Laboratório Técnico: Configure access to service endpoints
Questões
Questão 1 — Múltipla Escolha
Uma equipe de infraestrutura precisa garantir que uma máquina virtual em uma subnet específica acesse o Azure Storage diretamente pela rede da Microsoft, sem passar pela internet pública. Ao mesmo tempo, o Storage Account deve rejeitar conexões originadas de outras subnets ou da internet.
Qual combinação de configurações atende corretamente a esse requisito?
A) Habilitar o Service Endpoint para Microsoft.Storage na subnet da VM e, no Storage Account, configurar uma regra de rede virtual permitindo somente essa subnet.
B) Habilitar o Service Endpoint para Microsoft.Storage na subnet da VM e deixar o Storage Account com acesso público habilitado para todas as redes.
C) Criar um Private Endpoint para o Storage Account na subnet da VM e habilitar o Service Endpoint para Microsoft.Storage na mesma subnet como redundância.
D) Habilitar o Service Endpoint para Microsoft.Storage no nível da VNet inteira e configurar o Storage Account para aceitar tráfego apenas de endereços IP públicos da VNet.
Questão 2 — Cenário Técnico
Um engenheiro configura um Service Endpoint para Microsoft.Sql em uma subnet e atualiza as regras do Azure SQL Database para permitir acesso somente por essa subnet. Após a configuração, as VMs na subnet conseguem acessar o banco de dados normalmente. Porém, um aplicativo hospedado no Azure App Service (em um plano diferente, sem integração com a VNet) passa a receber erros de conexão recusada.
Qual é a causa mais provável desse comportamento?
A) O Service Endpoint alterou o endereço IP de origem das VMs, fazendo com que o firewall do SQL reconheça apenas o novo prefixo de serviço e bloqueie outras origens.
B) O App Service utiliza endereços IP públicos para se comunicar com o SQL Database, e a regra de rede agora restringe o acesso apenas à subnet com Service Endpoint configurado.
C) O Service Endpoint desabilitou automaticamente as regras de firewall baseadas em IP existentes no Azure SQL Database, bloqueando todas as conexões externas.
D) A ausência de um Service Endpoint no App Service impede que qualquer tráfego de saída chegue ao Azure SQL Database, independentemente das regras de firewall.
Questão 3 — Verdadeiro ou Falso
A habilitação de um Service Endpoint em uma subnet atribui à subnet um endereço IP público dedicado, que o serviço de destino usa para identificar e autorizar o tráfego proveniente dessa subnet.
Questão 4 — Cenário Técnico
Considere a configuração abaixo aplicada a uma subnet em uma VNet do Azure:
{
"serviceEndpoints": [
{
"service": "Microsoft.Storage",
"locations": ["brazilsouth"]
}
]
}
Um desenvolvedor relata que VMs nessa subnet conseguem acessar o Storage Account localizado em brazilsouth, mas falham ao tentar acessar um segundo Storage Account localizado em eastus, mesmo que ambas as contas estejam configuradas para aceitar a subnet.
Qual é a causa do problema e como corrigi-lo?
A) O Service Endpoint está configurado apenas para a região brazilsouth; é necessário adicionar a região eastus ou usar o valor * para cobrir todas as regiões.
B) O Service Endpoint não suporta múltiplos Storage Accounts por subnet; é necessário criar uma subnet separada para cada conta de armazenamento.
C) O Storage Account em eastus precisa de um Service Endpoint do tipo Microsoft.Storage.Global em vez de Microsoft.Storage.
D) O problema está nas regras de rede do Storage Account em eastus, que precisam referenciar o Resource ID completo da subnet, não apenas o nome.
Questão 5 — Múltipla Escolha
Ao comparar Service Endpoints e Private Endpoints para acesso a serviços PaaS do Azure, qual afirmação descreve corretamente uma diferença fundamental entre os dois recursos?
A) O Service Endpoint expõe o serviço PaaS por meio de um endereço IP privado dentro da VNet, enquanto o Private Endpoint roteia o tráfego pelo backbone da Microsoft sem alterar o endereço IP de destino.
B) O Private Endpoint cria uma interface de rede com IP privado dentro da VNet para o serviço, enquanto o Service Endpoint mantém o endereço IP público do serviço como destino, mas roteia o tráfego pelo backbone da Microsoft.
C) O Service Endpoint e o Private Endpoint oferecem o mesmo modelo de conectividade, diferenciando-se apenas no custo e na necessidade de DNS personalizado.
D) O Private Endpoint exige a habilitação prévia de um Service Endpoint na subnet para funcionar, pois depende da rota otimizada pelo backbone da Microsoft criada pelo Service Endpoint.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: A
Explicação:
Habilitar o Service Endpoint para Microsoft.Storage na subnet faz com que o tráfego originado daquela subnet em direção ao Azure Storage seja roteado pelo backbone da Microsoft, e o endereço IP de origem visto pelo serviço passa a ser o prefixo da subnet (identidade de rede virtual), não um IP público.
Para que o Storage Account rejeite todas as outras origens, é necessário combinar o Service Endpoint com uma regra de rede virtual no firewall do Storage Account apontando explicitamente para aquela subnet. Sem essa regra, o Service Endpoint por si só não restringe o acesso.
A alternativa B ignora a necessidade de restrição no destino. A alternativa C confunde os dois recursos: Private Endpoint e Service Endpoint têm arquiteturas distintas e não se complementam por redundância. A alternativa D é incorreta porque Service Endpoints são habilitados por subnet, não por VNet, e Storage Accounts não filtram por endereços IP públicos de VNets.
Gabarito — Questão 2
Resposta: B
Explicação:
Quando o Azure SQL Database tem sua rede configurada para aceitar apenas conexões provenientes de uma subnet com Service Endpoint, conexões de origens externas à VNet são bloqueadas. O Azure App Service, sem integração com a VNet configurada, realiza chamadas de saída usando endereços IP públicos gerenciados pela Microsoft, que não pertencem à subnet autorizada.
O equívoco representado pela alternativa A é comum: o Service Endpoint não altera o IP de origem das VMs de forma que bloqueie outras origens; ele apenas garante que o tráfego da subnet use o backbone e seja identificado pelo prefixo da subnet no destino. A alternativa C é falsa: o Service Endpoint não desabilita regras de firewall existentes. A alternativa D é incorreta pois o App Service pode ter saída bloqueada pelo firewall do SQL, mas a causa não é a ausência de Service Endpoint no App Service em si.
Gabarito — Questão 3
Resposta: Falso
Explicação:
O Service Endpoint não atribui um endereço IP público dedicado à subnet. O que ocorre é diferente: o tráfego passa a ser roteado pelo backbone da Microsoft até o serviço de destino, mas o endereço IP de destino ainda é o endereço público do serviço. Do ponto de vista do serviço de destino (como o Azure Storage), a origem identificada é o prefixo de endereço privado da subnet (o espaço de endereço da VNet), não um IP público dedicado.
Essa distinção é central para entender por que o Service Endpoint não oferece isolamento de rede tão forte quanto o Private Endpoint, que sim, provisiona uma interface com IP privado dentro da VNet.
Gabarito — Questão 4
Resposta: A
Explicação:
A propriedade locations no Service Endpoint define em quais regiões o endpoint é ativo. Uma configuração com "locations": ["brazilsouth"] habilita o roteamento otimizado pelo backbone apenas para instâncias do serviço nessa região. Tentativas de acesso a um Storage Account em eastus pelo mesmo Service Endpoint falham porque o endpoint não cobre aquela região.
A correção é adicionar "eastus" ao array de localizações ou usar "*" para cobrir todas as regiões, dependendo da política de segurança adotada.
A alternativa B é incorreta: não há limite de Storage Accounts por subnet via Service Endpoint. A alternativa C é um distrator plausível, mas Microsoft.Storage.Global não é um tipo de Service Endpoint válido para esse cenário. A alternativa D desvia o problema para as regras do Storage Account, o que não corresponde à causa raiz descrita no cenário.
Gabarito — Questão 5
Resposta: B
Explicação:
Essa é a diferença arquitetural fundamental entre os dois recursos:
| Aspecto | Service Endpoint | Private Endpoint |
|---|---|---|
| Endereço IP de destino | IP público do serviço | IP privado dentro da VNet |
| Interface de rede criada na VNet | Não | Sim (NIC com IP privado) |
| Necessidade de DNS privado | Não | Sim (recomendado) |
| O serviço fica acessível pela internet | Pode ser, se não restringido | Não, por padrão |
A alternativa A inverte as definições dos dois recursos. A alternativa C é incorreta porque os modelos de conectividade são fundamentalmente diferentes: o Private Endpoint isola o serviço na rede privada, enquanto o Service Endpoint apenas otimiza o roteamento sem remover o endpoint público do serviço. A alternativa D é um equívoco frequente: o Private Endpoint é independente do Service Endpoint e não exige que este esteja habilitado previamente na subnet.