Használjon privát végpontokat az Azure App Service alkalmazásokhoz.

Használhat privát végpontot az Azure App Service alkalmazásaihoz. A privát végpont lehetővé teszi, hogy a magánhálózatában található ügyfelek biztonságosan hozzáférjenek egy alkalmazáshoz az Azure Private Link-en keresztül. A privát végpont egy IP-címet használ az Azure-beli virtuális hálózati címtérből. A magánhálózaton lévő ügyfél és az alkalmazás közötti hálózati forgalom a Microsoft gerinchálózatán a virtuális hálózaton és a Private Linken halad át. Ez a konfiguráció kiküszöböli a nyilvános interneten való kitettséget.

Amikor privát végpontot használ az alkalmazásához, akkor a következőket teheti:

• Tegye biztonságossá az alkalmazását azzal, hogy konfigurálja a privát végpontot, és letiltja a nyilvános hálózati hozzáférést, ami megszünteti a nyilvános kitettséget.
• Csatlakozz biztonságosan az alkalmazásodhoz a helyi hálózatokból, amelyek a virtuális hálózathoz VPN vagy ExpressRoute privát peering használatával kapcsolódnak.
• Kerülje el az adatszivárgást a virtuális hálózatából.

Fontos

A privát végpontok a következő App Service-csomagokban üzemeltetett, tárolóba helyezett Windows- és Linux-alkalmazásokhoz érhetők el: Basic, Standard, PremiumV2, PremiumV3, PremiumV4, IsolatedV2, Functions Premium (más néven Elastic Premium csomag).

Fogalmi áttekintés

A "private endpoint" egy hálózati interfész az App Service alkalmazásod számára a virtuális hálózatod alhálózatában.

Amikor privát végpontot hoz létre az alkalmazásához, az biztonságos kapcsolatot biztosít a privát hálózaton lévő kliensek és az alkalmazás között. A privát végpont egy IP-címet kap a virtuális hálózatod IP cím tartományából. A privát végpont és az alkalmazás közötti kapcsolat biztonságos privát kapcsolatot használ. A privát végpontot csak az alkalmazásodhoz beérkező forgalomhoz használják. A kimenő forgalom nem használja a privát végpontot. A virtuális hálózat integrációs funkciójával egy másik alhálózaton keresztül injektálhat kimenő forgalmat a hálózatba.

Egy alkalmazás minden részegységét külön-külön konfigurálják. Legfeljebb 100 privát végpontot használhat nyerőhelyenként. Nem oszthatod meg a privát végpontot a helyek között. Egy subresource foglalat neve sites-<slot-name>.

Az alhálózat, amelyhez a privát végpontot csatlakoztatja, más erőforrásokat is tartalmazhat. Nincs szüksége különálló, üres alhálózatra.

Biztonságos végpontot egy másik régióban is telepíthet, mint az alkalmazása.

Megjegyzés

A virtuális hálózati integrációs funkció nem használhatja ugyanazt az alhálózatot, mint a privát végpont.

Biztonsági szempontok

A privát végpontok és a nyilvános hozzáférés együtt létezhet egy alkalmazásban. További információkért tekintse meg a hozzáférési korlátozások áttekintését.

Annak érdekében, hogy biztosítsa az elszigeteltséget, győződjön meg róla, hogy a privát végpontok engedélyezésekor az alkalmazásához letiltja a nyilvános hálózati hozzáférést. Több privát végpontot is engedélyezhet más virtuális hálózatokban és alhálózatokban, beleértve a más régiókban lévő virtuális hálózatokat is.

Az alkalmazás hozzáférés-korlátozási szabályai nem kerülnek kiértékelésre a privát végponton keresztüli forgalom esetében. Megszüntetheti az adatexfiltrálás kockázatát a virtuális hálózatból. Távolítsa el az összes hálózati biztonsági csoport (NSG) szabályt, ahol a cél a "internet" vagy "Azure szolgáltatások" címke.

Az alkalmazás webes HTTP naplóiban találhatja meg az ügyfél forrás IP-jét. Ez a funkció a továbbítóvezérlő protokoll (TCP) proxy használatával van megvalósítva, amely továbbítja az ügyfél IP tulajdonságát az alkalmazás felé. További információ: Kapcsolatadatok lekérése TCP Proxy v2 használatával.

DNS

Ha privát végpontot használ az App Service-alkalmazásokhoz, a kért URL-címnek meg kell egyeznie az alkalmazás címével. Alapértelmezés szerint magánvégpont nélkül a webalkalmazás nyilvános neve a fürtnek egy canonical név. Például a névfeloldás a következő:

Név	Típus	Érték
mywebapp.azurewebsites.net	CNAME	clustername.azurewebsites.windows.net
clustername.azurewebsites.windows.net	CNAME	cloudservicename.cloudapp.net
cloudservicename.cloudapp.net	A	192.0.2.13

Magánvégpont üzembe helyezésekor a megközelítés frissíti a tartománynévrendszer (DNS) bejegyzését, hogy a kanonikus névre mutasson: mywebapp.privatelink.azurewebsites.net. Például a névfeloldás a következő:

Név	Típus	Érték	Megjegyzés
mywebapp.azurewebsites.net	CNAME	mywebapp.privatelink.azurewebsites.net
mywebapp.privatelink.azurewebsites.net	CNAME	clustername.azurewebsites.windows.net
clustername.azurewebsites.windows.net	CNAME	cloudservicename.cloudapp.net
cloudservicename.cloudapp.net	A	192.0.2.13	<--Ez a nyilvános IP-cím nem a privát végpont. 403-at jelző hibaüzenet jelenik meg.

Privát DNS-kiszolgálót vagy Azure DNS privát zónát kell beállítania. Teszteléshez módosíthatja a tesztgép hosztbejegyzését. Az a DNS-zóna, amelyet létre kell hoznia: privatelink.azurewebsites.net. Regisztrálja az alkalmazás rekordját egy A rekorddal és a privát végpont IP-címével. Az Azure Privát DNS-zónacsoportok esetében a RENDSZER automatikusan hozzáadja a DNS-rekordokat a privát DNS-zónához.

Például a névfeloldás a következő:

Név	Típus	Érték	Megjegyzés
mywebapp.azurewebsites.net	CNAME	mywebapp.privatelink.azurewebsites.net	<--Az Azure létrehozza ezt a CNAME bejegyzést az Azure Public DNS-ben, hogy az alkalmazás címét a privát végpont címére irányítsa.
mywebapp.privatelink.azurewebsites.net	A	10.10.10.8	<--Ezt a bejegyzést a DNS rendszerében kezeli, hogy a privát végpont IP címére mutasson.

A DNS-konfiguráció beállításakor az alapértelmezett névvel mywebapp.azurewebsites.netprivát módon érheti el az alkalmazást. Használnia kell ezt a nevet, mert az alapértelmezett tanúsítvány a *.azurewebsites.net számára van kiállítva.

Egyéni tartománynév

Ha egyéni tartománynevet kell használnia, adja hozzá az egyéni nevet az alkalmazáshoz. A testnév hitelesítését úgy kell elvégeznie, mint bármely testnév hitelesítését, nyilvános DNS-felbontással. További információ: egyéni DNS-ellenőrzés.

Az egyéni DNS-zónában frissítenie kell a DNS-rekordot, hogy a privát végpontra mutasson. Ha az alkalmazás már konfigurálva van az alapértelmezett állomásnévhez tartozó DNS-feloldással, az előnyben részesített módszer egy CNAME rekord hozzáadása, amely az mywebapp.azurewebsites.net egyéni tartományra mutat. Ha csak azt szeretné, hogy az egyéni tartománynév feloldódjon a privát végponton, közvetlenül hozzáadhat egy A rekordot a privát végpont IP-címével.

Kudu/scm-végpont

A Kudu konzolhoz vagy a Kudu REST API-hoz (például az Azure DevOps Services saját üzemeltetésű ügynökeivel való üzembe helyezéshez) létre kell hoznia egy második rekordot, amely az Azure DNS privát zónájában vagy az egyéni DNS-kiszolgálón lévő privát végpont IP-címére mutat. Az első a te alkalmazásod számára, a második pedig az alkalmazásod forráskód-kezelése (SCM) számára van. Az Azure Privát DNS-zónacsoportokkal a rendszer automatikusan hozzáadja az scm-végpontot.

Név	Típus	Érték
mywebapp.privatelink.azurewebsites.net	A	PrivateEndpointIP
mywebapp.scm.privatelink.azurewebsites.net	A	PrivateEndpointIP

Az App Service Environment v3 különleges megfontolásai

Az IsolatedV2 tervben üzemeltetett alkalmazások privát végpontjának engedélyezése érdekében aktiválja a privát végpont támogatását az App Service Environment szinten. A funkciót az Azure portálon az App Service környezet konfigurációs paneljében aktiválhatja, vagy a következő parancssori felületen keresztül:

az appservice ase update --name myasename --allow-new-private-endpoint-connections true

Specifikus követelmények

Ha a virtuális hálózat egy másik előfizetésben van, mint az alkalmazás, győződjön meg arról, hogy a virtuális hálózattal rendelkező előfizetés regisztrálva van a Microsoft.Web erőforrás-szolgáltatóhoz. A szolgáltató explicit regisztrációjához lásd: Erőforrás-szolgáltató regisztrálása. A szolgáltató automatikusan regisztrálódik, amikor létrehozod az első webalkalmazást egy előfizetésben.

Árazás

A díjszabás részleteiért tekintse meg az Azure Private Link díjszabását.

Korlátozások

• Amikor az Elastic Premium tervben privát végponttal rendelkező Azure funkciót használ, közvetlen hálózati hozzáférésre van szüksége ahhoz, hogy a funkciót futtassa az Azure portálon. Ellenkező esetben HTTP 403 hibát kap. A böngészőjének képesnek kell lennie elérni a privát végpontot ahhoz, hogy az Azure portálról futtassa a funkciót.
• Legfeljebb 100 privát végpontot csatlakoztathat egy adott alkalmazáshoz.
• A távoli hibakeresési funkció nem érhető el a privát végponton keresztül. Javasoljuk, hogy telepítse a kódot egy slotba, és távolról hibakeresést végezzen ott.
• Az FTP hozzáférés a bejövő nyilvános IP-cím által van biztosítva. Az alkalmazáshoz tartozó privát végpont nem támogatja az FTP hozzáférést.
• Az IP-alapú TLS nem támogatott privát végpontokkal.
• A privát végpontokkal konfigurált alkalmazások nem fogadhatnak olyan nyilvános forgalmat, amely engedélyezett szolgáltatásvégponttal rendelkező Microsoft.Web alhálózatokból származik, és nem használhatják a szolgáltatásvégpont-alapú hozzáférés-korlátozási szabályokat.
• A privát végpont elnevezésének követnie kell a Microsoft.Network/privateEndpoints típusú erőforrásokra vonatkozó szabályokat. További információ: Elnevezési szabályok és korlátozások.

A up-tokorlátozásokkal kapcsolatos naprakész információkért tekintse meg ezt a dokumentációt.

Kapcsolódó tartalom

• Rövid útmutató: Privát végpont létrehozása az Azure Portal használatával
• Rövid útmutató: Privát végpont létrehozása az Azure CLI használatával
• Rövid útmutató: Privát végpont létrehozása az Azure PowerShell használatával
• Rövid útmutató: Privát végpont létrehozása ARM-sablonnal
• Rövid útmutató: Sablon az előtér-alkalmazások biztonságos háttéralkalmazáshoz való csatlakoztatásához virtuális hálózati integrációval és privát végponttal
• Szkript: Két, biztonságosan csatlakoztatott webalkalmazás létrehozása privát végponttal és virtuális hálózati integrációval (Terraform)