Pular para o conteúdo principal

Laboratório Técnico: Create service endpoints

Questões

Questão 1 — Múltipla Escolha

Uma equipe de desenvolvimento precisa garantir que uma conta de armazenamento do Azure aceite tráfego somente a partir de uma sub-rede específica de uma VNet. O administrador habilita o Service Endpoint para Microsoft.Storage na sub-rede e configura a regra de rede na conta de armazenamento.

Qual é o efeito direto de habilitar o Service Endpoint na sub-rede?

A. O tráfego passa a ser roteado por um endereço IP privado alocado dentro da VNet para o serviço de armazenamento.

B. A sub-rede passa a usar a rota otimizada para o endpoint público do serviço, e o endereço IP de origem apresentado ao serviço é o IP privado da VM.

C. Um endereço IP privado do serviço é injetado na sub-rede via link de Private Endpoint, eliminando a necessidade de regras de firewall.

D. O tráfego de saída é bloqueado para a internet e redirecionado exclusivamente para o backbone da Microsoft via NAT gateway.

Questão 2 — Cenário Técnico

Uma VM em subnet-app (VNet vnet-prod, região East US) precisa acessar uma conta de armazenamento na mesma região. O administrador configurou o seguinte:

Sub-rede: subnet-app
Service Endpoint habilitado: Microsoft.Storage

Conta de armazenamento:
  - Firewall: Redes selecionadas
  - Virtual networks: vnet-prod / subnet-app — ADICIONADA

Durante os testes, a VM consegue acessar a conta de armazenamento normalmente. Porém, uma segunda VM em subnet-db, dentro da mesma VNet, não consegue acessar a mesma conta, mesmo sem regras de NSG bloqueando o tráfego.

Qual é a causa mais provável da falha?

A. O Service Endpoint foi habilitado apenas em subnet-app; como subnet-db não possui o endpoint configurado, o tráfego dela ainda sai pelo IP público e é bloqueado pelo firewall da conta.

B. O Service Endpoint é um recurso de VNet e, uma vez habilitado, se aplica automaticamente a todas as sub-redes; o problema é que a regra de rede não foi salva corretamente.

C. Sub-redes diferentes exigem VNets diferentes para que o Service Endpoint funcione de forma independente.

D. A ausência de um UDR (User Defined Route) em subnet-db impede que o tráfego alcance o endpoint do serviço.

Questão 3 — Verdadeiro ou Falso

Afirmação: Ao habilitar um Service Endpoint em uma sub-rede, o tráfego destinado ao serviço associado deixa de passar pela internet pública e passa a trafegar exclusivamente pelo backbone da Microsoft, mesmo que a conta de destino não possua nenhuma regra de rede configurada para restringir o acesso por VNet.

O tráfego do Service Endpoint é roteado pelo backbone independentemente das configurações de firewall do recurso de destino?

  • Verdadeiro
  • Falso

Questão 4 — Múltipla Escolha

Um arquiteto avalia se deve usar Service Endpoints ou Private Endpoints para proteger o acesso a um Azure SQL Database a partir de uma VNet corporativa. Após análise, decide usar Private Endpoint.

Qual característica dos Private Endpoints justifica essa escolha em relação aos Service Endpoints, considerando o requisito de que o serviço não deve ser acessível por nenhum caminho público, mesmo que brevemente?

A. Private Endpoints permitem habilitar o acesso por múltiplas sub-redes simultaneamente, enquanto Service Endpoints exigem configuração individual por sub-rede.

B. Com Private Endpoints, o recurso recebe um IP privado dentro da VNet e pode ter seu acesso público completamente desabilitado no plano de controle do serviço, eliminando a exposição pelo endpoint público.

C. Service Endpoints não suportam o Azure SQL Database, sendo os Private Endpoints a única opção disponível para esse serviço.

D. Private Endpoints utilizam o Microsoft Entra ID para autenticação mútua, eliminando a necessidade de regras de firewall baseadas em rede.

Questão 5 — Cenário Técnico

Um administrador precisa habilitar o Service Endpoint para Microsoft.KeyVault em uma sub-rede existente que já possui VMs em produção. Ele executa o seguinte comando:

az network vnet subnet update \
  --vnet-name vnet-prod \
  --name subnet-app \
  --resource-group rg-network \
  --service-endpoints Microsoft.KeyVault

Após a execução, ele observa que as VMs na sub-rede tiveram uma breve interrupção de conectividade de rede.

Qual é a causa mais precisa desse comportamento?

A. O comando recriou a sub-rede do zero, forçando um realocamento de IPs para todas as VMs.

B. A atualização da sub-rede para adicionar Service Endpoints provoca uma reconfiguração na programação de rede do host, causando uma breve interrupção nas conexões TCP existentes das VMs afetadas.

C. O Azure exige que todas as interfaces de rede sejam desalocadas antes de modificar Service Endpoints em sub-redes com recursos ativos, e o comando forçou isso automaticamente.

D. A interrupção ocorreu porque o Key Vault bloqueou temporariamente as conexões enquanto validava a nova origem de tráfego proveniente do Service Endpoint.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Quando um Service Endpoint é habilitado em uma sub-rede, dois efeitos ocorrem simultaneamente: a rota para o serviço é otimizada para passar pelo backbone da Microsoft em vez da internet pública, e o endereço IP de origem apresentado ao serviço é o IP privado da VM, não o IP público da VNet.

O principal equívoco representado pelas alternativas incorretas é confundir Service Endpoint com Private Endpoint. A alternativa A descreve o comportamento de um Private Endpoint, que de fato injeta um IP privado dentro da VNet. A alternativa C descreve exatamente esse mecanismo de Private Endpoint. A alternativa D confunde Service Endpoint com NAT Gateway, que é um recurso de saída de internet.

Service Endpoints não criam IPs privados para o serviço; eles apenas mudam o caminho do tráfego e a identidade de origem apresentada ao recurso de destino.

Gabarito — Questão 2

Resposta: A

Service Endpoints são habilitados por sub-rede, não por VNet. Cada sub-rede que precisa se comunicar com o serviço protegido deve ter o endpoint habilitado individualmente, e a regra de rede do recurso de destino deve incluir essa sub-rede explicitamente.

Como subnet-db não possui o endpoint habilitado, o tráfego originado dela ainda sai pelo IP público da VNet e chega ao firewall da conta de armazenamento como tráfego externo, sendo bloqueado pela política de "Redes selecionadas".

A alternativa B representa o equívoco mais comum: imaginar que o Service Endpoint é um atributo da VNet e se propaga para todas as sub-redes automaticamente. A alternativa D confunde a necessidade de UDR com o funcionamento de Service Endpoints; rotas customizadas não são exigidas para que o endpoint funcione na sub-rede correta.

Gabarito — Questão 3

Resposta: Verdadeiro

Esta afirmação é verdadeira e representa um comportamento não óbvio dos Service Endpoints. O roteamento pelo backbone da Microsoft é uma consequência da habilitação do endpoint na sub-rede e ocorre independentemente de qualquer configuração no recurso de destino.

O que as regras de firewall do recurso controlam é a autorização de acesso: se a conta de armazenamento estiver configurada para aceitar todas as redes (comportamento padrão), o tráfego chegará e será aceito. Se estiver configurada para redes selecionadas sem incluir a sub-rede, o tráfego chegará pelo backbone, mas será rejeitado na camada de autorização.

Portanto, roteamento e autorização são planos distintos: o Service Endpoint controla o caminho, enquanto as regras de rede do recurso controlam o acesso.

Gabarito — Questão 4

Resposta: B

A distinção central é que Private Endpoints permitem desabilitar completamente o acesso público ao recurso no nível do serviço. Com isso, o Azure SQL Database passa a ser acessível exclusivamente pelo IP privado injetado na VNet, e qualquer tentativa de acesso pelo endpoint público é rejeitada antes mesmo de chegar à camada de autenticação.

Com Service Endpoints, o endpoint público do serviço continua existindo e ativo; o que muda é que a regra de firewall restringe quais origens podem usá-lo. Isso significa que o endpoint público permanece tecnicamente exposto, ainda que controlado por política.

A alternativa C é falsa: Microsoft.Sql é um dos tipos de Service Endpoint suportados. A alternativa D é incorreta porque Private Endpoints não utilizam Microsoft Entra ID como mecanismo de controle de acesso de rede; a autenticação ao serviço é independente do tipo de conectividade de rede adotado.

Gabarito — Questão 5

Resposta: B

A habilitação de um Service Endpoint em uma sub-rede existente exige que o Azure reprograme as políticas de roteamento e as regras de rede no nível do hypervisor/host para todas as VMs naquela sub-rede. Esse processo causa uma breve interrupção nas conexões TCP estabelecidas, pois a programação de rede subjacente é atualizada em tempo real.

Esse comportamento é documentado pela Microsoft e deve ser considerado ao planejar a habilitação de endpoints em sub-redes de produção, preferencialmente durante janelas de manutenção.

A alternativa A é falsa: sub-redes não são recriadas e IPs não são realocados. A alternativa C é falsa: o Azure não desaloca interfaces de rede automaticamente para essa operação. A alternativa D é falsa: o Key Vault não participa ativamente do processo de habilitação do endpoint na sub-rede; a interrupção ocorre na camada de rede do host, não no serviço de destino.