Sdílet prostřednictvím

Použití privátních koncových bodů pro Azure App Configuration

Pomocí privátních koncových bodů pro Azure App Configuration můžete klientům ve virtuální síti povolit přístup k datům přes privátní propojení. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro váš App Configuration Store. Síťový provoz mezi klienty ve virtuální síti a úložištěm Konfigurace aplikací prochází virtuální sítí pomocí privátního propojení v páteřní síti Microsoftu. Toto uspořádání eliminuje vystavení veřejnému internetu.

Pokud používáte privátní koncové body pro úložiště App Configuration Store, můžete:

  • Pomozte zabezpečit podrobnosti konfigurace aplikace tím, že nakonfigurujete firewall na blokování všech připojení ke službě App Configuration na veřejném koncovém bodu.
  • Zvyšte zabezpečení virtuální sítě, což pomáhá zajistit, aby data neunikla z virtuální sítě.
  • Vylepšete zabezpečení připojení mezi app Configuration Storem a místními sítěmi, které používají Azure VPN Gateway nebo Azure ExpressRoute s privátním partnerským vztahem pro připojení k virtuální síti.

Dostupnost privátních koncových bodů závisí na úrovni Konfigurace aplikace:

Tier Maximální počet privátních koncových bodů
Free 0
Developer 1
Standard 10
Premium 40

Další informace o cenách najdete v tématu Ceny služby Azure App Configuration.

Koncepční přehled

Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve službě Azure Virtual Network. Když vytvoříte privátní koncový bod pro úložiště App Configuration Store, pomůže vám zajistit zabezpečené připojení mezi klienty ve vaší virtuální síti a úložištěm konfigurace. Privátní koncový bod má přiřazenou IP adresu z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a úložištěm konfigurace používá privátní propojení k optimalizaci zabezpečení.

Aplikace ve virtuální síti se můžou připojit k úložišti konfigurace přes privátní koncový bod pomocí stejných připojovacích řetězců a autorizačních mechanismů, které jinak používají. Privátní koncové body můžete používat se všemi protokoly podporovanými v App Configuration Storu.

App Configuration nepodporuje koncové body služby, ale v podsítích, které používají koncové body služby, můžete vytvářet privátní koncové body. Klienti v podsíti se můžou pomocí privátního koncového bodu připojit ke službě App Configuration Store při přístupu k jiným službám pomocí koncových bodů služby.

Když vytvoříte privátní koncový bod pro službu ve vaší virtuální síti, odešle se žádost o souhlas ke schválení vlastníkovi účtu služby. Pokud je uživatel, který žádá o vytvoření privátního koncového bodu, také vlastníkem účtu, bude tato žádost o souhlas automaticky schválena.

Vlastníci účtů služeb můžou spravovat žádosti o souhlas a privátní koncové body na webu Azure Portal. Nastavení privátního koncového bodu najdete tak, že přejdete do obchodu App Configuration, vyberete Nastavení>sítě a pak přejdete na kartu Privátní přístup .

Privátní koncové body pro konfiguraci aplikací

Při vytváření privátního koncového bodu musíte zadat úložiště konfigurace aplikací, ke kterému se připojuje. Pokud povolíte geografickou replikaci pro úložiště App Configuration, můžete se připojit ke všem replikám úložiště pomocí stejného privátního koncového bodu. Pokud máte více úložišť App Configuration, potřebujete pro každé úložiště samostatný privátní koncový bod.

Úvahy o geograficky replikovaných úložištích App Configuration

Pokud je pro úložiště App Configuration povolená geografická replikace, můžete se připojit ke všem replikám pomocí jednoho privátního koncového bodu. Přesto jsou privátní koncové body zdrojem regionálním. V důsledku toho tento přístup nemusí zajistit připojení během regionálního výpadku.

Pokud chcete zvýšit odolnost, zvažte vytvoření privátního koncového bodu pro každou repliku geograficky replikovaného úložiště kromě privátního koncového bodu pro úložiště původu. Pokud se jedna oblast stane nedostupnou, můžou klienti přistupovat k úložišti prostřednictvím privátního koncového bodu zřízeného ve stejné oblasti jako replika. Když použijete toto nastavení, musíte provést změny DNS (Domain Name System). Konkrétně by měl být koncový bod pro každou repliku přiřazen k příslušné IP adrese privátního koncového bodu v oblasti této repliky.

Připojení privátního koncového bodu

Azure spoléhá na překlad DNS pro směrování připojení z virtuální sítě do úložiště konfigurace přes privátní propojení. Připojovací řetězce najdete v portálu Azure tak, že vyberete úložiště App Configuration a poté zvolíte Nastavení>Nastavení přístupu.

Důležité

Když se ke službě App Configuration Store připojíte pomocí privátního koncového bodu, použijte stejný připojovací řetězec, který používáte pro veřejný koncový bod. Nepřipojujte se k úložišti pomocí URL adresy jeho subdomény privatelink.

Poznámka:

Ve výchozím nastavení, když do úložiště Konfigurace aplikace přidáte soukromý koncový bod, všechny požadavky na data z veřejné sítě budou zamítnuty. Přístup k veřejné síti můžete povolit pomocí následujícího příkazu Azure CLI. V tomto scénáři je důležité zvážit bezpečnostní důsledky povolení přístupu k veřejné síti.

az appconfig update --resource-group <resource-group-name> --name <App-Configuration-store-name> --enable-public-network true

Změny DNS pro privátní koncové body

Při vytváření privátního koncového bodu se záznam prostředku DNS CNAME pro úložiště konfigurace aktualizuje na alias v subdoméně s předponou privatelink. Azure také vytvoří privátní zónuprivatelink DNS odpovídající subdoméně. Privátní zóna DNS obsahuje DNS záznam typu A pro privátní koncový bod. Když povolíte geografickou replikaci, Azure pro každou repliku vytvoří samostatný záznam DNS. Každý záznam má v privátní zóně DNS jedinečnou IP adresu.

Když přeložíte adresu URL koncového bodu z virtuální sítě, která je hostitelem privátního koncového bodu, adresa URL koncového bodu se přeloží na privátní koncový bod úložiště. Když překládáte adresu URL koncového bodu mimo virtuální síť, bude adresa URL koncového bodu přeložena na veřejný koncový bod. Když vytvoříte privátní koncový bod, veřejný koncový bod se zakáže.

Pokud ve vaší síti používáte vlastní server DNS, musíte ho nakonfigurovat tak, aby delegovali subdoménu privatelink do privátní zóny DNS pro virtuální síť. Alternativně můžete nakonfigurovat A záznamy pro URL adresy privátního odkazu vašeho obchodu. Tyto záznamy A používají následující formáty:

  • <App-Configuration-store-name>.privatelink.azconfig.io pro vaše původní úložiště.
  • <App-Configuration-store-name>-<replica-name>.privatelink.azconfig.io pro každou repliku, pokud je povolená geografická replikace. Každý privátní koncový bod má jedinečnou privátní IP adresu.

Cenotvorba

Povolení privátních koncových bodů vyžaduje úložiště App Configuration s úrovní Developer, Standard nebo Premium. Další informace o cenách služby Private Link najdete v tématu Ceny služby Azure Private Link.

Řešení chyb registrace poskytovatele prostředků

Pokud připojíte privátní koncový bod k úložišti app Configuration v předplatném, kde není zaregistrovaný poskytovatel prostředků služby App Configuration, zobrazí se následující zpráva:

Předplatné privátního koncového bodu 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e' není zaregistrované pro použití poskytovatele služby Microsoft.AppConfiguration.

Tato zpráva se obvykle zobrazí, když se privátní koncový bod a Úložiště konfigurace aplikací nacházejí v různých předplatných. Pokud chcete situaci vyřešit, proveďte následující kroky:

  1. Microsoft.AppConfiguration Zaregistrujte poskytovatele prostředků v předplatném privátního koncového bodu.
  2. Znovu připojte privátní koncový bod ke službě App Configuration Store.

Další informace o registraci předplatného u poskytovatele prostředků najdete v tématu Registrace poskytovatele prostředků.

Další kroky

Pokud chcete zjistit, jak vytvořit privátní koncový bod pro obchod App Configuration Store, přečtěte si následující články:

Pokud chcete zjistit, jak nakonfigurovat server DNS s privátními koncovými body, přečtěte si následující články:

  • Last updated on