Private Endpoints in Azure

Private Endpoints in Azure ermöglichen eine sichere Verbindung zu Azure-Diensten innerhalb eines virtuellen Netzwerks (VNet) durch eine interne IP-Adresse. Dadurch sind diese Dienste nur über das VNet erreichbar, was die Sicherheit erhöht. Sie unterstützen zahlreiche Azure-Dienste und lassen sich über die Netzwerkeinstellungen konfigurieren.
Erstellt am:

Was sind Private Endpoints?

Ein privater Endpunkt in Azure ist eine Netzwerkschnittstelle, die dich privat und sicher mit einem von Azure Private Link betriebenen Dienst verbindet. Der private Endpunkt verwendet eine private IP-Adresse in Ihrem VNet und bindet den Dienst effektiv in Ihr VNet ein. Dabei kann es sich um einen Azure-Dienst wie z. B. Azure Storage, Azure Cosmos DB, SQL usw. oder Ihren eigenen Private Link-Dienst handeln.  

Wieso Private Endpoints nutzen?

Wenn man auf Azure einen PaaS Service bereitstellt, wird dieser automatisch mit einem public DNS Namen und auch mit einer public IP versehen, welche generell für alle zugänglich im Internet erreichbar ist. 
Mit Private Endpoints erhältst du die PaaS Services zusätzlich zur externen IP auch eine interne IP im VNet. Somit kann mit zusätzlichen Firewall Rules vermieden werden, dass der PaaS Dienst im Internet erreichbar ist. Der Dienst ist somit nur noch übers interne, selbst verwaltete VNET erreichbar, was zur Steigerung der Sicherheit dient, indem die Angriffsfläche deutlich reduziert wird. 

Für welche Services gibt es Private Endpoints?

Für folgende Azure PaaS Services können aktuell Private Endpoints verwendet werden: 
  • Private Link-Dienst (Ihr eigener Dienst)
  • Azure Automation
  • Azure SQL-Datenbank
  • Azure Synapse Analytics
  • Azure Storage
  • Azure Data Lake Storage Gen2
  • Azure Cosmos DB
  • Azure Database for PostgreSQL
  • Azure Database for MySQL
  • Azure Database for MariaDB
  • Azure IoT Hub
  • Azure Key Vault
  • Azure Kubernetes Service
  • Azure Search
  • Azure Container Registry
  • Azure App Configuration
  • Azure Backup
  • Azure Event Hub
  • Azure Service Bus
  • Azure Relay
  • Azure Event Grid
  • Azure App Service
  • Azure Machine Learning
  • SignalR
  • Azure Monitor
  • Cognitive Services
  • Azure File Sync

Was ist der Unterschied zwischen Private Endpoints und Service Endpoints?

Service Endpoints stellen, auch wie Private Endpoints die Möglichkeit zur Verfügung, dass der Zugriff auf PaaS Ressourcen nur von bestimmten VNETs aus geschehen darf. Der Unterschied ist jedoch, dass die PaaS Services die Endpoints nicht innerhalb eines VNET haben, bei Private Endpoints erhältst du jedoch eine IP innerhalb des VNets.

Konfiguration - Erstellen eines Service Endpoints

Bestehender PaaS Dienst

Damit die bestehende PaaS Resource in ein virtuelles Netzwerk in Azure eingebunden werden kann, muss ein VNet und ein Subnet existieren. Falls noch keines besteht, muss dies erstellt werden. 
Nun kann der private Endpoint konfiguriert werden, dies ist gleich in der PaaS Resource unter Netzwerk zu finden. 

Neuer PaaS Dienst

Beim Erstellen eines neuen PaaS Dienstes kann man den private Endpoint gleich im Wizard mit erstellen. 

Konfigurieren von DNS

Mit der Konfiguration des Private Endpoints hat nun die PaaS Resource im VNet bzw. im Subnetz eine private IP-Adresse erhalten. Damit der Dienst jedoch über den Namen erreichbar ist, muss der DNS entsprechend konfiguriert werden. Dazu gibt es 2 Standardmöglichkeiten, bei komplexeren DNS-Konfigurationen, muss eine individuelle Lösung erstellt werden. 

Azure private DNS-Zone

Dies ist die Standardoption. Somit wird beim deployen des Private Endpoint gleich eine private DNS-Zone in Azure erstellt und diese mit dem ausgewählten VNet verlinkt. So können alle Hosts innerhalb dieses VNets den Namen über diese DNS-Zone auflösen. 

DNS forwarder

Wenn ein DNS-Server im VNET konfiguriert wurde, kann auf diesem ein DNS forwarder nach Azure mit der IP: 168.63.129.16 eingetragen werden. Somit werden alle Anfragen, welche der DNS-Server nicht selbst beantworten kann, dem Azure DNS-Server weitergeleitet. 
Setup Design 
Abschalten von Internet Access (Firewall Konfiguration) 
Damit der Zugriff auf die PaaS Resource auch wirklich abgeschaltet wird, muss dies auf der Resource selbst noch konfiguriert wird. Dies findet man unter den Firewall Einstellungen.