Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'endpoint privato è un'interfaccia di rete che usa un indirizzo IP provato della rete virtuale. L’interfaccia di rete connette l'utente in modo privato e sicuro a un servizio gestito dal collegamento privato di Azure. Abilitando un endpoint privato, si porta il servizio nella rete virtuale.
Il servizio può essere un servizio di Azure, ad esempio:
- Archiviazione di Azure
- Azure Cosmos DB, un servizio di database distribuito globale di Microsoft
- database SQL di Azure
- Servizio personalizzato, tramite il servizio di collegamento privato.
Proprietà dell'endpoint privato
Per un endpoint privato sono specificate le seguenti proprietà:
| Proprietà | Descrizione |
|---|---|
| Nome | Nome univoco all'interno del gruppo di risorse. |
| Subnet | La subnet da distribuire, in cui viene assegnato l'indirizzo IP privato. Per i requisiti della subnet, vedere la sezione Limitazioni di seguito in questo articolo. |
| Risorsa Collegamento privato | La risorsa di collegamento privato per la connessione tramite un ID risorsa o alias dall'elenco dei tipi disponibili. Viene generato un identificatore di rete univoco per tutto il traffico che viene inviato a questa risorsa. |
| Sottorisorsa di destinazione | Sottorisorsa a cui connettersi. A ogni tipo di risorsa di collegamento privato sono associate varie opzioni da selezionare in base alle preferenze. |
| Metodo di approvazione della connessione | Automatico o manuale. A seconda delle autorizzazioni di controllo degli accessi in base al ruolo di Azure, l'endpoint privato può essere automaticamente approvato. Se si sta eseguendo la connessione a una risorsa di collegamento privato senza le autorizzazioni in base al ruolo di Azure, usare il metodo manuale per consentire al proprietario della risorsa di approvare la connessione. |
| Messaggio di richiesta | È possibile specificare un messaggio affinché le connessioni richieste vengano approvate manualmente. Questo messaggio può essere usato per identificare una richiesta specifica. |
| Stato connessione | Una proprietà di sola lettura che specifica se l'endpoint privato è attivo. Per inviare il traffico è possibile usare solo endpoint privati in uno stato approvato. Altri stati disponibili: |
Durante la creazione di endpoint privati, tenere presente quanto segue:
Gli endpoint privati consentono la connettività tra i clienti di:
- Rete virtuale
- Reti virtuali con peering a livello di area
- Reti virtuali con peering a livello globale
- Ambienti locali che usano una VPN o Express Route
- Servizi basati su collegamento privato
Le connessioni di rete possono essere avviate solo dai client che si connettono all'endpoint privato. I provider di servizi non hanno una configurazione di routing per creare connessioni ai clienti del servizio. Le connessioni possono essere stabilite solo in un'unica direzione.
Per il ciclo di vita dell'endpoint privato viene creata automaticamente un'interfaccia di rete di sola lettura. All'interfaccia viene assegnato un indirizzo IP privato dinamico dalla subnet mappato alla risorsa collegamento privato. Il valore dell'indirizzo IP privato rimane invariato per l'intero ciclo di vita dell'endpoint privato.
L'endpoint privato deve essere distribuito nella stessa area e nella stessa sottoscrizione della rete virtuale.
La risorsa collegamento privato può essere distribuita in un'area diversa rispetto alla rete virtuale e all'endpoint privato.
È possibile creare più endpoint privati usando la stessa risorsa collegamento privato. Per una singola rete che usa una configurazione del server DNS comune, la procedura consigliata consiste nell'usare un singolo endpoint privato per una risorsa collegamento privato specifica per evitare voci duplicate o conflitti nella risoluzione DNS.
È possibile creare più endpoint privati nella stessa subnet o in subnet diverse all'interno della stessa rete virtuale. Sono previsti limiti per il numero di endpoint privati che è possibile creare in una sottoscrizione. Per altre informazioni, consultare limiti di Azure.
La sottoscrizione che contiene la risorsa collegamento privato deve essere registrata con il provider di risorse di rete Microsoft. Anche la sottoscrizione che contiene l'endpoint privato deve essere registrata con il provider di risorse di rete Microsoft. Per altre informazioni, vedere Provider di risorse di Azure.
Risorsa Collegamento privato
Una risorsa di collegamento privato è la destinazione di un endpoint privato specificato. La tabella seguente elenca le risorse disponibili che supportano un endpoint privato:
| Nome risorsa di collegamento privato | Tipo di risorsa | Risorse secondarie |
|---|---|---|
| Gateway applicazione | Microsoft.Network/applicationgateways | Nome configurazione IP front-end |
| Ricerca di intelligenza artificiale di Azure | Microsoft.Search/searchServices | servizio di ricerca |
| Servizi di Azure AI | Microsoft.CognitiveServices/accounts | account |
| API di Azure per FHIR (Fast Healthcare Interoperability Resources) | Microsoft.HealthcareApis/services | fhir |
| Gestione API di Azure | Microsoft.ApiManagement/service | Porta di accesso |
| Configurazione app di Azure | Microsoft.Appconfiguration/configurationStores | configurationStores |
| Servizio app di Azure | Microsoft.Web/hostingEnvironments | ambiente di hosting |
| Servizio app di Azure | Microsoft.Web/sites | siti |
| Servizio di attestazione di Azure | Microsoft.Attestation/attestationProviders | standard |
| Automazione di Azure | Microsoft.Automation/automationAccounts | Webhook, DSCAndHybridWorker |
| Backup di Azure | Microsoft.RecoveryServices/vaults | AzureBackup, AzureSiteRecovery |
| Azure Batch | Microsoft.Batch/batchAccounts | batchAccount, nodeManagement |
| Cache Redis di Azure | Microsoft.Cache/Redis | redisCache |
| Cache di Azure per Redis Enterprise | Microsoft.Cache/redisEnterprise | redisEnterprise |
| App contenitore di Azure | Microsoft.App/ManagedEnvironments | managedEnvironments |
| Registro Azure Container | Microsoft.ContainerRegistry/registries | registro |
| Azure Cosmos DB, un servizio di database distribuito globale di Microsoft | Microsoft.AzureCosmosDB/databaseAccounts | SQL, MongoDB, Cassandra, Gremlin, Tabella |
| Azure Cosmos DB per MongoDB vCore | Microsoft.DocumentDb/mongoClusters | mongoCluster |
| Azure Cosmos DB for PostgreSQL | Microsoft.DBforPostgreSQL/serverGroupsv2 | coordinatore |
| Esplora dati di Azure | Microsoft.Kusto/clusters | cluster |
| Azure Data Factory | Microsoft.DataFactory/factories | dataFactory |
| Database di Azure per MariaDB | Microsoft.DBforMariaDB/servers | mariadbServer |
| Database di Azure per MySQL - Server flessibile | Microsoft.DBforMySQL/flexibleServers | mysqlServer |
| Database di Azure per MySQL - Server singolo | Microsoft.DBforMySQL/servers | mysqlServer |
| Database di Azure per PostgreSQL - Server flessibile | Microsoft.DBforPostgreSQL/flexibleServers | postgresqlServer |
| Database di Azure per PostgreSQL - Server singolo | Microsoft.DBforPostgreSQL/servers | postgresqlServer |
| Azure Databricks | Microsoft.Databricks/workspaces | databricks_ui_api, browser_authentication |
| Servizio Device Provisioning di Azure | Microsoft.Devices/provisioningServices | iotDps |
| Gemelli digitali di Azure | Microsoft.DigitalTwins/digitalTwinsInstances | API (Interfaccia di Programmazione delle Applicazioni) |
| Griglia di eventi di Azure | Microsoft.EventGrid/domains | dominio |
| Griglia di eventi di Azure | Microsoft.EventGrid/topics | argomento |
| Hub eventi di Azure | Microsoft.EventHub/namespaces | spazio dei nomi |
| Sincronizzazione file di Azure | Microsoft.StorageSync/storageSyncServices | Servizio Sincronizzazione file |
| Azure HDInsight | Microsoft.HDInsight/clusters | cluster |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps | IoTApps |
| Hub IoT di Azure | Microsoft.Devices/IotHubs | iotHub |
| Azure Key Vault (Archivio chiavi di Azure) | Microsoft.KeyVault/vaults | insieme di credenziali |
| Modulo di protezione hardware di Azure Key Vault (modulo di protezione hardware) | Microsoft.Keyvault/managedHSMs | Modulo di protezione hardware |
| Servizio Azure Kubernetes - API Kubernetes | Microsoft.ContainerService/managedClusters | gestione |
| Azure Machine Learning (Apprendimento Automatico di Azure) | Microsoft.MachineLearningServices/registries | amlregistry |
| Azure Machine Learning (Apprendimento Automatico di Azure) | Microsoft.MachineLearningServices/workspaces | amlworkspace |
| Dischi gestiti di Azure | Microsoft.Compute/diskAccesses | disco gestito |
| Servizi multimediali di Azure | Microsoft.Media/mediaservices | keydelivery, liveevent, streamingendpoint |
| Azure Migrate | Microsoft.Migrate/assessmentProjects | project |
| Ambito collegamento privato di Monitoraggio di Azure | Microsoft.Insights/privatelinkscopes | azuremonitor |
| Servizio di inoltro di Azure | Microsoft.Relay/namespaces | spazio dei nomi |
| Bus di servizio di Azure | Microsoft.ServiceBus/namespaces | spazio dei nomi |
| Servizio Azure SignalR | Microsoft.SignalRService/SignalR | signalr |
| Servizio Azure SignalR | Microsoft.SignalRService/webPubSub | webpubsub |
| database SQL di Azure | Microsoft.Sql/servers | SQL Server (sqlServer) |
| Istanza gestita di SQL di Azure | Microsoft.Sql/managedInstances | managedInstance |
| App Web statiche di Azure | Microsoft.Web/staticSites | staticSites |
| Archiviazione di Azure | Microsoft.Storage/storageAccounts | BLOB (BLOB, blob_secondari) Tabella (tabella, tabella_secondaria) Coda (coda, cosa_secondaria) File (file, file_secondario) Web (Web, web_secondario) Dfs (dfs, dfs_secondary) |
| Azure Synapse | Microsoft.Synapse/privateLinkHubs | web |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | SQL, SQLOnDemand, Dev |
| Video Indexer di Azure AI | Microsoft.VideoIndexer/accounts | account |
| Pool di host - Desktop virtuale di Azure | Microsoft.DesktopVirtualization/hostpools | connection |
| Desktop virtuale di Azure - aree di lavoro | Microsoft.DesktopVirtualization/workspaces | feed globale |
| Aggiornamento dispositivi per hub IoT | Microsoft.DeviceUpdate/accounts | Aggiornamento dispositivo |
| Account di integrazione (Premium) | Microsoft.Logic/integrationAccounts | integrationAccount |
| Microsoft Purview | Microsoft.Purview/accounts | account |
| Microsoft Purview | Microsoft.Purview/accounts | portale |
| Power BI | Microsoft.PowerBI/privateLinkServicesForPowerBI | Power BI |
| Servizio di collegamento privato (servizio dell'utente) | Microsoft.Network/privateLinkServices | empty |
| Collegamenti privati di gestione delle risorse | Microsoft.Authorization/resourceManagementPrivateLinks | Gestione delle Risorse |
Note
È possibile creare endpoint privati solo in un account di archiviazione per utilizzo generico v2 (GPv2).
Sicurezza di rete degli endpoint privati
Quando si usano gli endpoint privati, il traffico viene protetto in una risorsa collegamento privato. La piattaforma convalida le connessioni di rete, consentendo solo quelle che raggiungono la risorsa collegamento privato specificata. Per accedere a più sottorisorse all'interno dello stesso servizio di Azure, sono necessari più endpoint privati con destinazioni corrispondenti. Nel caso di Archiviazione di Azure, ad esempio, è necessario separare gli endpoint privati per accedere alle sottorisorse file e BLOB.
Gli endpoint privati forniscono un indirizzo IP accessibile privatamente per il servizio di Azure, ma non limitano necessariamente l'accesso alla rete pubblica. Tutti gli altri servizi di Azure richiedono tuttavia controlli di accesso aggiuntivi. Questi controlli forniscono alle risorse un livello di sicurezza di rete aggiuntivo, offrendo protezione per impedire l'accesso al servizio di Azure associato alla risorsa collegamento privato.
Gli endpoint privati supportano i criteri di rete. I criteri di rete consentono il supporto per i gruppi di sicurezza di rete, le route definite dall'utente e i gruppi di sicurezza delle applicazioni. Per altre informazioni sull'abilitazione dei criteri di rete per un endpoint privato, vedere Gestire i criteri di rete per gli endpoint privati. Per usare un ASG con un endpoint privato, vedere Configurare un gruppo di sicurezza delle applicazioni (ASG) con un endpoint privato.
Accedere a una risorsa di collegamento privato tramite il flusso di lavoro di approvazione
È possibile connettersi a una risorsa di collegamento privato tramite i metodi di approvazione della connessione seguenti:
Approvazione automatica: usare questo metodo quando si è proprietari o si dispone delle autorizzazioni per la risorsa di collegamento privato specifica. Le autorizzazioni richieste sono basate sul tipo di risorsa di collegamento privato nel formato seguente:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/actionRichiesta manuale: usare questo metodo quando non si hanno le autorizzazioni necessarie e si vuole richiedere l'accesso. Viene avviato un flusso di lavoro di approvazione. L'endpoint privato e le connessioni endpoint private successive vengono create con stato In sospeso. Il proprietario della risorsa di collegamento privato ha la responsabilità di approvare la connessione. Dopo l'approvazione, l'endpoint privato è abilitato per l'invio normale del traffico, come mostrato nel diagramma sul flusso di lavoro di approvazione seguente:
Tramite una connessione endpoint privato, un proprietario della risorsa di collegamento privato può:
- Esaminare tutti i dettagli della connessione agli endpoint privati.
- Approvare una connessione endpoint privato. L'endpoint privato corrispondente viene abilitato in modo da inviare traffico alla risorsa di collegamento privato.
- Rifiutare una connessione endpoint privato. L'endpoint privato corrispondente viene aggiornato per riflettere lo stato.
- Eliminare una connessione a un endpoint privato in qualsiasi stato. L'endpoint privato corrispondente viene aggiornato con stato Disconnesso per riflettere l'azione. Il proprietario dell'endpoint privato può eliminare solo la risorsa a questo punto.
Note
Solo gli endpoint privati in uno stato approvato possono inviare il traffico a una risorsa del collegamento privato specificata.
Connettersi usando un alias
Un alias è un moniker univoco generato quando un proprietario del servizio crea un servizio di collegamento privato in relazione a un servizio di bilanciamento del carico standard. I proprietari del servizio possono condividere questo alias offline con i consumer del servizio.
I consumer possono richiedere una connessione al servizio di collegamento privato con l'URI della risorsa o con l'alias. Per connettersi con l'alias, creare un endpoint privato usando il metodo di approvazione manuale della connessione. Per usare il metodo di approvazione manuale della connessione, impostare il parametro della richiesta manuale su True durante la creazione del flusso di endpoint privato. Per altre informazioni, vedere New-AzPrivateEndpoint e az network private-endpoint create.
Note
Questa richiesta manuale può essere approvata automaticamente, se la sottoscrizione dell'utente è inclusa nell'elenco degli elementi consentiti sul lato provider. Per altre informazioni, vedere Controllare l'accesso al servizio.
Configurazione del DNS
Le impostazioni DNS usate per connettersi a una risorsa di collegamento privato sono importanti. I servizi di Azure esistenti potrebbero avere già una configurazione DNS che si possono usare per la connessione tramite un endpoint pubblico. Per connettersi allo stesso servizio tramite endpoint privato, sono necessarie impostazioni DNS distinte, spesso configurate tramite zone DNS private. Assicurarsi che le impostazioni DNS siano corrette quando si usa il nome di dominio completo (FQDN) per la connessione. Le impostazioni devono essere indirizzate all'indirizzo IP privato dell'endpoint privato.
L'interfaccia di rete associata all'endpoint privato contiene le informazioni obbligatorie per configurare il DNS. Le informazioni includono il nome di dominio completo e l'indirizzo IP privato per una risorsa di collegamento privato.
Per informazioni complete e dettagliate sulle raccomandazioni per configurare il DNS per gli endpoint privati, vedere Configurazione DNS dell'endpoint privato.
Limitazioni
Le informazioni seguenti elencano le limitazioni note per l'uso di endpoint privati:
Indirizzo IP statico
| Limitazione | Descrizione |
|---|---|
| Configurazione degli indirizzi IP statici attualmente non supportata. |
Servizio Azure Kubernetes (AKS) gateway applicazione di Azure HD Insights Insiemi di credenziali di Servizi di ripristino Servizi di Collegamento privato di terze parti |
Gruppo di sicurezza di rete
| Limitazione | Descrizione |
|---|---|
| Route valide e regole di sicurezza non disponibili per l'interfaccia di rete dell'endpoint privato. | Le route valide e le regole di sicurezza non verranno visualizzate per la scheda di interfaccia di rete dell'endpoint privato nel portale di Azure. |
| Log dei flussi del gruppo di sicurezza di rete non supportati. | I log dei flussi del gruppo di sicurezza di rete non sono disponibili per il traffico in ingresso destinato a un endpoint privato. |
| Non è possibile avere più di 50 membri in un gruppo di sicurezza delle applicazioni. | Sono solo 50 le configurazioni IP che possono essere associate a ogni rispettivo gruppo di sicurezza delle applicazioni associato al gruppo di sicurezza di rete nella subnet dell'endpoint privato. Gli errori di connessione possono verificarsi superati i 50 membri. |
| Intervalli di porte di destinazione supportati fino a un fattore di 250 K. | Gli intervalli di porte di destinazione sono supportati come SourceAddressPrefixes, DestinationAddressPrefixes e DestinationPortRanges di moltiplicazione.
Regola in ingresso di esempio: un'origine * una destinazione * 4K portRanges = 4K valide 10 origini * 10 destinazioni * 10 portRanges = 1 K valide 50 origini * 50 destinazioni * 50 porteRanges = 125 K valide 50 origini * 50 destinazioni * 100 portRanges = 250 K valide 100 origini * 100 destinazioni * 100 portRanges = 1M Non valido, il gruppo di sicurezza di rete ha troppe origini/destinazioni/porte. |
| Il filtro delle porte di origine viene interpretato come * | Il filtro delle porte di origine non viene usato attivamente come scenario valido di filtro per il traffico destinato a un endpoint privato. |
| Funzionalità non disponibile in alcune aree. | Attualmente non disponibile nelle aree seguenti: India occidentale Australia centrale 2 Sudafrica occidentale Brasile sud-orientale Tutte le aree per enti pubblici Tutte le aree della Cina |
Altre considerazioni sui gruppi di sicurezza di rete
Il traffico in uscita negato da un endpoint privato non è uno scenario valido, perché il provider di servizi non può dare origine al traffico.
I servizi seguenti possono richiedere l'apertura di tutte le porte di destinazione quando si usa un endpoint privato e si aggiungono filtri di sicurezza del gruppo di sicurezza di rete:
- Azure Cosmos DB: per altre informazioni, vedere Intervalli di porte del servizio.
Route definita dall'utente
| Limitazione | Descrizione |
|---|---|
| È consigliabile usare SNAT. | A causa della natura variabile del piano dati dell'endpoint privato, è consigliabile usare il traffico SNAT destinato a un endpoint privato per garantire che il traffico di ritorno venga rispettato durante l'attraversamento di un'appliance virtuale di rete. Questa limitazione può essere rimossa usando il tag disableSnatOnPL nel tuo NVA. |
| Funzionalità non disponibile in alcune aree. | Attualmente non disponibile nelle aree seguenti: India occidentale Australia centrale 2 Sudafrica occidentale Brasile sud-orientale |
Gruppo di sicurezza dell'applicazione
| Limitazione | Descrizione |
|---|---|
| Funzionalità non disponibile in alcune aree. | Attualmente non disponibile nelle aree seguenti: India occidentale Australia centrale 2 Sudafrica occidentale Brasile sud-orientale |
Passaggi successivi
Per altre informazioni sugli endpoint privati e su Collegamento privato, vedere Che cos'è Collegamento privato di Azure?.
Per iniziare a creare un endpoint privato per un'app Web, vedere Avvio rapido: Creare un endpoint privato con il portale di Azure.