Endpoint privati per pianificatore di attività durevole (anteprima)

Un endpoint private è un'interfaccia di rete che consente di connettersi privatamente e in modo sicuro a un servizio basato su collegamento privato di Azure. È possibile usare endpoint privati con Durable Task Scheduler per consentire alle app nella rete virtuale di connettersi all'utilità di pianificazione tramite una connessione privata, senza esporre il traffico a Internet pubblico.

Connessioni a endpoint privato

Per impostazione predefinita, le app si connettono all'Utilità di pianificazione attività durevole tramite un indirizzo endpoint pubblico nel formato {scheduler-name}-{suffix}.{region}.durabletask.io. Quando si crea un endpoint privato per la risorsa del pianificatore, l'endpoint viene mappato a un indirizzo IP privato nella rete virtuale. Questa configurazione consente alle app di comunicare con l'utilità di pianificazione tramite il collegamento di rete privata anziché con internet pubblico.

Un endpoint privato per Durable Task Scheduler è destinato alla sottorisorsa scheduler nel tipo di risorsa Microsoft.DurableTask/schedulers.

I client che si connettono tramite l'endpoint privato usano lo stesso indirizzo endpoint e lo stesso meccanismo di autenticazione dei client che si connettono all'endpoint pubblico. La risoluzione DNS risolve automaticamente l'endpoint dell'utilità di pianificazione nell'indirizzo IP privato, quando la richiesta ha origine dall'interno della rete virtuale.

Vantaggi

Gli endpoint privati per Durable Task Scheduler consentono di:

• Proteggi il tuo scheduler configurando il firewall per bloccare tutte le connessioni sull'endpoint pubblico.
• Aumentare la sicurezza per la rete virtuale consentendo di bloccare l'esfiltrazione dei dati dalla rete virtuale.
• Connettersi in modo sicuro da reti locali che si connettono alla rete virtuale tramite VPN o ExpressRoute con peering privato.

Architettura di rete

Con un endpoint privato, la connettività tra le app nella rete virtuale e il scheduler scorre sulla rete backbone di Microsoft. Il traffico non attraversa mai la rete Internet pubblica.

Il diagramma seguente illustra la differenza tra la connettività dell'endpoint pubblico e privato:

• Senza un endpoint privato, la tua app invia il traffico gRPC tramite la rete pubblica all'endpoint pubblico del pianificatore.
• Con un endpoint privato, l'app invia il traffico gRPC attraverso l'indirizzo IP privato della rete virtuale, che instrada attraverso il collegamento privato di Azure all'utilità di pianificazione.

Entrambi i metodi di connessione usano la crittografia TLS e l'autenticazione basata sull'identità tramite l'identità gestita.

Configurazione del DNS

Quando si crea un endpoint privato per una risorsa di pianificatore di attività durevole, la risoluzione DNS dell'endpoint dell'utilità di pianificazione deve puntare all'indirizzo IP privato assegnato all'endpoint privato. È possibile usare uno degli approcci seguenti:

• Azure DNS privato zone (scelta consigliata): Azure configura automaticamente una zona private DNS collegata alla rete virtuale. La query DNS per l'endpoint dell'utilità di pianificazione viene risolta all'indirizzo IP privato all'interno della rete virtuale.
• Server DNS personalizzato: Se utilizzi un server DNS personalizzato, aggiungi un record DNS per l'endpoint dello scheduler che punta all'indirizzo IP privato dell'endpoint privato.
• File hosts (per il test): è possibile modificare il file hosts in una macchina virtuale per puntare l'endpoint dello scheduler all'indirizzo IP privato dell'endpoint privato.

Accesso alla rete pubblica

Dopo aver configurato un endpoint privato, è possibile disabilitare facoltativamente l'accesso alla rete pubblica nella risorsa Utilità di pianificazione attività durevole. Quando l'accesso pubblico è disabilitato, sono consentite solo le connessioni tramite endpoint privati. Questa configurazione garantisce che tutto il traffico tra le app e l'utilità di pianificazione rimanga all'interno della rete virtuale.

Considerazioni

Tenere presenti le considerazioni seguenti quando si usano endpoint privati con Durable Task Scheduler:

• Area: l'endpoint privato deve essere distribuito nella stessa area della rete virtuale. La risorsa dell'utilità di pianificazione può trovarsi in un'area diversa, anche se è consigliabile posizionarla nella stessa area per una latenza ottimale.
• Disponibilità SKU: gli endpoint privati sono supportati nell'utilità di pianificazione che usano sia lo SKU dedicato che lo SKU a consumo.
• Più endpoint privati: è possibile creare più endpoint privati per la stessa risorsa dell'utilità di pianificazione in reti virtuali diverse per abilitare l'accesso da più reti.
• Identity e RBAC: gli endpoint privati proteggono il percorso di rete al pianificatore. È comunque necessario configurare il controllo degli accessi in base all'identità per autenticare e autorizzare le app.
• Hub attività: una connessione endpoint privato nell'utilità di pianificazione si applica a tutti gli hub attività all'interno dell'utilità di pianificazione. Non è possibile creare connessioni endpoint privati per singoli hub di attività.
• Emulatore: L'emulatore di Durable Task Scheduler viene eseguito in locale e non supporta gli endpoint privati. Gli endpoint privati si applicano solo alle risorse dell'utilità di pianificazione distribuite in Azure.

Passaggi successivi

• Altre informazioni su collegamento privato di Azure
• Scopri di più su Azure Private Endpoints
• Informazioni su Durable Task Scheduler