Un point d'accès privé dans Azure est une interface réseau qui vous connecte de manière privée et sécurisée à un service exploité par Azure Private Link. Le point de terminaison privé utilise une adresse IP privée dans votre VNet et intègre effectivement le service dans votre VNet. Il peut s'agir d'un service Azure tel que Azure Storage, Azure Cosmos DB, SQL, etc. ou de votre propre service Private Link.
Lorsque l'on met à disposition un service PaaS sur Azure, celui-ci est automatiquement doté d'un nom DNS public et d'une IP publique, qui est généralement accessible à tous sur Internet.
Avec Private Endpoints, les services PaaS reçoivent, en plus de l'IP externe, une IP interne dans le VNet. Ainsi, des règles de pare-feu supplémentaires permettent d'éviter que le service PaaS soit accessible sur Internet. Le service n'est donc plus accessible que via le VNET interne autogéré, ce qui permet d'augmenter la sécurité en réduisant considérablement la surface d'attaque.
Pour les services PaaS Azure suivants, il est actuellement possible d'utiliser des terminaux privés :
- Service de liens privés (votre propre service)
- Automatisation Azure
- Base de données SQL Azure
- Azure Synapse Analytics
- Stockage Azure
- Stockage Azure Data Lake Gen2
- Azure Cosmos DB
- Base de données Azure pour PostgreSQL
- Base de données Azure pour MySQL
- Base de données Azure pour MariaDB
- Hub IoT Azure
- Azure Key Vault
- Service Kubernetes Azure
- Azure Search
- Registre des conteneurs Azure
- Configuration des applications Azure
- Sauvegarde Azure
- Hub d'événements Azure
- Bus de services Azure
- Relais Azure
- Grille d'événements Azure
- Service d'application Azure
- Apprentissage machine Azure
- SignalR
- Moniteur Azure
- Services cognitifs
- Azure File Sync
Les points d'accès de service, tout comme les points d'accès privés, offrent la possibilité d'accéder aux ressources PaaS uniquement à partir de certains VNET. La différence réside toutefois dans le fait que les services PaaS ne disposent pas de points d'accès à l'intérieur d'un VNET, alors que les points d'accès privés te permettent d'obtenir une IP à l'intérieur du VNET.
Service PaaS existant
Pour que la ressource PaaS existante puisse être intégrée dans un réseau virtuel dans Azure, il doit exister un VNet et un sous-réseau. S'il n'en existe pas encore, il faut en créer un.
Maintenant, le point d'accès privé peut être configuré, cela se trouve directement dans la ressource PaaS sous Réseau.
Nouveau service PaaS
Lors de la création d'un nouveau service PaaS, il est possible de créer le point d'accès privé en même temps dans l'assistant.
Configurer le DNS
Avec la configuration du Private Endpoint, la ressource PaaS a maintenant reçu une adresse IP privée dans le VNet ou le sous-réseau. Cependant, pour que le service soit accessible via ce nom, le DNS doit être configuré en conséquence. Pour cela, il existe deux possibilités standard, pour les configurations DNS plus complexes, il faut créer une solution individuelle.
Zone DNS privée Azure
Il s'agit de l'option par défaut. Ainsi, lors du déploiement du Private Endpoint, une zone DNS privée est créée dans Azure et celle-ci est reliée au VNet sélectionné. Ainsi, tous les hôtes au sein de ce VNet peuvent résoudre le nom via cette zone DNS.
Transmetteur DNS
Si un serveur DNS a été configuré sur le VNET, il est possible d'y inscrire un DNS forwarder vers Azure avec l'IP : 168.63.129.16. Ainsi, toutes les demandes auxquelles le serveur DNS ne peut pas répondre lui-même sont transmises au serveur DNS Azure.
Pour que l'accès à la ressource PaaS soit vraiment désactivé, il faut encore le configurer sur la ressource elle-même. Cela se trouve dans les paramètres du pare-feu.
French 
German 
English 
French