Privé-eindpunten gebruiken voor Azure-app-configuratie

  • Artikel

U kunt privé-eindpunten gebruiken voor Azure-app-configuratie om clients in een virtueel netwerk (VNet) veilig toegang te geven tot gegevens via een privékoppeling. Het privé-eindpunt maakt gebruik van een IP-adres uit de VNet-adresruimte voor uw App Configuration-archief. Netwerkverkeer tussen de clients in het VNet en het App Configuration-archief loopt via het VNet via een privékoppeling op het Microsoft backbone-netwerk, waardoor blootstelling aan het openbare internet wordt geëlimineerd.

Met behulp van privé-eindpunten voor uw App Configuration-archief kunt u het volgende doen:

  • Beveilig de configuratiegegevens van uw toepassing door de firewall zo te configureren dat alle verbindingen met App Configuration op het openbare eindpunt worden geblokkeerd.
  • Verhoog de beveiliging voor het virtuele netwerk (VNet) om ervoor te zorgen dat gegevens niet uit het VNet ontsnappen.
  • Maak veilig verbinding met het App Configuration-archief vanuit on-premises netwerken die verbinding maken met het VNet met behulp van VPN of ExpressRoutes met privépeering.

Conceptueel overzicht

Een privé-eindpunt is een speciale netwerkinterface voor een Azure-service in uw virtuele netwerk (VNet). Wanneer u een privé-eindpunt voor uw App Configuration-archief maakt, biedt het beveiligde connectiviteit tussen clients op uw VNet en uw configuratiearchief. Aan het privé-eindpunt wordt een IP-adres toegewezen uit het IP-adresbereik van uw VNet. De verbinding tussen het privé-eindpunt en het configuratiearchief maakt gebruik van een beveiligde privékoppeling.

Toepassingen in het VNet kunnen verbinding maken met het configuratiearchief via het privé-eindpunt met behulp van dezelfde verbindingsreeks s en autorisatiemechanismen die ze anders zouden gebruiken. Privé-eindpunten kunnen worden gebruikt met alle protocollen die worden ondersteund door het App Configuration-archief.

Hoewel App Configuration geen ondersteuning biedt voor service-eindpunten, kunnen privé-eindpunten worden gemaakt in subnetten die service-eindpunten gebruiken. Clients in een subnet kunnen veilig verbinding maken met een App Configuration-archief met behulp van het privé-eindpunt terwijl ze service-eindpunten gebruiken om toegang te krijgen tot anderen.

Wanneer u een privé-eindpunt voor een service in uw VNet maakt, wordt er een toestemmingsaanvraag verzonden voor goedkeuring aan de eigenaar van het serviceaccount. Als de gebruiker die het privé-eindpunt wil maken, ook eigenaar van het account is, wordt deze toestemmingsaanvraag automatisch goedgekeurd.

Eigenaren van serviceaccounts kunnen toestemmingsaanvragen en privé-eindpunten beheren via het Private Endpoints tabblad van het App Configuration-archief in Azure Portal.

Privé-eindpunten voor App Configuration

Wanneer u een privé-eindpunt maakt, moet u het App Configuration-archief opgeven waarmee het verbinding maakt. Als u de geo-replicatie voor een App Configuration-archief inschakelt, kunt u verbinding maken met alle replica's van het archief met hetzelfde privé-eindpunt. Als u meerdere App Configuration-archieven hebt, hebt u een afzonderlijk privé-eindpunt nodig voor elk archief.

Verbinding maken naar privé-eindpunten

Azure is afhankelijk van DNS-omzetting om verbindingen van het VNet naar het configuratiearchief te routeren via een privékoppeling. U kunt snel verbindingsreeksen vinden in Azure Portal door uw App Configuration-archief te selecteren en vervolgens Instellingen> Access-sleutels te selecteren.

Belangrijk

Gebruik dezelfde verbindingsreeks om verbinding te maken met uw App Configuration-archief met behulp van privé-eindpunten, zoals u zou gebruiken voor een openbaar eindpunt. Maak geen verbinding met het archief met behulp van de URL van het privatelink subdomein.

Notitie

Wanneer een privé-eindpunt wordt toegevoegd aan uw App Configuration-archief, worden alle aanvragen voor uw App Configuration-gegevens via het openbare netwerk standaard geweigerd. U kunt openbare netwerktoegang inschakelen met behulp van de volgende Azure CLI-opdracht. Het is van belang om rekening te houden met de beveiligingsimplicaties van het inschakelen van toegang via het openbare netwerk in dit scenario.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

DNS-wijzigingen voor privé-eindpunten

Wanneer u een privé-eindpunt maakt, wordt de DNS CNAME-resourcerecord voor het configuratiearchief bijgewerkt naar een alias in een subdomein met het voorvoegsel privatelink. Azure maakt ook een privé-DNS-zone die overeenkomt met het privatelink subdomein, met de DNS A-resourcerecords voor de privé-eindpunten. Als u geo-replicatie inschakelt, worden afzonderlijke DNS-records gemaakt voor elke replica met unieke IP-adressen in de privé-DNS-zone.

Wanneer u de eindpunt-URL oplost vanuit het VNet dat als host fungeert voor het privé-eindpunt, wordt deze omgezet in het privé-eindpunt van de store. Wanneer de eindpunt-URL van buiten het VNet is opgelost, wordt deze omgezet naar het openbare eindpunt. Wanneer u een privé-eindpunt maakt, wordt het openbare eindpunt uitgeschakeld.

Als u een aangepaste DNS-server in uw netwerk gebruikt, moet u deze configureren om uw privatelink subdomein te delegeren naar de privé-DNS-zone voor het VNet. U kunt ook de A-records configureren voor de URL's van privékoppelingen van uw winkel. Deze url's zijn of [Your-store-name].privatelink.azconfig.io[Your-store-name]-[replica-name].privatelink.azconfig.io als geo-replicatie is ingeschakeld, met unieke privé-IP-adressen van het privé-eindpunt.

Prijzen

Voor het inschakelen van privé-eindpunten is een App Configuration-archief in de Standard-laag vereist. Zie prijzen voor Azure Private Link voor meer informatie over prijzen voor Private Link.

Volgende stappen

Raadpleeg de volgende artikelen voor meer informatie over het maken van een privé-eindpunt voor uw App Configuration-archief:

Meer informatie over het configureren van uw DNS-server met privé-eindpunten: