استخدام نقاط النهاية الخاصة لتطبيقات Azure App Service

يمكنك استخدام نقطة نهاية خاصة لتطبيقات Azure App Service. تسمح نقطة النهاية الخاصة للعملاء الموجودين في شبكتك الخاصة بالوصول بأمان إلى تطبيق عبر Azure Private Link. تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان شبكة Azure الظاهرية. تنتقل نسبة استخدام الشبكة بين عميل على شبكتك الخاصة والتطبيق عبر الشبكة الظاهرية و Private Link على شبكة Microsoft الأساسية. يلغي هذا التكوين التعرض من الإنترنت العام.

عند استخدام نقطة نهاية خاصة لتطبيقك، يمكنك:

• قم بتأمين تطبيقك عند تكوين نقطة النهاية الخاصة وتعطيل الوصول إلى الشبكة العامة، مما يلغي التعرض العام.
• اتصل بتطبيقك بأمان من الشبكات المحلية التي تتصل بالشبكة الظاهرية باستخدام شبكة ظاهرية خاصة أو نظير خاص ل ExpressRoute.
• تجنب أي تسرب للبيانات من شبكتك الظاهرية.

هام

تتوفر نقاط النهاية الخاصة لتطبيقات Windows وLinux، في حاويات أم لا، مستضافة على خطط App Service التالية: Basic، Standard، PremiumV2، PremiumV3، IsolatedV2، Functions Premium (تسمى أحيانا خطة Elastic Premium).

نظرة عامة منطقية

نقطة النهاية الخاصة هي واجهة شبكة لتطبيق App Service في شبكة فرعية في شبكتك الظاهرية.

عند إنشاء نقطة نهاية خاصة لتطبيقك، فإنها توفر اتصالا آمنا بين العملاء على شبكتك الخاصة والتطبيق. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عناوين IP لشبكتك الظاهرية. يستخدم الاتصال بين نقطة النهاية الخاصة والتطبيق رابطا خاصا آمنا. يتم استخدام نقطة النهاية الخاصة فقط لحركة المرور الواردة إلى تطبيقك. لا تستخدم نسبة استخدام الشبكة الصادرة نقطة النهاية الخاصة. يمكنك إدخال نسبة استخدام الشبكة الصادرة إلى شبكتك في شبكة فرعية مختلفة من خلال ميزة تكامل الشبكة الظاهرية.

يتم تكوين كل فتحة من التطبيق بشكل منفصل. يمكنك استخدام ما يصل إلى 100 نقطة نهاية خاصة لكل فتحة. لا يمكنك مشاركة نقطة نهاية خاصة بين الفتحات. subresource اسم الفتحة هو sites-<slot-name>.

يمكن أن تحتوي الشبكة الفرعية التي تستخدمها لتوصيل نقطة النهاية الخاصة على موارد أخرى فيها. لا تحتاج إلى شبكة فرعية فارغة مخصصة.

يمكنك أيضا نشر نقطة النهاية الخاصة في منطقة مختلفة عن تطبيقك.

ملاحظة

لا يمكن لميزة تكامل الشبكة الظاهرية استخدام نفس الشبكة الفرعية مثل نقطة النهاية الخاصة.

اعتبارات الأمان

يمكن أن تتعايش نقاط النهاية الخاصة والوصول العام على أحد التطبيقات. لمزيد من المعلومات، راجع هذه النظرة العامة على قيود الوصول.

لضمان العزل، عند تمكين نقاط النهاية الخاصة لتطبيقك، تأكد من تعطيل الوصول إلى الشبكة العامة. يمكنك تمكين نقاط نهاية خاصة متعددة في الشبكات الظاهرية والشبكات الفرعية الأخرى، بما في ذلك الشبكات الظاهرية في مناطق أخرى.

لا يتم تقييم قواعد تقييد الوصول لتطبيقك لنسبة استخدام الشبكة من خلال نقطة النهاية الخاصة. يمكنك التخلص من مخاطر النقل غير المصرح للبيانات من الشبكة الظاهرية. إزالة جميع قواعد مجموعة أمان الشبكة (NSG) حيث تكون الوجهة علامة الإنترنت أو خدمات Azure.

يمكنك العثور على عنوان IP لمصدر العميل في سجلات HTTP على الويب لتطبيقك. يتم تنفيذ هذه الميزة باستخدام وكيل بروتوكول التحكم في الإرسال (TCP)، الذي يقوم بإعادة توجيه خاصية IP للعميل إلى التطبيق. لمزيد من المعلومات، راجع الحصول على معلومات الاتصال باستخدام TCP Proxy v2.

DNS

عند استخدام نقطة النهاية الخاصة لتطبيقات App Service، يجب أن يتطابق عنوان URL المطلوب مع عنوان تطبيقك. بشكل افتراضي، بدون نقطة نهاية خاصة، يكون الاسم العام لتطبيق الويب الخاص بك اسما متعارفا عليه للمجموعة. على سبيل المثال، تحليل الاسم هو:

اسم	نوع	قيمة
mywebapp.azurewebsites.net	CNAME	clustername.azurewebsites.windows.net
clustername.azurewebsites.windows.net	CNAME	cloudservicename.cloudapp.net
cloudservicename.cloudapp.net	A	192.0.2.13

عند نشر نقطة نهاية خاصة، يقوم الأسلوب بتحديث إدخال نظام أسماء المجالات (DNS) للإشارة إلى الاسم المتعارف عليه: mywebapp.privatelink.azurewebsites.net. على سبيل المثال، تحليل الاسم هو:

اسم	نوع	قيمة	ملاحظة
mywebapp.azurewebsites.net	CNAME	mywebapp.privatelink.azurewebsites.net
mywebapp.privatelink.azurewebsites.net	CNAME	clustername.azurewebsites.windows.net
clustername.azurewebsites.windows.net	CNAME	cloudservicename.cloudapp.net
cloudservicename.cloudapp.net	A	192.0.2.13	<--عنوان IP العام هذا ليس نقطة النهاية الخاصة بك. تتلقى خطأ 403.

يجب إعداد خادم DNS خاص أو منطقة خاصة ل Azure DNS. بالنسبة للاختبارات، يمكنك تعديل إدخال المضيف لجهاز الاختبار الخاص بك. منطقة DNS التي تحتاج إلى إنشائها هي: privatelink.azurewebsites.net. سجل السجل لتطبيقك باستخدام A سجل وعنوان IP لنقطة النهاية الخاصة. باستخدام مجموعات منطقة DNS الخاصة Azure، تتم إضافة سجلات DNS تلقائيا إلى منطقة DNS الخاصة.

على سبيل المثال، تحليل الاسم هو:

اسم	نوع	قيمة	ملاحظة
mywebapp.azurewebsites.net	CNAME	mywebapp.privatelink.azurewebsites.net	<--يقوم Azure بإنشاء هذا CNAME الإدخال في Azure Public DNS لتوجيه عنوان التطبيق إلى عنوان نقطة النهاية الخاصة.
mywebapp.privatelink.azurewebsites.net	A	10.10.10.8	<--يمكنك إدارة هذا الإدخال في نظام DNS الخاص بك للإشارة إلى عنوان IP لنقطة النهاية الخاصة بك.

عند إعداد تكوين DNS هذا، يمكنك الوصول إلى تطبيقك بشكل خاص بالاسم mywebapp.azurewebsites.netالافتراضي . يجب استخدام هذا الاسم، لأنه يتم إصدار الشهادة الافتراضية ل *.azurewebsites.net.

اسم المجال المخصص

إذا كنت بحاجة إلى استخدام اسم مجال مخصص، أضف الاسم المخصص في تطبيقك. يجب التحقق من صحة الاسم المخصص مثل أي اسم مخصص، باستخدام دقة DNS العامة. لمزيد من المعلومات، راجع التحقق من صحة DNS المخصص.

في منطقة DNS المخصصة، تحتاج إلى تحديث سجل DNS للإشارة إلى نقطة النهاية الخاصة. إذا تم تكوين تطبيقك بالفعل بدقة DNS لاسم المضيف الافتراضي، فإن الطريقة المفضلة هي إضافة CNAME سجل للمجال المخصص يشير إلى mywebapp.azurewebsites.net. إذا كنت تريد فقط حل اسم المجال المخصص إلى نقطة النهاية الخاصة، يمكنك إضافة A سجل باستخدام IP نقطة النهاية الخاصة مباشرة.

نقطة نهاية Kudu/scm

بالنسبة لوحدة تحكم Kudu أو Kudu REST API (للتوزيع مع عوامل Azure DevOps Services المستضافة ذاتيا، على سبيل المثال) يجب عليك إنشاء سجل ثان يشير إلى IP نقطة النهاية الخاصة في منطقة Azure DNS الخاصة بك أو خادم DNS المخصص. الأول لتطبيقك والثاني ل SCM (إدارة التحكم بالمصادر) لتطبيقك. مع مجموعات Azure Private DNS Zone، تتم إضافة نقطة نهاية scm تلقائيا.

اسم	نوع	قيمة
mywebapp.privatelink.azurewebsites.net	A	PrivateEndpointIP
mywebapp.scm.privatelink.azurewebsites.net	A	PrivateEndpointIP

اعتبارات خاصة لبيئة خدمة التطبيقات الإصدار 3

لتمكين نقطة النهاية الخاصة للتطبيقات المستضافة في خطة IsolatedV2 (App Service Environment v3)، قم بتمكين دعم نقطة النهاية الخاصة على مستوى App Service Environment. يمكنك تنشيط الميزة باستخدام مدخل Microsoft Azure في جزء تكوين بيئة خدمة التطبيقات، أو من خلال CLI التالي:

az appservice ase update --name myasename --allow-new-private-endpoint-connections true

متطلبات محددة

إذا كانت الشبكة الظاهرية في اشتراك مختلف عن التطبيق، فتأكد من تسجيل الاشتراك مع الشبكة الظاهرية Microsoft.Web لموفر الموارد. لتسجيل الموفر بشكل صريح، راجع تسجيل موفر الموارد. يمكنك تسجيل الموفر تلقائيا عند إنشاء أول تطبيق ويب في اشتراك.

التسعير

للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.

القيود

• عند استخدام دالة Azure في خطة Elastic Premium مع نقطة نهاية خاصة، يجب أن يكون لديك وصول مباشر إلى الشبكة لتشغيل الوظيفة في مدخل Microsoft Azure. وإلا، تتلقى خطأ HTTP 403. يجب أن يكون المستعرض قادرا على الوصول إلى نقطة النهاية الخاصة لتشغيل الدالة من مدخل Microsoft Azure.
• يمكنك توصيل ما يصل إلى 100 نقطة نهاية خاصة بتطبيق معين.
• لا تتوفر وظيفة تصحيح الأخطاء عن بعد من خلال نقطة النهاية الخاصة. نوصي بنشر التعليمات البرمجية إلى فتحة وتصحيحها عن بعد هناك.
• يتم توفير الوصول إلى FTP من خلال عنوان IP العام الوارد. لا تدعم نقطة النهاية الخاصة وصول FTP إلى التطبيق.
• TLS المستندة إلى IP غير مدعومة بنقاط النهاية الخاصة.
• لا يمكن للتطبيقات التي تقوم بتكوينها باستخدام نقاط نهاية خاصة تلقي نسبة استخدام الشبكة العامة التي تأتي من الشبكات الفرعية مع Microsoft.Web تمكين نقطة نهاية الخدمة ولا يمكنها استخدام قواعد تقييد الوصول المستندة إلى نقطة نهاية الخدمة.
• يجب أن تتبع تسمية نقطة النهاية الخاصة القواعد المعرفة للموارد من Microsoft.Network/privateEndpoints النوع . لمزيد من المعلومات، راجع قواعد وقيود التسمية.

للحصول على معلومات up-to-date حول القيود، راجع هذه الوثائق.

المحتوى ذو الصلة

• التشغيل السريع: إنشاء نقطة نهاية خاصة باستخدام مدخل Microsoft Azure
• التشغيل السريع: إنشاء نقطة نهاية خاصة باستخدام Azure CLI
• التشغيل السريع: إنشاء نقطة نهاية خاصة باستخدام Azure PowerShell
• التشغيل السريع: إنشاء نقطة نهاية خاصة باستخدام قالب ARM
• التشغيل السريع: قالب لتوصيل تطبيق الواجهة الأمامية بتطبيق خلفي آمن مع تكامل الشبكة الظاهرية ونقطة نهاية خاصة
• البرنامج النصي: إنشاء تطبيقي ويب متصلين بشكل آمن بنقطة نهاية خاصة وتكامل شبكة ظاهرية (Terraform)