Používání privátních koncových bodů pro webovou aplikaci Azure

Důležité

Privátní koncový bod je k dispozici pro webovou aplikaci Pro Windows a Linux, kontejnerizovaná nebo ne, hostovaná v těchto plánech App Service: Basic, Standard, PremiumV2, PremiumV3, IsolatedV2, Functions Premium (někdy označovaný jako plán Elastic Premium).

Privátní koncový bod pro webovou aplikaci Azure můžete použít k tomu, aby klienti ve vaší privátní síti mohli bezpečně přistupovat k aplikaci přes Private Link. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě Azure. Síťový provoz mezi klientem ve vaší privátní síti a webovou aplikací prochází přes virtuální síť a Private Link v páteřní síti Microsoftu, čímž se eliminuje ohrožení veřejného internetu.

Použití privátního koncového bodu pro webovou aplikaci umožňuje:

  • Zabezpečte webovou aplikaci konfigurací privátního koncového bodu a eliminujte tak veřejné vystavení.
  • Bezpečně se připojte k webové aplikaci z místních sítí, které se připojují k virtuální síti pomocí privátního partnerského vztahu VPN nebo ExpressRoute.
  • Vyhněte se exfiltraci dat z vaší virtuální sítě.

Pokud potřebujete jenom zabezpečené připojení mezi vaší virtuální sítí a webovou aplikací, představuje koncový bod služby nejjednodušší řešení. Pokud se také potřebujete připojit k webové aplikaci z místního prostředí prostřednictvím služby Azure Gateway, regionální partnerské virtuální sítě nebo globálně partnerské virtuální sítě, privátní koncový bod je řešení.

Další informace najdete v tématu Koncové body služby.

Základní přehled

Privátní koncový bod je speciální síťové rozhraní (NIC) pro vaši webovou aplikaci Azure v podsíti ve vaší virtuální síti. Při vytváření privátního koncového bodu pro webovou aplikaci zajišťuje zabezpečené připojení mezi klienty ve vaší privátní síti a vaší webovou aplikací. Privátní koncový bod má přiřazenou IP adresu z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a webovou aplikací používá zabezpečený Private Link. Privátní koncový bod se používá jenom pro příchozí toky do vaší webové aplikace. Odchozí toky nebudou používat tento privátní koncový bod. Odchozí toky můžete do sítě vkládat do jiné podsítě prostřednictvím funkce integrace virtuální sítě.

Každý slot aplikace je nakonfigurovaný samostatně. Pro každý slot můžete připojit až 100 privátních koncových bodů. Privátní koncový bod nemůžete sdílet mezi sloty.

Podsíť, do které připojíte privátní koncový bod, může mít další prostředky, a proto nepotřebujete vyhrazenou prázdnou podsíť. Privátní koncový bod můžete nasadit také v jiné oblasti než webová aplikace.

Poznámka

Funkce integrace virtuální sítě nemůže použít stejnou podsíť jako privátní koncový bod. Jedná se o omezení funkce integrace virtuální sítě.

Z hlediska zabezpečení:

  • Když ve webové aplikaci povolíte privátní koncové body, zakážete ve výchozím nastavení veškerý veřejný přístup.
  • V jiných virtuálních sítích a podsítích můžete povolit více privátních koncových bodů, včetně virtuální sítě v jiných oblastech.
  • Konfigurace omezení přístupu webové aplikace se nevyhodnocuje pro provoz prostřednictvím privátního koncového bodu.
  • Riziko exfiltrace dat z virtuální sítě můžete eliminovat odebráním všech pravidel skupiny zabezpečení sítě, kde cíl označuje internet nebo služby Azure. Když nasadíte privátní koncový bod pro webovou aplikaci, můžete se k této konkrétní webové aplikaci dostat pouze prostřednictvím privátního koncového bodu. Pokud máte jinou webovou aplikaci, musíte pro tuto jinou webovou aplikaci nasadit jiný vyhrazený privátní koncový bod.

V protokolech HTTP webové aplikace najdete zdrojovou IP adresu klienta. Tato funkce se implementuje pomocí protokolu TCP Proxy, který předává vlastnost IP klienta do webové aplikace. Další informace naleznete v tématu Získání informací o připojení pomocí proxy protokolu TCP v2.

Globální přehled privátního koncového bodu webové aplikace

DNS

Při použití privátního koncového bodu pro webovou aplikaci musí požadovaná adresa URL odpovídat názvu vaší webové aplikace. Ve výchozím nastavení mywebappname.azurewebsites.net.

Ve výchozím nastavení je veřejný název vaší webové aplikace bez privátního koncového bodu kanonickým názvem clusteru. Například překlad názvů bude následující:

Název Typ Hodnota
mywebapp.azurewebsites.net CNAME clustername.azurewebsites.windows.net
clustername.azurewebsites.windows.net CNAME cloudservicename.cloudapp.net
cloudservicename.cloudapp.net A 40.122.110.154

Když nasadíte privátní koncový bod, aktualizujeme položku DNS tak, aby odkazovat na kanonický název mywebapp.privatelink.azurewebsites.net. Například překlad názvů bude následující:

Název Typ Hodnota Poznámka
mywebapp.azurewebsites.net CNAME mywebapp.privatelink.azurewebsites.net
mywebapp.privatelink.azurewebsites.net CNAME clustername.azurewebsites.windows.net
clustername.azurewebsites.windows.net CNAME cloudservicename.cloudapp.net
cloudservicename.cloudapp.net A 40.122.110.154 <- Tato veřejná IP adresa není vaším privátním koncovým bodem, zobrazí se chyba 403.

Pro testy můžete upravit položku hostitele testovacího počítače, musíte nastavit privátní server DNS nebo privátní zónu Azure DNS. Zóna DNS, kterou potřebujete vytvořit, je: privatelink.azurewebsites.net. Zaregistrujte záznam pro webovou aplikaci pomocí záznamu A a IP adresy privátního koncového bodu. Například překlad názvů bude následující:

Název Typ Hodnota Poznámka
mywebapp.azurewebsites.net CNAME mywebapp.privatelink.azurewebsites.net <--Azure vytvoří tuto položku ve službě Azure Public DNS, která bude odkazovat službu App Service na privátní propojení a tato položka je spravovaná námi.
mywebapp.privatelink.azurewebsites.net A 10.10.10.8 <--Tuto položku spravujete v systému DNS tak, aby odkazovat na IP adresu privátního koncového bodu.

Po této konfiguraci DNS se můžete k webové aplikaci připojit soukromě s výchozím názvem mywebappname.azurewebsites.net. Tento název je nutné použít, protože výchozí certifikát je vydaný pro *.azurewebsites.net.

Pokud potřebujete použít vlastní název DNS, musíte do webové aplikace přidat vlastní název. Vlastní název musí být ověřený jako jakýkoli vlastní název pomocí veřejného překladu DNS. Další informace najdete v tématu vlastní ověření DNS.

Pro konzolu Kudu nebo rozhraní Kudu REST API (nasazení s agenty v místním prostředí Azure DevOps), musíte například vytvořit dva záznamy odkazující na IP adresu privátního koncového bodu ve vaší privátní zóně Azure DNS nebo na vlastní server DNS. První je pro vaši webovou aplikaci, druhá je pro SCM vaší webové aplikace.

Název Typ Hodnota
mywebapp.privatelink.azurewebsites.net A PrivateEndpointIP
mywebapp.scm.privatelink.azurewebsites.net A PrivateEndpointIP

zvláštní aspekty App Service Environment verze 3

Pokud chcete povolit privátní koncový bod pro aplikace hostované v plánu IsolatedV2 (App Service Environment v3), musíte povolit podporu privátního koncového bodu na úrovni App Service Environment. Funkci můžete aktivovat Azure Portal v podokně konfigurace App Service Environment nebo pomocí následujícího rozhraní příkazového řádku:

az appservice ase update --name myasename --allow-new-private-endpoint-connections true

Specifické požadavky

Pokud je virtuální síť v jiném předplatném než aplikace, musíte se ujistit, že je předplatné s virtuální sítí zaregistrované pro poskytovatele prostředků Microsoft.Web. Poskytovatele můžete explicitně zaregistrovat podle této dokumentace, ale při vytváření první webové aplikace v předplatném se automaticky zaregistruje.

Ceny

Podrobnosti o cenách najdete v tématu Azure Private Link cen.

Omezení

  • Pokud používáte funkci Azure Functions v plánu Elastic Premium s privátním koncovým bodem, ke spuštění nebo spuštění funkce na webovém portálu Azure, musíte mít přímý síťový přístup nebo se zobrazí chyba HTTP 403. Jinými slovy, váš prohlížeč musí mít přístup k privátnímu koncovému bodu, aby funkci spustil z webového portálu Azure.
  • K konkrétní webové aplikaci můžete připojit až 100 privátních koncových bodů.
  • Funkce vzdáleného ladění není dostupná, pokud je pro webovou aplikaci povolen privátní koncový bod. Doporučujeme nasadit kód do slotu a vzdáleně ho ladit tam.
  • Přístup FTP se poskytuje prostřednictvím příchozí veřejné IP adresy. Privátní koncový bod nepodporuje přístup FTP k webové aplikaci.
  • u privátních koncových bodů se nepodporuje protokol SSL IP-Based.

Pravidelně vylepšujeme funkci Private Link a privátní koncový bod. V tomto článku najdete aktuální informace o omezeních.

Další kroky