
Proteggere le risorse di Azure nei servizi distribuiti direttamente nelle reti virtuali: è possibile implementare direttamente vari servizi di Azure in subnet specifiche in una rete virtuale. È possibile associare le risorse dei servizi di Azure a subnet di servizi gestiti, configurando un endpoint di servizio nella subnet del servizio gestito.
Traffico su disco da una macchina virtuale di Azure: le modifiche al routing degli endpoint di servizio per Archiviazione di Azure non influiscono sul traffico del disco della macchina virtuale per i dischi gestiti e non gestiti. Questo traffico include operazioni di I/O su disco e montaggio e smontaggio. È possibile usare gli endpoint di servizio e le regole di rete di Archiviazione di Azure per limitare l'accesso REST ai BLOB di pagine a reti specifiche.
Registrazione e risoluzione dei problemi
Dopo aver configurato gli endpoint di servizio per un servizio specifico, verificare che la route dell'endpoint di servizio sia abilitata nel modo seguente:
Convalida dell'indirizzo IP di origine di qualsiasi richiesta di servizio nella diagnostica del servizio. Tutte le nuove richieste con gli endpoint di servizio mostrano l'indirizzo IP di origine della richiesta come indirizzo IP privato della rete virtuale, assegnato al client che effettua la richiesta dalla rete virtuale. Senza l'endpoint, questo indirizzo sarà un indirizzo IP pubblico di Azure.
Visualizzazione delle route valide in qualsiasi interfaccia di rete di una subnet. Route al servizio:
Mostra una route predefinita più specifica per l'intervallo dei prefissi di indirizzo di ogni servizio
Ha nextHopType con valore VirtualNetworkServiceEndpoint
Indica che è applicata una connessione più diretta al servizio, rispetto alle route di tunneling forzato
Note
Le route dell'endpoint di servizio eseguono l'override di tutte le route BGP o definite dall'utente (UDR) per la corrispondenza del prefisso degli indirizzi di un servizio di Azure. Per altre informazioni, vedere l'articolo relativo alla risoluzione dei problemi con le route effettive.
Provisioning
Gli utenti con accesso in scrittura a una rete virtuale possono configurare in modo indipendente gli endpoint di servizio nelle reti virtuali. Per proteggere le risorse del servizio di Azure in una rete virtuale, gli utenti devono disporre dell'autorizzazione Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action per le subnet aggiunte. I ruoli di amministratore del servizio predefiniti includono questa autorizzazione per impostazione predefinita, ma è possibile modificarla creando ruoli personalizzati.
Per altre informazioni sui ruoli predefiniti, vedere ruoli predefiniti di Azure. Per altre informazioni sull'assegnazione di autorizzazioni specifiche ai ruoli personalizzati, vedere Ruoli personalizzati di Azure.
Le reti virtuali e le risorse dei servizi di Azure possono trovarsi nella stessa sottoscrizione o in sottoscrizioni diverse. Alcuni servizi di Azure (non tutti), ad esempio Archiviazione di Azure e Azure Key Vault, supportano anche gli endpoint di servizio in diversi tenant di Microsoft Entra ID. La rete virtuale e la risorsa del servizio di Azure possono trovarsi in diversi tenant di Microsoft Entra ID. Per altre informazioni, vedere la documentazione del singolo servizio.
Prezzi e limiti
Non sono previsti costi aggiuntivi per l'uso degli endpoint del servizio. Viene applicato il modello di determinazione prezzi corrente "come sono oggi" per i servizi di Azure (ovvero Archiviazione di Azure, Database SQL di Azure, ecc).
Non esiste alcun limite al numero totale di endpoint di servizio in una rete virtuale.
Alcuni servizi di Azure, ad esempio gli account di archiviazione di Azure, potrebbero applicare limiti al numero di subnet usate per proteggere la risorsa. Per informazioni dettagliate, vedere la documentazione relativa ai vari servizi nella sezione Passi successivi.
Criteri di policy per gli endpoint di servizio della rete virtuale
Le politiche degli endpoint del servizio di rete virtuale consentono di filtrare il traffico della rete virtuale verso i servizi Azure. Questo filtro consente solo risorse del servizio di Azure specifiche sugli endpoint di servizio. I criteri degli endpoint di servizio forniscono un controllo granulare dell'accesso per il traffico di rete virtuale verso i servizi di Azure. Per altre informazioni, vedere Criteri di endpoint servizio Rete virtuale.
Domande frequenti
Vedere le domande frequenti sugli endpoint servizio di rete virtuale.