Verwenden privater Endpunkte für Azure App Configuration

Sie können private Endpunkte für Azure App Configuration verwenden, um Clients in einem virtuellen Netzwerk (VNET) den sicheren Zugriff auf Daten über Private Link zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem VNET-Adressraum für Ihren App Configuration-Speicher. Der Netzwerkdatenverkehr zwischen den Clients im VNET und dem App Configuration-Speicher wird über das VNET über eine privaten Verbindung im Microsoft-Backbone-Netzwerk geleitet, sodass keine Offenlegung im öffentlichen Internet erfolgt.

Die Verwendung privater Endpunkte für Ihren App Configuration-Speicher ermöglicht Ihnen Folgendes:

• Sichern Sie die Konfigurationsdetails Ihrer Anwendung, indem Sie die Firewall so konfigurieren, dass alle Verbindungen mit App Configuration am öffentlichen Endpunkt blockiert werden.
• Erhöhen Sie die Sicherheit für das virtuelle Netzwerk (VNET), um sicherzustellen, dass Daten nicht aus dem VNET entfernt werden.
• Stellen Sie sichere Verbindungen mit dem App Configuration-Speicher aus lokalen Netzwerken her, die sich mit dem VNET über VPN oder ExpressRoutes mit privatem Peering verbinden.

Konzeptionelle Übersicht

Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für einen Azure-Dienst in Ihrem virtuellen Netzwerk (VNET). Wenn Sie einen privaten Endpunkt für Ihren App Configuration-Speicher erstellen, wird eine sichere Verbindung zwischen Clients in Ihrem VNet und Ihrem Konfigurationsspeicher bereitgestellt. Dem privaten Endpunkt wird eine IP-Adresse aus dem IP-Adressbereich Ihres VNET zugewiesen. Für die Verbindung zwischen dem privaten Endpunkt und dem Konfigurationsspeicher wird eine sichere private Verbindung verwendet.

Anwendungen im VNET können über den privaten Endpunkt eine Verbindung mit dem Konfigurationsspeicher herstellen, und zwar mit denselben Verbindungszeichenfolgen und Autorisierungsmechanismen, die auch sonst verwendet würden. Private Endpunkte können mit allen vom App Configuration-Speicher unterstützten Protokollen verwendet werden.

App Configuration unterstützt keine Dienstendpunkte. Private Endpunkte können in Subnetzen erstellt werden, die Dienstendpunkte verwenden. Clients in einem Subnetz können über einen privaten Endpunkt eine sichere Verbindung mit einem App Configuration-Speicher herstellen, während Dienstendpunkte für den Zugriff auf andere verwendet werden.

Wenn Sie einen privaten Endpunkt für einen Dienst in Ihrem VNET erstellen, wird an den Dienstkontobesitzer eine Einwilligungsanforderung zur Genehmigung gesendet. Wenn der Benutzer, der die Erstellung des privaten Endpunkts anfordert, auch ein Besitzer des Kontos ist, wird diese Einwilligungsanforderung automatisch genehmigt.

Dienstkontobesitzer können Einwilligungsanforderungen und private Endpunkte über die Registerkarte Private Endpoints des App Configuration-Speichers im Azure-Portal verwalten.

Private Endpunkte für App Configuration

Beim Erstellen eines privaten Endpunkts müssen Sie den App Configuration-Speicher angeben, mit dem er verbunden ist. Wenn Sie die Georeplikation für einen App Configuration Speicher aktivieren, können Sie eine Verbindung zu allen Replikaten des Speichers über denselben privaten Endpunkt herstellen. Wenn Sie über mehrere App Configuration-Speicher verfügen, benötigen Sie einen separaten privaten Endpunkt für jeden Speicher.

Herstellen einer Verbindung mit privaten Endpunkten

Azure basiert auf der DNS-Auflösung zum Weiterleiten von Verbindungen vom VNET zum Konfigurationsspeicher über einen privaten Link. Sie können Verbindungszeichenfolgen im Azure-Portal schnell finden, indem Sie Ihren App Configuration-Speicher und anschließend Einstellungen>Zugriffsschlüssel auswählen.

Wichtig

Verwenden Sie die Verbindungszeichenfolge, die Sie für einen öffentlichen Endpunkt verwenden würden, um eine Verbindung mit Ihrem App Configuration-Speicher über private Endpunkte herzustellen. Stellen Sie die Verbindung mit dem Speicher nicht mithilfe der privatelink-URL der Unterdomäne her.

Hinweis

Wenn ein privater Endpunkt zu Ihrem App Configuration-Speicher hinzugefügt wird, werden standardmäßig alle Anforderungen für Ihre App Configuration-Daten über das öffentliche Netzwerk abgelehnt. Sie können den Zugriff über öffentliche Netzwerke unter Verwendung des folgenden Azure CLI-Befehls aktivieren. In diesem Szenario ist es wichtig, die Sicherheitsauswirkungen zu berücksichtigen, die sich durch die Aktivierung des Zugriffs auf das öffentliche Netzwerk ergeben.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

DNS-Änderungen für private Endpunkte

Wenn Sie einen privaten Endpunkt erstellen, wird der DNS-CNAME-Ressourceneintrag für den Konfigurationsspeicher auf einen Alias in einer Unterdomäne mit dem Präfix privatelink aktualisiert. Azure erstellt außerdem eine private DNS-Zone, die der Unterdomäne privatelink entspricht, mit den DNS-A-Ressourceneinträgen für die privaten Endpunkte. Durch die Aktivierung der Georeplikation werden für jedes Replikat separate DNS-Einträge mit eindeutigen IP-Adressen in der privaten DNS-Zone erstellt.

Wenn Sie die Endpunkt-URL innerhalb des virtuellen Netzwerks auflösen, das den privaten Endpunkt hostet, wird sie in den privaten Endpunkt des Speichers aufgelöst. Wenn Sie sie außerhalb des virtuellen Netzwerks auflösen, wird die Endpunkt-URL in den öffentlichen Endpunkt aufgelöst. Wenn Sie einen privaten Endpunkt erstellen, wird der öffentliche Endpunkt deaktiviert.

Wenn Sie einen benutzerdefinierten DNS-Server in Ihrem Netzwerk verwenden, müssen Sie ihn konfigurieren, Ihre privatelink-Subdomäne an die private DNS-Zone für das VNet zu delegieren. Alternativ können Sie die A-Einträge für die privaten Link-URLs Ihres Shops, die entweder [Your-store-name].privatelink.azconfig.io oder [Your-store-name]-[replica-name].privatelink.azconfig.io sind, wenn die Georeplikation aktiviert ist, konfigurieren, die mit eindeutigen privaten IP-Adressen des privaten Endpunkts versehen sind.

Preise

Zum Aktivieren privater Endpunkte ist ein App Configuration-Speicher des Standard-Tarifs erforderlich. Informationen zu Preisen für Private Link finden Sie unter Azure Private Link – Preise.

Nächste Schritte

Weitere Informationen zum Erstellen eines privaten Endpunkts für Ihren App Configuration-Speicher finden Sie in den folgenden Artikeln:

• Erstellen eines privaten Endpunkts über das Private Link Center im Azure-Portal
• Erstellen eines privaten Endpunkts mit Azure CLI
• Erstellen eines privaten Endpunkts mit Azure PowerShell

Erfahren Sie, wie Sie Ihren DNS-Server mit privaten Endpunkten konfigurieren:

• Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken
• DNS-Konfiguration für private Endpunkte