Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Privátní koncový bod můžete použít pro aplikace Azure App Service. Privátní koncový bod umožňuje klientům umístěným ve vaší privátní síti zabezpečený přístup k aplikaci přes Azure Private Link. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě Azure. Síťový provoz mezi klientem ve vaší privátní síti a aplikací prochází přes virtuální síť a Private Link v páteřní síti Microsoftu. Tato konfigurace eliminuje vystavení z veřejného internetu.
Když pro aplikaci používáte privátní koncový bod, můžete:
- Zabezpečte aplikaci při konfiguraci privátního koncového bodu a zakažte přístup k veřejné síti, což eliminuje veřejné vystavení.
- Bezpečně se připojte ke své aplikaci z místních sítí, které se propojují s virtuální sítí pomocí VPN nebo soukromého propojování ExpressRoute.
- Vyhněte se exfiltraci dat z vaší virtuální sítě.
Důležité
Privátní koncové body jsou dostupné pro aplikace pro Windows a Linux, kontejnerizované nebo ne, hostované v následujících plánech služby App Service: Basic, Standard, PremiumV2, PremiumV3, PremiumV4, IsolatedV2, Functions Premium (někdy označovaný jako plán Elastic Premium).
Koncepční přehled
Privátní koncový bod je síťové rozhraní pro vaši aplikaci App Service v podsíti ve vaší virtuální síti.
Když pro aplikaci vytvoříte privátní koncový bod, poskytuje zabezpečené připojení mezi klienty ve vaší privátní síti a vaší aplikací. Privátnímu koncovému bodu se přiřadí IP adresa z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a aplikací používá zabezpečenou službu Private Link. Privátní koncový bod se používá jenom pro příchozí provoz do vaší aplikace. Odchozí provoz nepoužívá privátní koncový bod. Odchozí provoz do sítě můžete vkládat do jiné podsítě prostřednictvím funkce integrace virtuální sítě.
Každý slot aplikace je nakonfigurovaný samostatně. Pro každý slot můžete použít až 100 privátních koncových bodů. Mezi sloty nemůžete sdílet privátní koncový bod. Název subresource slotu je sites-<slot-name>.
Podsíť, kterou používáte k připojení privátního koncového bodu, může obsahovat další prostředky. Nepotřebujete vyhrazenou prázdnou podsíť.
Privátní koncový bod můžete také nasadit v jiné oblasti, než je vaše aplikace.
Poznámka:
Funkce integrace virtuální sítě nemůže použít stejnou podsíť jako privátní koncový bod.
Bezpečnostní aspekty
Privátní koncové body a veřejný přístup můžou existovat společně v aplikaci. Další informace najdete v tomto přehledu omezení přístupu.
Pokud chcete zajistit izolaci, při povolení privátních koncových bodů pro vaši aplikaci nezapomeňte zakázat přístup k veřejné síti. V jiných virtuálních sítích a podsítích můžete povolit několik privátních koncových bodů, včetně virtuálních sítí v jiných oblastech.
Pravidla omezení přístupu vaší aplikace se nevyhodnocují pro provoz prostřednictvím privátního koncového bodu. Riziko exfiltrace dat z virtuální sítě můžete eliminovat. Odeberte všechna pravidla skupiny zabezpečení sítě (NSG), kde je cíl označen jako internet nebo služby Azure.
Zdrojovou IP adresu klienta najdete ve webových protokolech HTTP vaší aplikace. Tato funkce se implementuje pomocí proxy protokolu TCP (Transmission Control Protocol), který předává vlastnost IP klienta do aplikace. Další informace naleznete v tématu Získání informací o připojení pomocí proxy protokolu TCP v2.
DNS
Pokud pro aplikace app Service používáte privátní koncový bod, musí požadovaná adresa URL odpovídat adrese vaší aplikace. Ve výchozím nastavení je veřejný název vaší webové aplikace bez privátního koncového bodu kanonický název clusteru. Například rozlišení názvů je následující:
| Název | Typ | Hodnota |
|---|---|---|
mywebapp.azurewebsites.net |
CNAME |
clustername.azurewebsites.windows.net |
clustername.azurewebsites.windows.net |
CNAME |
cloudservicename.cloudapp.net |
cloudservicename.cloudapp.net |
A |
192.0.2.13 |
Když nasadíte privátní koncový bod, přístup aktualizuje položku DNS (systém doménových jmen) tak, aby odkazoval na kanonický název: mywebapp.privatelink.azurewebsites.net.
Například rozlišení názvů je následující:
| Název | Typ | Hodnota | Poznámka |
|---|---|---|---|
mywebapp.azurewebsites.net |
CNAME |
mywebapp.privatelink.azurewebsites.net |
|
mywebapp.privatelink.azurewebsites.net |
CNAME |
clustername.azurewebsites.windows.net |
|
clustername.azurewebsites.windows.net |
CNAME |
cloudservicename.cloudapp.net |
|
cloudservicename.cloudapp.net |
A |
192.0.2.13 |
<– Tato veřejná IP adresa není vaším privátním koncovým bodem. Zobrazí se chyba 403. |
Musíte nastavit privátní server DNS nebo privátní zónu Azure DNS. U testů můžete upravit položku hostitele testovacího počítače. Zóna DNS, kterou potřebujete vytvořit, je: privatelink.azurewebsites.net. Zaregistrujte záznam aplikace pomocí A záznamu a IP adresy privátního koncového bodu. Se skupinami zón Azure Private DNS se záznamy DNS automaticky přidají do zóny privátního DNS.
Například rozlišení názvů je následující:
| Název | Typ | Hodnota | Poznámka |
|---|---|---|---|
mywebapp.azurewebsites.net |
CNAME |
mywebapp.privatelink.azurewebsites.net |
<--Azure vytvoří tuto CNAME položku ve službě Azure Public DNS pro nasměrování adresy aplikace na adresu privátního koncového bodu. |
mywebapp.privatelink.azurewebsites.net |
A |
10.10.10.8 |
<--Tento záznam v systému DNS spravujete tak, aby odkazoval na IP adresu privátního koncového bodu. |
Když nastavíte tuto konfiguraci DNS, můžete se k aplikaci dostat soukromě s výchozím názvem mywebapp.azurewebsites.net. Tento název je nutné použít, protože výchozí certifikát je vydán pro *.azurewebsites.net.
Vlastní název domény
Pokud potřebujete použít vlastní název domény, přidejte do aplikace vlastní název. Musíte ověřit vlastní název stejně jako jiný vlastní název pomocí veřejného řešení DNS. Další informace najdete v tématu vlastní ověření DNS.
Ve vlastní zóně DNS je potřeba aktualizovat záznam DNS tak, aby odkazoval na soukromý koncový bod. Pokud je vaše aplikace už nakonfigurovaná s DNS řešením pro výchozí název hostitele, nejlepší způsob je přidat CNAME záznam pro vlastní doménu ukazující na mywebapp.azurewebsites.net. Pokud chcete, aby se vlastní název domény překládal pouze na soukromý koncový bod, můžete přímo přidat A záznam s IP adresou soukromého koncového bodu.
Koncový bod Kudu/scm
Pro konzolu Kudu nebo rozhraní Kudu REST API (pro nasazení s agenty v místním prostředí Azure DevOps Services, například) musíte vytvořit druhý záznam odkazující na IP adresu privátního koncového bodu ve vaší privátní zóně Azure DNS nebo na vlastní server DNS. První je pro vaši aplikaci a druhá je pro SCM (správa správy zdrojového kódu) vaší aplikace. U skupin zón Privátního DNS Azure se koncový bod scm přidá automaticky.
| Název | Typ | Hodnota |
|---|---|---|
mywebapp.privatelink.azurewebsites.net |
A |
PrivateEndpointIP |
mywebapp.scm.privatelink.azurewebsites.net |
A |
PrivateEndpointIP |
Zvláštní aspekty služby App Service Environment v3
Pokud chcete povolit privátní koncový bod pro aplikace hostované v plánu IsolatedV2 (App Service Environment v3), povolte podporu privátního koncového bodu na úrovni služby App Service Environment. Tuto funkci můžete aktivovat pomocí webu Azure Portal v podokně konfigurace služby App Service Environment nebo pomocí následujícího rozhraní příkazového řádku:
az appservice ase update --name myasename --allow-new-private-endpoint-connections true
Specifické požadavky
Pokud je virtuální síť v jiném předplatném než aplikace, ujistěte se, že je předplatné s virtuální sítí zaregistrované pro Microsoft.Web poskytovatele prostředků. Pokud chcete poskytovatele explicitně zaregistrovat, přečtěte si téma Registrace poskytovatele prostředků. Poskytovatele automaticky zaregistrujete při vytváření první webové aplikace v předplatném.
Ceny
Podrobnosti o cenách najdete v tématu s cenami služby Azure Private Link.
Omezení
- Pokud používáte funkci Azure v plánu Elastic Premium s privátním koncovým bodem, musíte mít přímý síťový přístup ke spuštění funkce na webu Azure Portal. V opačném případě se zobrazí chyba HTTP 403. Aby se funkce spustila z webu Azure Portal, musí být váš prohlížeč schopný kontaktovat privátní koncový bod.
- Ke konkrétní aplikaci můžete připojit až 100 privátních koncových bodů.
- Funkce vzdáleného ladění není dostupná prostřednictvím privátního koncového bodu. Doporučujeme nasadit kód do slotu a vzdáleně ho ladit.
- Přístup ftp se poskytuje prostřednictvím příchozí veřejné IP adresy. Privátní koncový bod nepodporuje přístup FTP k aplikaci.
- Protokol TLS založený na PROTOKOLU IP není u privátních koncových bodů podporovaný.
- Aplikace, které konfigurujete s privátními koncovými body, nemůžou přijímat veřejný provoz pocházející z podsítí s povoleným koncovým bodem služby a nemůžou
Microsoft.Webpoužívat pravidla omezení přístupu na základě koncových bodů služby. - Pojmenování privátního koncového bodu musí dodržovat pravidla definovaná pro prostředky typu
Microsoft.Network/privateEndpoints. Další informace najdete v tématu Pravidla a omezení pojmenování.
Informace o omezeních k datu up-tonaleznete v této dokumentaci.
Související obsah
- Rychlý start: Vytvoření privátního koncového bodu pomocí webu Azure Portal
- Rychlý start: Vytvoření privátního koncového bodu pomocí Azure CLI
- Rychlý start: Vytvoření privátního koncového bodu pomocí Azure PowerShellu
- Rychlý start: Vytvoření privátního koncového bodu pomocí šablony ARM
- Rychlý start: Šablona pro připojení front-endové aplikace k zabezpečené back-endové aplikaci s integrací virtuální sítě a privátním koncovým bodem
- Skript: Bezpečné vytvoření dvou webových aplikací připojených pomocí privátního koncového bodu a integrace virtuální sítě (Terraform)