Domande frequenti sul collegamento privato di Azure

• Endpoint privato di Azure: l'endpoint privato di Azure è un'interfaccia di rete che connette privatamente e in modo sicuro a un servizio basato sul collegamento privato di Azure. È possibile usare gli endpoint privati per connettersi a un servizio PaaS di Azure che supporta il collegamento privato o al proprio servizio collegamento privato.
• Collegamento privato di Azure: il servizio collegamento privato di Azure è un servizio creato da un provider di servizi. Attualmente, un servizio collegamento privato può essere collegato alla configurazione IP front-end di un'istanza di Load Balancer Standard.

Il traffico viene inviato privatamente usando la rete backbone di Microsoft. Non attraversa Internet. Il collegamento privato di Azure non archivia i dati dei clienti.

• Gli endpoint privati concedono l'accesso di rete a risorse specifiche dietro un determinato servizio con la segmentazione granulare. Il traffico può raggiungere la risorsa del servizio dall'ambiente locale senza usare endpoint pubblici.
• Un endpoint di servizio rimane un indirizzo IP instradabile pubblicamente. Un endpoint privato è un indirizzo IP privato nello spazio indirizzi della rete virtuale in cui è configurato l'endpoint privato.

Più tipi di risorse collegamento privato supportano l'accesso tramite endpoint privati. Le risorse includono i servizi PaaS di Azure e il servizio collegamento privato personale. Si tratta di una relazione uno-a-molti.

Un servizio collegamento privato riceve le connessioni da più endpoint privati. Un endpoint privato si connette a un servizio collegamento privato.

Yes. collegamento privato Servizio deve disabilitare i criteri di rete per funzionare correttamente.

Yes. Per usare criteri come route definite dall'utente e gruppi di sicurezza di rete, è necessario abilitare i criteri di rete per una subnet in una rete virtuale per l'endpoint privato. Questa impostazione influisce su tutti gli endpoint privati all'interno della subnet.

Ci sono due passaggi per la protezione di una risorsa di un servizio di Azure tramite gli endpoint di servizio:

1. Attivare gli endpoint di servizio per il servizio di Azure.
2. Configurare gli elenchi di controllo di accesso alla rete virtuale (ACL) nel servizio di Azure.

Il primo passaggio è un'operazione sul lato rete e il secondo passaggio è un'operazione sul lato risorsa del servizio. Gli stessi amministratori o amministratori differenti possono eseguire i passaggi, in base alle autorizzazioni di controllo degli accessi in base al ruolo (RBAC) di Azure concesse al ruolo di amministratore.

È consigliabile attivare gli endpoint di servizio per la rete virtuale prima di configurare gli ACL di rete virtuale sul lato servizio di Azure. Per configurare gli endpoint servizio di rete virtuale, è necessario eseguire i passaggi nella sequenza precedente.

Alcuni servizi, ad esempio Azure SQL e Azure Cosmos DB, consentono eccezioni alla sequenza precedente tramite il IgnoreMissingVnetServiceEndpoint flag. Dopo aver impostato il flag su True, è possibile configurare gli ACL di rete virtuale sul lato servizio di Azure prima di attivare gli endpoint di servizio sul lato rete. I servizi di Azure forniscono questo flag per aiutare i clienti nei casi in cui i firewall IP specifici sono configurati nei servizi di Azure.

L'attivazione degli endpoint di servizio sul lato rete può causare un calo della connettività, perché l’indirizzo IP di origine passa da un indirizzo IPv4 pubblico a un indirizzo privato. La configurazione di ACL di rete virtuale sul lato servizio di Azure prima dell'attivazione degli endpoint di servizio sul lato rete può aiutare a evitare la perdita di connettività.

Non tutti i servizi di Azure si trovano nella rete virtuale del cliente. La maggior parte dei servizi dati di Azure (come Archiviazione di Azure, Azure SQL e Azure Cosmos DB), è costituita da servizi multi-tenant a cui è possibile accedere tramite indirizzi IP pubblici. Per altre informazioni, vedere Distribuire servizi di Azure dedicati in reti virtuali.

Quando si attivano gli endpoint servizio di rete virtuale sul lato rete e si configurano gli ACL di rete virtuale appropriati sul lato servizio di Azure, l'accesso a un servizio di Azure è limitato a una rete virtuale e a una subnet consentite.

Gli endpoint servizio di rete virtuale limitano l'accesso del servizio di Azure alla rete virtuale e alla subnet consentite. In questo modo, forniscono sicurezza a livello di rete e isolamento del traffico del servizio di Azure.

Tutto il traffico che usa endpoint servizio di rete virtuale passa sul backbone Microsoft per fornire un altro livello di isolamento dalla rete Internet pubblica. I clienti possono anche scegliere di rimuovere completamente l'accesso a Internet pubblico alle risorse del servizio di Azure e consentire il traffico solo dalla rete virtuale tramite una combinazione di ACL di rete virtuale e firewall IP. La rimozione dell'accesso a Internet consente di proteggere le risorse del servizio di Azure dall'accesso non autorizzato.

Gli endpoint di servizio di rete virtuale consentono di proteggere le risorse dei servizi di Azure. Le risorse di rete virtuale vengono protette tramite gruppi di sicurezza di rete.

No. Non sono previsti costi aggiuntivi per l'uso degli endpoint servizio di rete virtuale.

Si, è possibile. Le reti virtuali e le risorse dei servizi di Azure possono trovarsi nella stessa sottoscrizione o in sottoscrizioni differenti. L'unico requisito è che sia la rete virtuale che le risorse dei servizi di Azure si trovino nello stesso tenant di Microsoft Entra.

Sì, è possibile quando si usano gli endpoint di servizio per Archiviazione di Azure e Azure Key Vault. Per altri servizi, gli endpoint servizio di rete virtuale e gli ACL di rete virtuale non sono supportati nei tenant di Microsoft Entra.

per impostazione predefinita, le risorse del servizio associate alle reti virtuali non sono raggiungibili da reti locali. Se si desidera consentire il traffico dall'ambiente locale, è necessario autorizzare anche gli indirizzi IP pubblici (generalmente NAT) dall'ambiente locale o da ExpressRoute. È possibile aggiungere questi indirizzi IP tramite la configurazione del firewall IP per le risorse dei servizi di Azure.

Alternatively, you can implement private endpoints for supported services.

Per proteggere i servizi di Azure in più subnet all'interno di una rete virtuale o tra più reti virtuali, abilitare gli endpoint di servizio sul lato rete in ogni subnet in modo indipendente. Proteggere quindi le risorse del servizio di Azure in tutte le subnet configurando gli ACL di rete virtuale appropriati sul lato servizio di Azure.

Se si vuole verificare o filtrare il traffico destinato a un servizio di Azure da una rete virtuale, è possibile distribuire un'appliance virtuale di rete nella rete virtuale. È quindi possibile applicare gli endpoint di servizio alla subnet in cui è distribuita l'appliance virtuale di rete e proteggere le risorse del servizio di Azure solo in questa subnet tramite ACL di rete virtuale.

Questo scenario può essere utile anche se si desidera limitare l'accesso al servizio di Azure dalla rete virtuale solo a risorse di Azure specifiche, usando il filtro dell'appliance virtuale di rete. Per altre informazioni, vedere Distribuire NVA a disponibilità elevata.

Il servizio restituisce un errore HTTP 403 o HTTP 404.

Yes. Per la maggior parte dei servizi di Azure, le reti virtuali create in aree differenti possono accedere ai servizi di Azure in un'altra area tramite gli endpoint di servizio di rete virtuale. Se, ad esempio un account di Azure Cosmos DB si trova nell'area Stati Uniti occidentali o Stati Uniti orientali e le reti virtuali si trovano in più aree, la rete virtuale può accedere ad Azure Cosmos DB.

Azure SQL è un'eccezione ed è di natura regionale. Sia la rete virtuale che il servizio di Azure devono trovarsi nella stessa area.

Yes. Un ACL di rete virtuale e un firewall IP possono coesistere. Le funzionalità si completano reciprocamente per contribuire a garantire isolamento e sicurezza.

L'eliminazione delle reti virtuali e l'eliminazione delle subnet sono operazioni indipendenti. Sono supportati anche quando si attivano gli endpoint di servizio per i servizi di Azure.

Se si configurano gli ACL di rete virtuale per i servizi di Azure, le informazioni ACL associate a tali servizi di Azure vengono disabilitate quando si elimina una rete virtuale o una subnet con endpoint servizio di rete virtuale attivati.

L'eliminazione di un account del servizio di Azure è un'operazione indipendente. È supportato anche se è stato attivato l'endpoint di servizio sul lato rete e si configurano gli ACL di rete virtuale sul lato servizio di Azure.

Quando si abilitano gli endpoint servizio di rete virtuale, gli indirizzi IP di origine delle risorse nella subnet della rete virtuale passano dall'usare indirizzi IPv4 pubblici a indirizzi IP privati della rete virtuale di Azure per il traffico verso il servizio di Azure. Tale passaggio può causare errori nei firewall IP impostati in precedenza su un indirizzo IPv4 pubblico nei servizi di Azure.

Gli endpoint di servizio aggiungono una route di sistema che ha la precedenza sulle route BGP (Border Gateway Protocol) e fornisce un routing ottimale per il traffico dell'endpoint di servizio. Gli endpoint di servizio instradano sempre il traffico del servizio direttamente dalla rete virtuale al servizio nella rete backbone di Microsoft Azure.

Per altre informazioni su come Azure seleziona un percorso, vedere Routing del traffico di rete virtuale.

No. Il traffico ICMP originato da una subnet con endpoint di servizio abilitati non porterà il percorso del tunnel del servizio all'endpoint desiderato. Gli endpoint di servizio gestiscono solo il traffico TCP. Se si desidera testare la latenza o la connettività a un endpoint tramite endpoint di servizio, gli strumenti come ping e tracert non mostreranno il percorso vero che le risorse all'interno della subnet eseguiranno.

Per raggiungere il servizio di Azure, i gruppi di sicurezza di rete devono consentire la connettività in uscita. Se gli NSG sono aperti a tutto il traffico Internet in uscita, il traffico dell'endpoint di servizio dovrebbe funzionare. È anche possibile limitare il traffico in uscita solo agli indirizzi IP del servizio usando i tag del servizio.

È possibile configurare gli endpoint di servizio in una rete virtuale in modo indipendente se si ha accesso in scrittura a tale rete.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Questa autorizzazione è inclusa nel ruolo di amministratore del servizio predefinito e può essere modificata tramite la creazione di ruoli personalizzati.

Per altre informazioni sui ruoli predefiniti e sull'assegnazione di autorizzazioni specifiche ai ruoli personalizzati, vedere Ruoli personalizzati di Azure.

È possibile usare i criteri degli endpoint di servizio di rete virtuale per filtrare il traffico di rete virtuale verso i servizi di Azure, consentendo l'accesso solo a risorse specifiche dei servizi di Azure tramite gli endpoint di servizio. I criteri degli endpoint forniscono un controllo di accesso granulare per il traffico di rete virtuale verso i servizi di Azure.

Per ulteriori informazioni, vedere Criteri degli endpoint servizio di rete virtuale per Archiviazione di Azure.

Microsoft Entra ID non supporta gli endpoint di servizio nativamente. Per un elenco completo dei servizi di Azure che supportano gli endpoint servizio di rete virtuale, vedere Endpoint servizio di rete virtuale.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. L'integrazione della rete virtuale per Data Lake Storage Gen1 usa la sicurezza dell'endpoint servizio di rete virtuale tra la rete virtuale dell'utente e Microsoft Entra ID per generare attestazioni di sicurezza aggiuntive nel token di accesso. Queste attestazioni vengono quindi usate per autenticare la rete virtuale nell'account Data Lake Storage Gen1 e consentire l'accesso.

Non viene applicato alcun limite al numero totale di endpoint di servizio in una rete virtuale. Per una risorsa del servizio di Azure, ad esempio un account di Archiviazione di Azure, i servizi potrebbero applicare limiti al numero di subnet usate per la protezione della risorsa. La tabella seguente illustra alcuni limiti di esempio:

Per raggiungere il servizio di Azure, i gruppi di sicurezza di rete devono consentire la connettività in uscita. Se gli NSG sono aperti a tutto il traffico Internet in uscita, il traffico dell'endpoint di servizio dovrebbe funzionare. È anche possibile limitare il traffico in uscita solo agli indirizzi IP del servizio usando i tag del servizio.

È possibile configurare gli endpoint di servizio in una rete virtuale in modo indipendente se si ha accesso in scrittura a tale rete.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. Questa autorizzazione è inclusa nel ruolo di amministratore del servizio predefinito e può essere modificata tramite la creazione di ruoli personalizzati.

Per altre informazioni sui ruoli predefiniti e sull'assegnazione di autorizzazioni specifiche ai ruoli personalizzati, vedere Ruoli personalizzati di Azure.

È possibile usare i criteri degli endpoint di servizio di rete virtuale per filtrare il traffico di rete virtuale verso i servizi di Azure, consentendo l'accesso solo a risorse specifiche dei servizi di Azure tramite gli endpoint di servizio. I criteri degli endpoint forniscono un controllo di accesso granulare per il traffico di rete virtuale verso i servizi di Azure.

Per ulteriori informazioni, vedere Criteri degli endpoint servizio di rete virtuale per Archiviazione di Azure.

Microsoft Entra ID non supporta gli endpoint di servizio nativamente. Per un elenco completo dei servizi di Azure che supportano gli endpoint servizio di rete virtuale, vedere Endpoint servizio di rete virtuale.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. L'integrazione della rete virtuale per Data Lake Storage Gen1 usa la sicurezza dell'endpoint servizio di rete virtuale tra la rete virtuale dell'utente e Microsoft Entra ID per generare attestazioni di sicurezza aggiuntive nel token di accesso. Queste attestazioni vengono quindi usate per autenticare la rete virtuale nell'account Data Lake Storage Gen1 e consentire l'accesso.

Non viene applicato alcun limite al numero totale di endpoint di servizio in una rete virtuale. Per una risorsa del servizio di Azure, ad esempio un account di Archiviazione di Azure, i servizi potrebbero applicare limiti al numero di subnet usate per la protezione della risorsa. La tabella seguente illustra alcuni limiti di esempio:

Yes. È possibile avere più endpoint privati nella stessa rete virtuale o subnet. Gli endpoint possono connettersi a servizi diversi.

No, la creazione di più zone con lo stesso nome per una singola rete virtuale non è supportata.

No. Non è necessaria una subnet dedicata per gli endpoint privati. È possibile scegliere un indirizzo IP dell'endpoint privato da qualsiasi subnet della rete virtuale in cui viene distribuito il servizio.

Yes. Gli endpoint privati possono connettersi ai servizi collegamento privato o a un'istanza PaaS di Azure nei tenant di Microsoft Entra. Gli endpoint privati tra i tenant richiedono un'approvazione manuale della richiesta.

Yes. Gli endpoint privati possono connettersi alle risorse PaaS di Azure tra aree di Azure.

Quando viene creato un endpoint privato, viene assegnata una scheda di interfaccia di rete di sola lettura. La scheda di interfaccia di rete non può essere modificata e rimarrà per il ciclo di vita dell'endpoint privato.

Gli endpoint privati sono risorse a disponibilità elevata con un contratto di servizio in base al contratto di servizio per collegamento privato di Azure. Tuttavia, poiché si tratta di risorse a livello di area, qualsiasi interruzione dell'area di Azure può influire sulla disponibilità. Per ottenere la disponibilità in caso di errori a livello di area, è possibile distribuire più PES connessi alla stessa risorsa di destinazione in aree diverse. In questo modo, se un'area diventa inattiva, è comunque possibile instradare il traffico per gli scenari di ripristino tramite endpoint privato a un'area diversa per accedere alla risorsa di destinazione. Per informazioni su come vengono gestiti gli errori a livello di area sul lato servizio di destinazione, vedere la documentazione del servizio sul failover e il ripristino. collegamento privato traffico segue la risoluzione DNS di Azure per l'endpoint di destinazione.

Gli endpoint privati sono risorse a disponibilità elevata con un contratto di servizio in base al contratto di servizio per collegamento privato di Azure. Gli endpoint privati sono indipendenti dalla zona: un errore della zona di disponibilità nell'area dell'endpoint privato non influirà sulla disponibilità dell'endpoint privato.

Il traffico TCP e UDP è supportato solo per un endpoint privato. Per altre informazioni, vedere collegamento privato limitazioni.

I back-end del servizio devono trovarsi in un Rete virtuale e dietro un Load Balancer Standard.

È possibile ridimensionare il servizio collegamento privato in diversi modi:

• Aggiungere macchine virtuali di back-end al pool dietro un'istanza di Load Balancer Standard
• Aggiungere un indirizzo IP al servizio collegamento privato. Sono consentiti fino a 8 indirizzi IP per servizio collegamento privato.
• Aggiungere un nuovo servizio collegamento privato a Load Balancer Standard. Microsoft consente fino a otto servizi collegamento privato per Load Balancer Standard.

• La configurazione IP NAT garantisce che lo spazio di indirizzi di origine (consumer) e di destinazione (provider di servizi) non presenti conflitti IP. La configurazione fornisce NAT di origine per il traffico di collegamento privato per la destinazione. L'indirizzo IP NAT viene visualizzato come IP di origine per tutti i pacchetti ricevuti dal servizio e dall'INDIRIZZO IP di destinazione per tutti i pacchetti inviati dal servizio. L'IP NAT può essere scelto da qualsiasi subnet nel Rete virtuale di un provider di servizi.
• Ogni indirizzo IP NAT fornisce 64.000 connessioni TCP (64.000 porte) per macchina virtuale dietro l'istanza di Load Balancer Standard. Per ridimensionare e aggiungere altre connessioni, è possibile aggiungere nuovi indirizzi IP NAT o aggiungere altre macchine virtuali dietro l'istanza di Load Balancer Standard. In questo modo, la disponibilità della porta viene ridimensionata e sono consentite altre connessioni. Le connessioni vengono distribuite tra IP NAT e macchine virtuali dietro il Load Balancer Standard.

Yes. Un servizio collegamento privato può ricevere connessioni da più endpoint privati. Tuttavia, un endpoint privato può connettersi a un solo servizio collegamento privato.

È possibile controllare l'esposizione usando la configurazione della visibilità nel servizio collegamento privato. La visibilità supporta tre impostazioni:

• None - Only subscriptions with role based access can locate the service.
• Restrictive - Only subscriptions that are approved and with role based access can locate the service.
• All - Everyone can locate the service.

No. collegamento privato Servizio su un'istanza di Load Balancer Basic non è supportato.

No. Una subnet dedicata non è necessaria per il servizio collegamento privato. È possibile scegliere qualsiasi subnet nella rete virtuale in cui viene distribuito il servizio.

No. Collegamento privato di Azure fornisce questa funzionalità. Non è necessario avere spazio indirizzi non sovrapposto con lo spazio indirizzi del cliente.

Next steps

• Vedere informazioni su collegamento privato di Azure