Warum Private Endpoints?
Standardmäßig sind Azure PaaS-Dienste über öffentliche Endpunkte erreichbar. Mit Private Endpoints bekommen sie eine private IP in Ihrem VNet:
Ohne Private Endpoint:
App → Internet → sql-firma.database.windows.net → SQL Database
Mit Private Endpoint:
App → VNet → 10.0.3.5 (Private IP) → SQL Database
Vorteile:
- Kein Internet-Traffic für PaaS-Zugriff
- DLP: Daten verlassen nie das private Netz
- NSG-Kontrolle über den Zugriff
Private Endpoint für SQL Database
# Private Endpoint erstellen
az network private-endpoint create \
--name pe-sql-db \
--resource-group rg-firma-prod \
--vnet-name vnet-firma-prod \
--subnet snet-data \
--private-connection-resource-id \
/subscriptions/<SUB>/resourceGroups/rg-firma-prod/providers/Microsoft.Sql/servers/sql-firma-prod \
--group-id sqlServer \
--connection-name pe-conn-sql
# Öffentlichen Zugriff blockieren
az sql server update \
--name sql-firma-prod \
--resource-group rg-firma-prod \
--enable-public-network false
Private DNS Zone konfigurieren
# Private DNS Zone erstellen
az network private-dns zone create \
--resource-group rg-firma-prod \
--name "privatelink.database.windows.net"
# DNS Zone mit VNet verknüpfen
az network private-dns link vnet create \
--resource-group rg-firma-prod \
--zone-name "privatelink.database.windows.net" \
--name dns-link-vnet \
--virtual-network vnet-firma-prod \
--registration-enabled false
# DNS-Eintrag erstellen
az network private-endpoint dns-zone-group create \
--resource-group rg-firma-prod \
--endpoint-name pe-sql-db \
--name sql-dns-zone-group \
--private-dns-zone "privatelink.database.windows.net" \
--zone-name sql
Jetzt löst sql-firma-prod.database.windows.net intern zu 10.0.3.5 auf.
Private Endpoints für weitere Dienste
| Dienst | group-id | DNS Zone |
|---|---|---|
| SQL Database | sqlServer | privatelink.database.windows.net |
| Storage (Blob) | blob | privatelink.blob.core.windows.net |
| Storage (Files) | file | privatelink.file.core.windows.net |
| Key Vault | vault | privatelink.vaultcore.azure.net |
| Container Registry | registry | privatelink.azurecr.io |
| App Service | sites | privatelink.azurewebsites.net |
Service Endpoints (einfachere Alternative)
# Service Endpoint auf Subnet (weniger sicher als Private Endpoint)
az network vnet subnet update \
--vnet-name vnet-firma-prod \
--name snet-data \
--resource-group rg-firma-prod \
--service-endpoints Microsoft.Sql Microsoft.Storage
Service Endpoints sind einfacher aber die Verbindung geht über den Azure-Backbone – nicht über eine private IP im VNet.
FAQ
Was kostet ein Private Endpoint?0,01 €/Stunde (7 €/Monat) pro Endpoint + Datenübertragungsgebühren.
Kann ich von On-Premises über Private Endpoints auf PaaS zugreifen?
Ja, via VPN Gateway oder ExpressRoute mit Private DNS Zone Resolver.
Fazit
Private Endpoints sind Pflicht für Produktions-Azure-Umgebungen. PaaS-Dienste gehören ins VNet – nicht ins Internet.
Azure-Sicherheitsarchitektur für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.