Einrichten des privaten Zugriffs in Azure App Configuration

In diesem Artikel erfahren Sie, wie Sie privaten Zugriff für Ihren Azure App Configuration-Speicher einrichten, indem Sie einen privaten Endpunkt mit Azure Private Link erstellen. Private Endpunkte ermöglichen den Zugriff auf Ihren App Configuration-Store mithilfe einer privaten IP-Adresse aus einem virtuellen Netzwerk.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
• Wir gehen davon aus, dass Sie bereits über einen App Configuration-Speicher verfügen. Wenn Sie einen erstellen möchten, erstellen Sie einen App Configuration-Speicher.

Anmelden bei Azure

Sie müssen sich zuerst bei Azure anmelden, um auf den App Configuration-Dienst zuzugreifen.

Portal

Melden Sie sich unter https://portal.azure.com/ mit Ihrem Azure-Konto beim Azure-Portal an.

Azure-Befehlszeilenschnittstelle

Melden Sie sich bei Azure mit dem Befehl az login in der Azure CLI an.

az login

Mit diesem Befehl wird Ihr Webbrowser aufgefordert, eine Azure-Anmeldeseite zu starten und zu laden. Wenn der Browser nicht öffnen kann, verwenden Sie den Gerätecodefluss mit az login --use-device-code. Um weitere Anmeldeoptionen anzuzeigen, wechseln Sie zur Anmeldung mit der Azure CLI.

Erstellen eines privaten Endpunkts

Portal

1. Wählen Sie in Ihrem App Configuration-Speicher unter Einstellungen die Option Netzwerk aus.

2. Wählen Sie die Registerkarte Privater Zugriff und dann Erstellen aus, um einen neuen privaten Endpunkt einzurichten.

   

3. Füllen Sie das Formular mit den folgenden Informationen aus:

   Parameter	BESCHREIBUNG	Beispiel
   Subscription	Wählen Sie ein Azure-Abonnement aus. Ihr privater Endpunkt muss im selben Abonnement wie Ihr virtuelles Netzwerk bereitgestellt werden. Sie wählen ein virtuelles Netzwerk später in dieser Anleitung aus.	MyAzureSubscription
   Resource group	Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.	MyResourceGroup
   Name	Geben Sie einen Namen für den neuen privaten Endpunkt für Ihren App Configuration-Speicher ein. Bei Verwendung des Azure-Portals entspricht der Name der privaten Endpunktverbindung dem Namen des privaten Endpunkts. App-Konfigurationsspeicher müssen eindeutige private Endpunktverbindungsnamen aufweisen.	MyPrivateEndpoint
   Name der Netzwerkschnittstelle	Dieses Feld wird automatisch ausgefüllt. Bearbeiten Sie optional den Namen der Netzwerkschnittstelle.	MyPrivateEndpoint-nic
   Region	Wählen Sie eine Region aus. Der private Endpunkt muss in derselben Region wie Ihr virtuelles Netzwerk bereitgestellt werden.	USA, Mitte

   

4. Wählen Sie Weiter: Ressource >> aus. Private Link bietet Optionen zum Erstellen privater Endpunkte für verschiedene Arten von Azure-Ressourcen, z. B. SQL-Server, Azure-Speicherkonten oder App Configuration-Speicher. Der aktuelle App Configuration-Speicher wird automatisch im Feld Ressource eingefügt, da dies die Ressource ist, mit der der private Endpunkt verbunden ist.

   1. Der Ressourcentyp Microsoft.AppConfiguration/configurationStores und die Zielunterressourcen configurationStores geben an, dass Sie einen Endpunkt für einen App Configuration-Speicher erstellen.

   2. Der Name des Konfigurationsspeichers wird unter Ressource aufgeführt.

   

5. Wählen Sie Weiter: Virtuelles Netzwerk> aus.

   1. Wählen Sie ein vorhandenes virtuelles Netzwerk aus, um den privaten Endpunkt bereitzustellen. Wenn Sie kein virtuelles Netzwerk besitzen, erstellen Sie ein virtuelles Netzwerk.

   2. Wählen Sie ein Subnetz aus der Liste aus.

   3. Lassen Sie das Kontrollkästchen für Netzwerkrichtlinien für alle privaten Endpunkte in diesem Subnetz markiert.

   4. Wählen Sie unter Private IP-Konfiguration die Option aus, IP-Adressen dynamisch zuzuweisen. Weitere Informationen finden Sie unter Private IP-Adressen.

   5. Optional können Sie eine Anwendungssicherheitsgruppe auswählen oder erstellen. Mit Azure-Anwendungssicherheitsgruppen können Sie VMs gruppieren und basierend auf diesen Gruppen Netzwerksicherheitsrichtlinien definieren.

   

6. Wählen Sie Weiter: DNS> aus, um einen DNS-Eintrag zu konfigurieren. Wenn Sie keine Änderungen an den Standardeinstellungen vornehmen möchten, können Sie zur nächsten Registerkarte wechseln.

   1. Wählen Sie für In private DNS-Zone integrieren den Wert Ja aus, um Ihren privaten Endpunkt in eine private DNS-Zone zu integrieren. Sie können auch Ihre eigenen DNS-Server verwenden oder DNS-Einträge mithilfe der Hostdateien auf Ihren virtuellen Computern erstellen.

   2. Eine Abonnement- und Ressourcengruppe für Ihre private DNS-Zone ist vorab ausgewählt. Sie können sie optional ändern.

   

   Weitere Informationen zur DNS-Konfiguration finden Sie in der Namenauflösung für Ressourcen in virtuellen Azure-Netzwerken und DNS-Konfigurationen für private Endpunkte.

7. Wählen Sie Weiter: Tags> aus und optional „Tags erstellen“. Tags sind Name/Wert-Paare, die Ihnen das Kategorisieren von Ressourcen und die Anzeige einer konsolidierten Abrechnung ermöglichen, indem Sie dasselbe Tag auf mehrere Ressourcen und Ressourcengruppen anwenden.

   

8. Wählen Sie Weiter: Überprüfen + Erstellen >aus, um Informationen zu Ihrem App Configuration-Speicher, privaten Endpunkt, virtuellem Netzwerk und DNS zu überprüfen. Sie können auch eine Vorlage für die Automatisierung herunterladen, um JSON-Daten später aus diesem Formular wiederzuverwenden.

   

9. Klicken Sie auf Erstellen.

Sobald die Bereitstellung abgeschlossen ist, erhalten Sie eine Benachrichtigung, dass Ihr Endpunkt erstellt wurde. Wenn sie automatisch genehmigt ist, können Sie privat auf Ihren App-Konfigurationsspeicher zugreifen, andernfalls müssen Sie auf die Genehmigung warten.

Azure-Befehlszeilenschnittstelle

1. Um Ihren privaten Endpunkt einzurichten, benötigen Sie ein virtuelles Netzwerk. Erstellen Sie mit az network vnet create ein virtuelles Netzwerk. Ersetzen Sie die Platzhaltertexte <vnet-name>, <rg-name> und <subnet-name> mit einem Namen für Ihr neues virtuelles Netzwerk, einem Ressourcengruppennamen und einem Subnetznamen.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Platzhalter	Beschreibung	Beispiel
   <vnet-name>	Geben Sie einen Namen für Ihr virtuelles Netzwerk ein. In einem virtuellen Netzwerk können Azure-Ressourcen wie virtuelle Computer privat miteinander und mit dem Internet kommunizieren.	MyVNet
   <rg-name>	Geben Sie den Namen einer vorhandenen Ressourcengruppe für Ihr virtuelles Netzwerk ein.	MyResourceGroup
   <subnet-name>	Geben Sie einen Namen für das neue Subnetz ein. Ein Subnetz ist ein Netzwerk innerhalb eines Netzwerks. Dies ist der Ort, an dem die private IP-Adresse zugewiesen ist.	MySubnet
   <vnet-location>	Geben Sie eine Azure-Region ein. Der private Endpunkt muss in derselben Region wie Ihr virtuelles Netzwerk bereitgestellt werden.	centralus

2. Führen Sie den Befehl az appconfig aus, um die Eigenschaften des App Configuration-Speichers abzurufen, für die Sie privaten Zugriff einrichten möchten. Ersetzen Sie den Platzhalter name durch den Namen oder den App Configuration-Speicher.

   az appconfig show --name <name>
   

   Dieser Befehl generiert eine Ausgabe mit Informationen zu Ihrem App Configuration-Speicher. Notieren Sie sich den angegebenen Wert für ID. Beispiel: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Führen Sie den Befehl az network private-endpoint create aus, um einen privaten Endpunkt für Ihren App Configuration-Speicher zu erstellen. Ersetzen Sie den Platzhaltertext <resource-group>, <private-endpoint-name>, <vnet-name>, <private-connection-resource-id>, <connection-name> und <location> mit Ihren eigenen Informationen.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Platzhalter	Beschreibung	Beispiel
   <resource-group>	Geben Sie den Namen einer vorhandenen Ressourcengruppe für Ihren privaten Endpunkt ein.	MyResourceGroup
   <private-endpoint-name>	Geben Sie einen Namen für Ihren neuen privaten Endpunkt ein.	MyPrivateEndpoint
   <vnet-name>	Geben Sie den Namen eines vorhandenen VNET ein.	Myvnet
   <private-connection-resource-id>	Geben Sie die private Verbindungsressourcen-ID Ihres App Configuration-Speichers ein. Dies ist die ID, die Sie aus der Ausgabe des vorherigen Schritts gespeichert haben.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Geben Sie einen Verbindungsnamen ein. App-Konfigurationsspeicher müssen eindeutige private Endpunktverbindungsnamen aufweisen.	MyConnection
   <location>	Geben Sie eine Azure-Region ein. Der private Endpunkt muss in derselben Region wie Ihr virtuelles Netzwerk bereitgestellt werden.	centralus

Verwalten der Private Link-Verbindung

Portal

Gehen Sie zu Netzwerk>Privater Zugriff in Ihrem App Configuration-Speicher, um auf die privaten Endpunkte zuzugreifen, die mit Ihrem App Configuration-Speicher verknüpft sind.

1. Überprüfen Sie den Verbindungsstatus Ihrer privaten Verbindung. Wenn Sie einen privaten Endpunkt erstellen, muss die Verbindung genehmigt werden. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet und Sie über ausreichende Berechtigungen verfügen, können Sie die Verbindungsanforderung genehmigen. Andernfalls müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt. Weitere Informationen zu den Verbindungsgenehmigungsmodellen erhalten Sie unter Private Azure-Endpunkte verwalten.

2. Um eine Verbindung manuell zu genehmigen, abzulehnen oder zu entfernen, aktivieren Sie das Kontrollkästchen neben dem Endpunkt, den Sie bearbeiten möchten, und wählen Sie ein Aktionselement im oberen Menü aus.

   

3. Wählen Sie den Namen des privaten Endpunkts aus, um die private Endpunktressource zu öffnen und auf weitere Informationen zuzugreifen oder den privaten Endpunkt zu bearbeiten.

Azure-Befehlszeilenschnittstelle

Überprüfen aller Details von Verbindungen mit privaten Endpunkten

Führen Sie den Befehl az network private-endpoint-connection list aus, um alle privaten Endpunktverbindungen zu überprüfen, die mit Ihrem App Configuration-Speicher verknüpft sind, und überprüfen Sie den Verbindungsstatus. Ersetzen Sie die Platzhaltertexte resource-group und <app-config-store-name> mit dem Namen der Ressourcengruppe und dem Namen des Speichers.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Wenn Sie optional die Details eines bestimmten privaten Endpunkts abrufen möchten, verwenden Sie den Befehl az network private-endpoint-connection show. Ersetzen Sie die Platzhaltertexte resource-group und app-config-store-name mit dem Namen der Ressourcengruppe und dem Namen des Speichers.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Methode zur Genehmigung der Verbindung

Wenn Sie einen privaten Endpunkt erstellen, muss die Verbindung genehmigt werden. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet und Sie über ausreichende Berechtigungen verfügen, können Sie die Verbindungsanforderung genehmigen. Andernfalls müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt.

Verwenden Sie das Cmdlet az network private-endpoint-connection approve, um eine private Endpunktverbindung zu genehmigen. Ersetzen Sie die Platzhaltertexte resource-group, private-endpoint und <app-config-store-name> mit dem Namen der Ressourcengruppe, dem Namen des privaten Endpunkts und dem Namen des Speichers.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Weitere Informationen zu den Verbindungsgenehmigungsmodellen erhalten Sie unter Private Azure-Endpunkte verwalten.

Löscht die Verbindung mit einem privatem Endpunkt

Verwenden Sie das Cmdlet az network private-endpoint-connection delete, um eine private Endpunktverbindung zu löschen. Ersetzen Sie die Platzhaltertexte resource-group und private-endpoint mit dem Namen der Ressourcengruppe und dem Namen des privaten Endpunkts.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Weitere CLI-Befehle erhalten Sie unter az network private-endpoint-connection

Wenn Probleme mit einem privaten Endpunkt auftreten, lesen Sie den folgenden Leitfaden: Behandeln von Verbindungsproblemen mit Azure Private Endpoint.

Nächste Schritte

Verwenden privater Endpunkte für Azure App Configuration

Deaktivieren des öffentlichen Zugriffs in Azure App Configuration