Configurare l'accesso privato nella configurazione di app Azure

Questo articolo illustra come configurare l'accesso privato per l'archivio di configurazione di app Azure creando un endpoint privato con collegamento privato di Azure. Gli endpoint privati consentono l'accesso all'archivio Configurazione app usando un indirizzo IP privato da una rete virtuale.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
• Si supponga di avere già un negozio Configurazione app. Se si vuole crearne uno, passare a creare un archivio Configurazione app.

Accedere ad Azure

È prima necessario accedere ad Azure per accedere al servizio Configurazione app.

Portale

Accedere al portale di Azure all'indirizzo https://portal.azure.com/ con il proprio account Azure.

Interfaccia della riga di comando di Azure

Accedere ad Azure usando il az login comando nell'interfaccia della riga di comando di Azure.

az login

Questo comando richiederà al Web browser di avviare e caricare una pagina di accesso di Azure. Se l'apertura del browser non riesce, usare il flusso del codice del dispositivo con az login --use-device-code. Per altre opzioni di accesso, vedere Accedere con l'interfaccia della riga di comando di Azure.

Creare un endpoint privato

Portale

1. Nell'archivio Configurazione app, in Impostazioni selezionare Rete.

2. Selezionare la scheda Accesso privato e quindi Crea per avviare la configurazione di un nuovo endpoint privato.

   

3. Compilare il modulo con le informazioni seguenti:

   Parametro	Descrizione	Esempio
   Abbonamento	Selezionare una sottoscrizione di Azure. L'endpoint privato deve trovarsi nella stessa sottoscrizione della rete virtuale. Più avanti in questa guida pratica si selezionerà una rete virtuale.	MyAzureSubscription
   Gruppo di risorse	selezionare un gruppo di risorse o crearne uno nuovo.	MyResourceGroup
   Nome	Immettere un nome univoco per il nuovo endpoint privato per l'archivio Configurazione app. Quando si usa la portale di Azure, il nome della connessione dell'endpoint privato corrisponderà al nome dell'endpoint privato. Configurazione app gli archivi devono avere nomi univoci di connessione dell'endpoint privato.	MyPrivateEndpoint
   Nome interfaccia di rete	Questo campo viene completato automaticamente. Facoltativamente, modificare il nome dell'interfaccia di rete.	MyPrivateEndpoint-nic
   Area	Scegliere un'area. L'endpoint privato deve trovarsi nella stessa area della rete virtuale.	Stati Uniti centrali

   

4. Selezionare Avanti: Risorsa >. collegamento privato offre opzioni per creare endpoint privati per diversi tipi di risorse di Azure, ad esempio server SQL, account di archiviazione di Azure o Configurazione app archivi. L'archivio Configurazione app corrente viene compilato automaticamente nel campo Risorsa, in quanto corrisponde alla risorsa a cui si connette l'endpoint privato.

   1. Il tipo di risorsa Microsoft.AppConfiguration/configurationStores e la sottorisorsa di destinazione ConfigurationStores indicano che si sta creando un endpoint per un archivio Configurazione app.

   2. Il nome dell'archivio di configurazione è elencato in Risorsa.

   

5. Selezionare Avanti: Rete virtuale >.

   1. Selezionare una rete virtuale esistente in cui distribuire l'endpoint privato. Se non si ha una rete virtuale, creare una rete virtuale.

   2. Selezionare una subnet dall'elenco.

   3. Lasciare selezionata la casella Abilita criteri di rete per tutti gli endpoint privati in questa subnet .

   4. In Configurazione IP privato selezionare l'opzione per allocare gli indirizzi IP in modo dinamico. Per altre informazioni, vedere Indirizzi IP privati.

   5. Facoltativamente, è possibile selezionare o creare un gruppo di sicurezza dell'applicazione. I gruppi di sicurezza delle applicazioni consentono di raggruppare le macchine virtuali e definire i criteri di sicurezza di rete in base a tali gruppi.

   

6. Selezionare Avanti: DNS > per configurare un record DNS. Se non si desidera apportare modifiche alle impostazioni predefinite, è possibile passare alla scheda successiva.

   1. Per Integrazione con la zona DNS privata, selezionare Sì per integrare l'endpoint privato con una zona DNS privata. È anche possibile usare i propri server DNS o creare record DNS usando i file host nelle macchine virtuali.

   2. Una sottoscrizione e un gruppo di risorse per la zona DNS privata sono preseselezionati. È possibile modificarli facoltativamente.

   

   Per altre informazioni sulla configurazione DNS, vedere Risoluzione dei nomi per le risorse nelle reti virtuali di Azure e configurazione DNS per endpoint privati.

7. Selezionare Avanti : Tag > e, facoltativamente, creare tag. I tag sono coppie nome-valore che consentono di classificare le risorse e visualizzare dati di fatturazione consolidati tramite l'applicazione dello stesso tag a più risorse e gruppi di risorse.

   

8. Selezionare Avanti: rivedi e crea > per esaminare le informazioni sull'archivio Configurazione app, sull'endpoint privato, sulla rete virtuale e sul DNS. È anche possibile selezionare Scarica un modello per l'automazione per riutilizzare i dati JSON da questo modulo in un secondo momento.

   

9. Seleziona Crea.

Al termine della distribuzione, si riceverà una notifica che informa che l'endpoint è stato creato. Se è approvata automaticamente, è possibile iniziare ad accedere privatamente all'archivio di configurazione delle app, altrimenti sarà necessario attendere l'approvazione.

Interfaccia della riga di comando di Azure

1. Per configurare l'endpoint privato, è necessaria una rete virtuale. Se non ne è ancora disponibile uno, creare una rete virtuale con az network vnet create. Sostituire i testi <vnet-name>segnaposto , <rg-name>e <subnet-name> con un nome per la nuova rete virtuale, un nome del gruppo di risorse e un nome di subnet.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Segnaposto	Descrizione	Esempio
   <vnet-name>	Immettere un nome per la nuova rete virtuale. Una rete virtuale consente alle risorse di Azure di comunicare privatamente tra loro e con Internet.	MyVNet
   <rg-name>	Immettere il nome di un gruppo di risorse esistente per la rete virtuale.	MyResourceGroup
   <subnet-name>	Immettere un nome per la nuova subnet. Una subnet è una rete all'interno di una rete. Qui viene assegnato l'indirizzo IP privato.	MySubnet
   <vnet-location>	Immettere un'area di Azure. La rete virtuale deve trovarsi nella stessa area dell'endpoint privato.	centralus

2. Eseguire il comando az appconfig show per recuperare le proprietà dell'archivio Configurazione app, per cui si vuole configurare l'accesso privato. Sostituire il segnaposto name con il nome o l'archivio Configurazione app.

   az appconfig show --name <name>
   

   Questo comando genera un output con informazioni sull'archivio Configurazione app. Prendere nota del valore id . Ad esempio: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Eseguire il comando az network private-endpoint create per creare un endpoint privato per l'archivio Configurazione app. Sostituire i testi <resource-group>segnaposto , <private-endpoint-name>, <vnet-name>, <private-connection-resource-id>, <connection-name>e <location> con le proprie informazioni.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Segnaposto	Descrizione	Esempio
   <resource-group>	Immettere il nome di un gruppo di risorse esistente per l'endpoint privato.	MyResourceGroup
   <private-endpoint-name>	Immettere un nome per il nuovo endpoint privato.	MyPrivateEndpoint
   <vnet-name>	Immettere il nome di una rete virtuale esistente.	Myvnet
   <private-connection-resource-id>	Immettere l'ID risorsa di connessione privata dell'archivio Configurazione app. Id salvato dall'output del passaggio precedente.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Immettere un nome di connessione. Configurazione app gli archivi devono avere nomi univoci di connessione dell'endpoint privato.	MyConnection
   <location>	Immettere un'area di Azure. L'endpoint privato deve trovarsi nella stessa area della rete virtuale.	centralus

Gestire una connessione di collegamento privato

Portale

Passare a Accesso privato di rete>nell'archivio Configurazione app per accedere agli endpoint privati collegati all'archivio Configurazione app.

1. Controllare lo stato della connessione al collegamento privato. Quando si crea un endpoint privato, la connessione deve essere approvata. Se la risorsa per cui si sta creando un endpoint privato si trova nella directory e si dispone di autorizzazioni sufficienti, la richiesta di connessione verrà approvata automaticamente. In caso contrario, è necessario attendere che il proprietario di tale risorsa approvi la richiesta di connessione. Per altre informazioni sui modelli di approvazione della connessione, vedere Gestire gli endpoint privati di Azure.

2. Per approvare manualmente, rifiutare o rimuovere una connessione, selezionare la casella di controllo accanto all'endpoint da modificare e selezionare una voce di azione dal menu in alto.

   

3. Selezionare il nome dell'endpoint privato per aprire la risorsa endpoint privato e accedere ad altre informazioni o per modificare l'endpoint privato.

Interfaccia della riga di comando di Azure

Esaminare i dettagli della connessione all'endpoint privato

Eseguire il comando az network private-endpoint-connection list per esaminare tutte le connessioni endpoint private collegate all'archivio Configurazione app e controllare il relativo stato di connessione. Sostituire i testi resource-group segnaposto e <app-config-store-name> con il nome del gruppo di risorse e il nome dell'archivio.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Facoltativamente, per ottenere i dettagli di un endpoint privato specifico, usare il comando az network private-endpoint-connection show . Sostituire i testi resource-group segnaposto e app-config-store-name con il nome del gruppo di risorse e il nome dell'archivio.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Ottenere l'approvazione della connessione

Quando si crea un endpoint privato, la connessione deve essere approvata. Se la risorsa per cui si sta creando un endpoint privato si trova nella directory e si dispone di autorizzazioni sufficienti, la richiesta di connessione verrà approvata automaticamente. In caso contrario, è necessario attendere che il proprietario di tale risorsa approvi la richiesta di connessione.

Per approvare una connessione endpoint privato, usare il comando az network private-endpoint-connection approve . Sostituire i testi resource-groupsegnaposto , private-endpointe <app-config-store-name> con il nome del gruppo di risorse, il nome dell'endpoint privato e il nome dell'archivio.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Per altre informazioni sui modelli di approvazione della connessione, vedere Gestire gli endpoint privati di Azure.

Eliminare una connessione endpoint privato

Per eliminare una connessione endpoint privato, usare il comando az network private-endpoint-connection delete . Sostituire i testi resource-group segnaposto e private-endpoint con il nome del gruppo di risorse e il nome dell'endpoint privato.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Per altri comandi dell'interfaccia della riga di comando, vedere az network private-endpoint-connection

Se si verificano problemi con un endpoint privato, vedere la guida seguente: Risolvere i problemi di connettività dell'endpoint privato di Azure.

Passaggi successivi

Usare endpoint privati per la configurazione di app Azure

Disabilitare l'accesso pubblico nella configurazione di app Azure