Privát végpontok használata App Service-alkalmazásokhoz
Fontos
A privát végpont az alábbi App Service-csomagokban üzemeltetett, tárolóba helyezett Windows- és Linux-alkalmazásokhoz érhető el: Basic, Standard, PremiumV2, PremiumV3, IsolatedV2, Functions Premium (más néven Elastic Premium-csomag).
Az App Service-alkalmazások privát végpontja lehetővé teszi, hogy a magánhálózaton található ügyfelek biztonságosan elérhessék az alkalmazást az Azure Private Linken keresztül. A privát végpont egy IP-címet használ az Azure-beli virtuális hálózati címtérből. A magánhálózaton lévő ügyfél és az alkalmazás közötti hálózati forgalom áthalad a virtuális hálózaton, a Microsoft gerinchálózatán pedig egy privát kapcsolaton keresztül, így kiküszöbölve a nyilvános internetről való kitettséget.
Ha privát végpontot használ az alkalmazáshoz, a következőket teszi lehetővé:
- Az alkalmazás biztonságossá tételéhez konfigurálja a privát végpontot, és tiltsa le a nyilvános hálózati hozzáférést a nyilvános kitettség kiküszöbölése érdekében.
- Biztonságosan csatlakozzon az alkalmazáshoz olyan helyszíni hálózatokról, amelyek VPN vagy ExpressRoute privát társviszony-létesítéssel csatlakoznak a virtuális hálózathoz.
- Kerülje a virtuális hálózatból való adatkiszivárgást.
Fogalmi áttekintés
A privát végpont egy speciális hálózati adapter (NIC) az App Service-alkalmazáshoz a virtuális hálózat egy alhálózatán. Amikor privát végpontot hoz létre az alkalmazáshoz, az biztonságos kapcsolatot biztosít a privát hálózaton lévő ügyfelek és az alkalmazás között. A privát végpont a virtuális hálózat IP-címtartományából kap IP-címet. A privát végpont és az alkalmazás közötti kapcsolat biztonságos privát kapcsolatot használ. A privát végpont csak az alkalmazásba irányuló bejövő forgalomhoz használható. A kimenő forgalom nem használja ezt a privát végpontot. A virtuális hálózat integrációs funkciójával egy másik alhálózaton keresztül injektálhat kimenő forgalmat a hálózatba.
Az alkalmazás minden egyes pontját külön konfigurálja. Pontonként legfeljebb 100 privát végpont csatlakoztatható. Nem oszthat meg privát végpontot a pontok között. A pont alerőforrásának neve .sites-<slot-name>
Az alhálózat, ahol a privát végpontot csatlakoztatja, más erőforrások is lehetnek benne, nincs szükség dedikált üres alhálózatra. A privát végpontot az alkalmazástól eltérő régióban is üzembe helyezheti.
Feljegyzés
A virtuális hálózati integrációs funkció nem használhatja ugyanazt az alhálózatot, mint a privát végpont, ez a virtuális hálózat integrációs funkciójának korlátozása.
Biztonsági szempontból:
- A privát végpont és a nyilvános hozzáférés együtt létezhet egy alkalmazásban. További információkért tekintse meg a hozzáférési korlátozások áttekintését
- Ha engedélyezi a privát végpontokat az alkalmazásban, győződjön meg arról, hogy a nyilvános hálózati hozzáférés le van tiltva az elkülönítés biztosítása érdekében.
- Több privát végpontot is engedélyezhet más virtuális hálózatokban és alhálózatokban, beleértve a más régiókban lévő virtuális hálózatokat is.
- Az alkalmazás hozzáférési korlátozási szabályai nem lesznek kiértékelve a privát végponton keresztüli forgalom szempontjából.
- A virtuális hálózatból származó adatkiszivárgási kockázatot kiküszöbölheti az összes olyan NSG-szabály eltávolításával, ahol a cél az internet vagy az Azure-szolgáltatások címkézése.
Az alkalmazás webes HTTP-naplóiban megtalálja az ügyfél forrás IP-címét. Ez a funkció a TCP proxyprotokoll használatával valósul meg, és az ügyfél IP-tulajdonságát továbbítja az alkalmazásnak. További információ: Kapcsolatadatok lekérése a TCP-proxy 2-vel.
DNS
Ha privát végpontot használ az App Service-alkalmazásokhoz, a kért URL-címnek meg kell egyeznie az alkalmazás nevével. Alapértelmezés szerint mywebappname.azurewebsites.net.
Alapértelmezés szerint privát végpont nélkül a webalkalmazás nyilvános neve a fürtnek egy canonical név. A névfeloldás például a következő:
| Név | Típus | Érték |
|---|---|---|
| mywebapp.azurewebsites.net | CNAME | clustername.azurewebsites.windows.net |
| clustername.azurewebsites.windows.net | CNAME | cloudservicename.cloudapp.net |
| cloudservicename.cloudapp.net | A | 40.122.110.154 |
Magánvégpont üzembe helyezésekor a DNS-bejegyzést úgy frissítjük, hogy a mywebapp.privatelink.azurewebsites.net a canonical névre mutasson. A névfeloldás például a következő:
| Név | Típus | Érték | Megjegyzés |
|---|---|---|---|
| mywebapp.azurewebsites.net | CNAME | mywebapp.privatelink.azurewebsites.net | |
| mywebapp.privatelink.azurewebsites.net | CNAME | clustername.azurewebsites.windows.net | |
| clustername.azurewebsites.windows.net | CNAME | cloudservicename.cloudapp.net | |
| cloudservicename.cloudapp.net | A | 40.122.110.154 | <--Ez a nyilvános IP-cím nem a privát végpont, 403-os hibaüzenet jelenik meg |
Privát DNS-kiszolgálót vagy Azure DNS privát zónát kell beállítania. Tesztek esetén módosíthatja a tesztgép gazdagépbejegyzését. A létrehozni kívánt DNS-zóna a következő: privatelink.azurewebsites.net. Regisztrálja az alkalmazás rekordját egy A rekordgal és a privát végpont IP-címével. A névfeloldás például a következő:
| Név | Típus | Érték | Megjegyzés |
|---|---|---|---|
| mywebapp.azurewebsites.net | CNAME | mywebapp.privatelink.azurewebsites.net | <--Az Azure létrehozza ezt a CNAME bejegyzést az Azure Nyilvános DNS-ben, hogy az alkalmazás címét a privát végpont címére mutasson |
| mywebapp.privatelink.azurewebsites.net | A | 10.10.10.8 | <--Ezt a bejegyzést a DNS-rendszerben kezelheti, hogy a privát végpont IP-címére mutasson |
A DNS-konfiguráció után az alapértelmezett mywebappname.azurewebsites.net névvel privát módon érheti el az alkalmazást. Ezt a nevet kell használnia, mert a *.azurewebsites.net alapértelmezett tanúsítványa ki van állítva.
Ha egyéni DNS-nevet kell használnia, fel kell vennie az egyéni nevet az alkalmazásba, és a nyilvános DNS-feloldás használatával minden egyéni névhez hasonlóan ellenőriznie kell az egyéni nevet. További információ: egyéni DNS-ellenőrzés.
A Kudu konzolhoz vagy a Kudu REST API-hoz (például az Azure DevOps saját üzemeltetésű ügynökeivel való üzembe helyezéshez) két rekordot kell létrehoznia, amely az Azure DNS privát zónájában vagy az egyéni DNS-kiszolgálón található privát végpont IP-címére mutat. Az első az alkalmazáshoz tartozik, a második az alkalmazás SCM-éhez.
| Név | Típus | Érték |
|---|---|---|
| mywebapp.privatelink.azurewebsites.net | A | PrivateEndpointIP |
| mywebapp.scm.privatelink.azurewebsites.net | A | PrivateEndpointIP |
Az App Service Environment 3-as verzióra vonatkozó speciális szempontok
Ahhoz, hogy privát végpontot engedélyezhessen egy IzoláltV2-csomagban (App Service Environment v3) üzemeltetett alkalmazásokhoz, engedélyeznie kell a privát végpontok támogatását az App Service-környezet szintjén. A funkciót az Azure Portalon, az App Service Environment konfigurációs paneljén vagy a következő parancssori felületen aktiválhatja:
az appservice ase update --name myasename --allow-new-private-endpoint-connections true
Konkrét követelmények
Ha a virtuális hálózat az alkalmazástól eltérő előfizetésben található, győződjön meg arról, hogy a virtuális hálózattal rendelkező előfizetés regisztrálva van az Microsoft.Web erőforrás-szolgáltatónál. A szolgáltatót a jelen dokumentációt követve explicit módon regisztrálhatja, de automatikusan regisztrálhatja a szolgáltatót, amikor létrehozza az első webalkalmazást egy előfizetésben.
Díjszabás
A díjszabás részleteiért tekintse meg az Azure Private Link díjszabását.
Korlátozások
- Ha az Azure-függvényt rugalmas prémium csomagban magánvégponttal használja, a függvény azure portalon való futtatásához vagy végrehajtásához közvetlen hálózati hozzáféréssel kell rendelkeznie, vagy HTTP 403-es hiba jelenik meg. Más szóval a böngészőnek el kell érnie a privát végpontot a függvény Azure Portalról való végrehajtásához.
- Egy adott alkalmazáshoz legfeljebb 100 privát végpontot csatlakoztathat.
- A távoli hibakeresési funkció nem érhető el a privát végponton keresztül. A javaslat az, hogy helyezze üzembe a kódot egy ponton, és távoli hibakeresést ott.
- Az FTP-hozzáférést a bejövő nyilvános IP-cím biztosítja. A privát végpont nem támogatja az alkalmazásHOZ való FTP-hozzáférést.
- Az IP-alapú SSL nem támogatott privát végpontokkal.
- A privát végpontokkal konfigurált alkalmazások nem fogadják a szolgáltatásvégpontot engedélyező alhálózatokról
Microsoft.Webérkező nyilvános forgalmat, és nem használhatják a szolgáltatásvégpont-alapú hozzáférés-korlátozási szabályokat. - A privát végpont elnevezésének a típus
Microsoft.Network/privateEndpointstípusú erőforrásokra meghatározott szabályokat kell követnie. Az elnevezési szabályok itt találhatók.
Rendszeresen fejlesztjük az Azure Private Link szolgáltatást és a privát végpontot. A korlátozásokkal kapcsolatos naprakész információkért tekintse meg ezt a cikket .
Következő lépések
- Ha privát végpontot szeretne üzembe helyezni az alkalmazáshoz a portálon keresztül, olvassa el a Hogyan csatlakozhat privátan egy alkalmazáshoz az Azure Portallal?
- Ha privát végpontot szeretne üzembe helyezni az alkalmazáshoz az Azure CLI használatával, olvassa el a Hogyan csatlakozhat privátan egy alkalmazáshoz az Azure CLI-vel?
- Ha privát végpontot szeretne üzembe helyezni az alkalmazáshoz a PowerShell használatával, olvassa el a Privát csatlakozás egy alkalmazáshoz a PowerShell-lel című témakört .
- Ha azure-sablonnal szeretne privát végpontot üzembe helyezni az alkalmazáshoz, olvassa el a Privát csatlakozás azure-sablonnal való csatlakoztatása című témakört .
- Teljes körű példa arra, hogyan csatlakoztathat előtéralkalmazást egy biztonságos háttéralkalmazáshoz virtuális hálózati integrációval és arm-sablonnal rendelkező privát végponttal, tekintse meg ezt a rövid útmutatót
- Teljes körű példa arra, hogyan csatlakoztathat előtéralkalmazást egy biztonságos háttéralkalmazáshoz virtuális hálózati integrációval és privát végponttal a Terraformmal, tekintse meg ezt a mintát