Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Os endpoints privados para o Durable Task Scheduler estão atualmente em pré-visualização restrita. Para aceder a esta funcionalidade, contacte-nos em dtspe@microsoft.com. A disponibilidade geral está prevista para o final de maio de 2026.
Um endpoint privado é uma interface de rede que o liga de forma privada e segura a um serviço alimentado por Azure Private Link. Pode usar endpoints privados com o Durable Task Scheduler para permitir que aplicações na sua rede virtual se liguem ao scheduler através de uma ligação privada, sem expor tráfego à internet pública.
Conexões de pontos de extremidade privados
Por padrão, as aplicações conectam-se ao Durable Task Scheduler através de um endereço de endpoint público no formato {scheduler-name}-{suffix}.{region}.durabletask.io. Quando cria um endpoint privado para o seu recurso de agendador, o endpoint é mapeado para um endereço IP privado na sua rede virtual. Esta configuração permite que as suas aplicações comuniquem com o agendador através da ligação de rede privada em vez da internet pública.
Um endpoint privado do Durable Task Scheduler direciona o subrecurso scheduler no tipo de recurso Microsoft.DurableTask/schedulers.
Os clientes que se ligam através do endpoint privado utilizam o mesmo endereço do endpoint e mecanismo de autenticação que os clientes que se ligam ao endpoint público. A resolução DNS resolve automaticamente o endpoint do programador para o endereço IP privado quando o pedido se origina a partir da rede virtual.
Benefícios
Os endpoints privados para o Durable Task Scheduler permitem-lhe:
- Assegure o seu agendador configurando o firewall para bloquear todas as ligações no endpoint público.
- Aumente a segurança da rede virtual ao permitir bloquear a exfiltração de dados da rede virtual.
- Conecte-se com segurança a partir de redes no local que se conectam à rede virtual usando VPN ou ExpressRoute com peering privado.
Arquitetura de rede
Com um endpoint privado, a conectividade entre as aplicações na rede virtual e o agendador flui através da rede backbone da Microsoft. O tráfego nunca atravessa a internet pública.
O diagrama seguinte ilustra a diferença entre a conectividade dos endpoints públicos e privados:
- Sem um endpoint privado, a tua aplicação envia tráfego gRPC através da internet pública para o endpoint público do agendador.
- Com um endpoint privado, a sua aplicação envia tráfego gRPC através do endereço IP privado da rede virtual, que encaminha pelo Azure Private Link até ao agendador.
Ambos os métodos de ligação utilizam encriptação TLS e autenticação baseada em identidade através de identidade gerida.
Configuração do DNS
Quando cria um endpoint privado para um recurso do Durable Task Scheduler, a resolução DNS do endpoint do scheduler deve ser resolvida para o endereço IP privado atribuído ao endpoint privado. Pode usar uma das seguintes abordagens:
- Zonas DNS Privadas do Azure (recomendado): O Azure configura automaticamente uma zona de DNS privado ligada à sua rede virtual. As consultas DNS para o endpoint do agendador resolvem-se para o endereço IP privado a partir da rede virtual.
- Servidor DNS personalizado: Se usar um servidor DNS personalizado, adicione um registo DNS para o endpoint do escalonador que aponte para o endereço IP privado desse endpoint privado.
- Ficheiro host (para testes): Pode modificar o ficheiro host numa máquina virtual para apontar o endpoint do escalonador para o endereço IP privado do endpoint privado.
Importante
Sem uma configuração DNS adequada, as suas aplicações não conseguem resolver o endpoint do agendador para o endereço IP privado, e a ligação ao endpoint privado falha.
Acesso à rede pública
Depois de configurar um endpoint privado, pode opcionalmente desativar o acesso à rede pública no recurso Durable Task Scheduler. Quando o acesso público está desativado, apenas são permitidas ligações através de endpoints privados. Esta configuração garante que todo o tráfego entre as suas aplicações e o agendador se mantém dentro da rede virtual.
Observação
Desativar o acesso público à rede também afeta o acesso ao painel do Durable Task Scheduler. Para continuar a usar o dashboard com endpoints privados, certifique-se de que o dashboard é acedido a partir da rede virtual ou através de um caminho de rede que encaminhe para o endpoint privado.
Considerações
Tenha em mente as seguintes considerações ao utilizar endpoints privados com o Durable Task Scheduler:
- Região: O endpoint privado deve ser implementado na mesma região da rede virtual. O recurso do escalonador pode estar numa região diferente, embora seja recomendado colocá-lo na mesma região para otimizar a latência.
- Disponibilidade de SKU: Endpoints privados são suportados em agendadores que utilizam tanto o SKU Dedicado como o SKU de Consumo.
- Múltiplos endpoints privados: Pode criar múltiplos endpoints privados para o mesmo recurso de agendador em diferentes redes virtuais para permitir o acesso a partir de múltiplas redes.
- Identidade e RBAC: Pontos finais privados protegem o caminho da rede para o agendador. Ainda precisa de configurar o controlo de acesso baseado em identidade para autenticar e autorizar as suas aplicações.
- Centros de tarefas: Uma ligação privada ao endpoint no agendador aplica-se a todos os centros de tarefas dentro desse agendador. Não podes criar ligações privadas a endpoints para centros de tarefas individuais.
- Emulador: O emulador Durable Task Scheduler corre localmente e não suporta endpoints privados. Os endpoints privados aplicam-se apenas a os recursos de agendadores implementados no Azure.