Privát végpontok használata Azure-alkalmazás konfigurációhoz
A Azure-alkalmazás konfiguráció privát végpontjaival engedélyezheti, hogy a virtuális hálózaton (VNet) lévő ügyfelek biztonságosan hozzáférjenek az adatokhoz egy privát kapcsolaton keresztül. A privát végpont az Alkalmazáskonfigurációs áruház virtuális hálózat címteréből származó IP-címet használ. A virtuális hálózaton lévő ügyfelek és az Alkalmazáskonfigurációs áruház közötti hálózati forgalom a Microsoft gerinchálózatán található privát kapcsolat használatával halad át a virtuális hálózaton, így kiküszöböli a nyilvános internetnek való kitettséget.
Privát végpontok használata az Alkalmazáskonfigurációs áruházban a következőket teszi lehetővé:
- Az alkalmazáskonfiguráció részleteinek védelméhez konfigurálja a tűzfalat, hogy letiltsa az alkalmazáskonfigurációhoz való összes kapcsolatot a nyilvános végponton.
- Növelje a virtuális hálózat (VNet) biztonságát, hogy az adatok ne kerüljenek ki a virtuális hálózatból.
- Biztonságosan csatlakozzon az Alkalmazáskonfigurációs áruházhoz olyan helyszíni hálózatokról, amelyek VPNvagy ExpressRoutes használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítéssel.
Fogalmi áttekintés
A privát végpont egy speciális hálózati adapter a virtuális hálózaton (VNet) található Azure-szolgáltatásokhoz. Amikor privát végpontot hoz létre az Alkalmazáskonfigurációs áruházhoz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és a konfigurációs tár között. A privát végpont a virtuális hálózat IP-címtartományából kap IP-címet. A privát végpont és a konfigurációs tároló közötti kapcsolat biztonságos privát kapcsolatot használ.
A virtuális hálózaton lévő alkalmazások a privát végponton keresztül csatlakozhatnak a konfigurációs tárhoz ugyanazokkal a kapcsolati sztring és engedélyezési mechanizmusokkal, amelyeket egyébként használnának. A privát végpontok az Alkalmazáskonfigurációs áruház által támogatott összes protokollhoz használhatók.
Bár az alkalmazáskonfiguráció nem támogatja a szolgáltatásvégpontokat, privát végpontok hozhatók létre a szolgáltatásvégpontokat használó alhálózatokban. Az alhálózatban lévő ügyfelek biztonságosan csatlakozhatnak egy alkalmazáskonfigurációs áruházhoz a privát végpont használatával, miközben szolgáltatásvégpontokat használnak mások elérésére.
Amikor privát végpontot hoz létre egy szolgáltatáshoz a virtuális hálózaton, a rendszer jóváhagyásra vonatkozó kérelmet küld a szolgáltatásfiók tulajdonosának. Ha a privát végpont létrehozását kérő felhasználó szintén a fiók tulajdonosa, a rendszer automatikusan jóváhagyja ezt a hozzájárulási kérést.
A szolgáltatásfiók-tulajdonosok az Azure Portal alkalmazáskonfigurációs áruházának lapján kezelhetik a Private Endpoints hozzájárulási kérelmeket és a privát végpontokat.
Privát végpontok az alkalmazáskonfigurációhoz
Privát végpont létrehozásakor meg kell adnia azt az App Configuration Store-t, amelyhez csatlakozik. Ha engedélyezi a georeplikációt egy alkalmazáskonfigurációs áruházhoz, ugyanahhoz a privát végponthoz csatlakozhat az áruház összes replikájához. Ha több alkalmazáskonfigurációs áruháza van, minden egyes áruházhoz külön privát végpontra van szükség.
Csatlakozás privát végpontokra
Az Azure a DNS-feloldásra támaszkodik, hogy a virtuális hálózatról a konfigurációs tárolóba irányíthassa a kapcsolatokat egy privát kapcsolaton keresztül. Az Azure Portalon gyorsan megtalálhatja a kapcsolati sztringeket az Alkalmazáskonfigurációs áruház kiválasztásával, majd a Gépház> Access-kulcsok kiválasztásával.
Fontos
Használja ugyanazt a kapcsolati sztring az alkalmazáskonfigurációs áruházhoz való csatlakozáshoz privát végpontok használatával, mint egy nyilvános végpont esetében. Ne csatlakozzon az áruházhoz az altartomány URL-címével privatelink .
Megjegyzés:
Alapértelmezés szerint, ha egy privát végpontot ad hozzá az Alkalmazáskonfigurációs áruházhoz, a rendszer megtagadja az alkalmazáskonfigurációs adatok nyilvános hálózaton keresztüli összes kérését. A nyilvános hálózati hozzáférést az alábbi Azure CLI-paranccsal engedélyezheti. Ebben a forgatókönyvben fontos figyelembe venni a nyilvános hálózati hozzáférés engedélyezésének biztonsági következményeit.
az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true
DNS-módosítások privát végpontokhoz
Privát végpont létrehozásakor a konfigurációs tár DNS CNAME erőforrásrekordja egy altartományban lévő aliasra frissül az előtaggal privatelink. Az Azure az altartománynak privatelink megfelelő privát DNS-zónát is létrehoz a privát végpontok DNS A erőforrásrekordjaival. A georeplikálás engedélyezése külön DNS-rekordokat hoz létre minden replikához egyedi IP-címekkel a privát DNS-zónában.
Ha a végpont URL-címét a privát végpontot üzemeltető virtuális hálózaton belül oldja fel, az az áruház privát végpontjára lesz feloldva. Ha a feloldás a virtuális hálózaton kívülről történik, a végpont URL-címe a nyilvános végpontra lesz feloldva. Privát végpont létrehozásakor a nyilvános végpont le lesz tiltva.
Ha egyéni DNS-kiszolgálót használ a hálózaton, konfigurálnia kell, hogy delegálja az altartományt privatelink a virtuális hálózat privát DNS-zónájához. Másik lehetőségként konfigurálhatja az A rekordokat az áruház privát kapcsolati URL-címéhez, amelyek vagy engedélyezve vannak [Your-store-name].privatelink.azconfig.io , vagy [Your-store-name]-[replica-name].privatelink.azconfig.io ha engedélyezve van a georeplikációs szolgáltatás, a privát végpont egyedi privát IP-címeivel.
Árképzés
A privát végpontok engedélyezéséhez standard szintű alkalmazáskonfigurációs tárolóra van szükség. A privát kapcsolat díjszabásának részleteiről az Azure Private Link díjszabásában olvashat.
További lépések
Az alkalmazáskonfigurációs áruház privát végpontjának létrehozásáról az alábbi cikkekben olvashat bővebben:
- Privát végpont létrehozása a Private Link Center használatával az Azure Portalon
- Privát végpont létrehozása az Azure CLI használatával
- Privát végpont létrehozása az Azure PowerShell használatával
Ismerje meg, hogyan konfigurálhatja a DNS-kiszolgálót privát végpontokkal: