Używanie prywatnych punktów końcowych na potrzeby konfiguracji aplikacja systemu Azure

Do aplikacja systemu Azure Configuration można użyć prywatnych punktów końcowych, aby umożliwić klientom w sieci wirtualnej bezpieczny dostęp do danych za pośrednictwem łącza prywatnego. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej dla magazynu usługi App Configuration. Ruch sieciowy między klientami w sieci wirtualnej a magazynem App Configuration przechodzi przez sieć wirtualną przy użyciu łącza prywatnego w sieci szkieletowej firmy Microsoft, eliminując narażenie na publiczny Internet.

Korzystanie z prywatnych punktów końcowych dla magazynu usługi App Configuration umożliwia:

• Zabezpieczanie szczegółów konfiguracji aplikacji przez skonfigurowanie zapory w celu blokowania wszystkich połączeń z usługą App Configuration w publicznym punkcie końcowym.
• Zwiększ bezpieczeństwo sieci wirtualnej, aby zapewnić, że dane nie unikną z sieci wirtualnej.
• Bezpiecznie nawiąż połączenie z magazynem App Configuration z sieci lokalnych łączących się z siecią wirtualną przy użyciu sieci VPN lub usługi ExpressRoutes z prywatną komunikacją równorzędną.

Omówienie pojęć

Prywatny punkt końcowy to specjalny interfejs sieciowy dla usługi platformy Azure w sieci wirtualnej. Podczas tworzenia prywatnego punktu końcowego dla magazynu usługi App Configuration zapewnia bezpieczną łączność między klientami w sieci wirtualnej a magazynem konfiguracji. Prywatny punkt końcowy ma przypisany adres IP z zakresu adresów IP sieci wirtualnej. Połączenie między prywatnym punktem końcowym a magazynem konfiguracji używa bezpiecznego łącza prywatnego.

Aplikacje w sieci wirtualnej mogą łączyć się z magazynem konfiguracji za pośrednictwem prywatnego punktu końcowego przy użyciu tych samych parametry połączenia i mechanizmów autoryzacji, które będą używane w przeciwnym razie. Prywatne punkty końcowe mogą być używane ze wszystkimi protokołami obsługiwanymi przez magazyn App Configuration.

Chociaż usługa App Configuration nie obsługuje punktów końcowych usługi, prywatne punkty końcowe można utworzyć w podsieciach korzystających z punktów końcowych usługi. Klienci w podsieci mogą bezpiecznie łączyć się z magazynem usługi App Configuration przy użyciu prywatnego punktu końcowego podczas korzystania z punktów końcowych usługi w celu uzyskania dostępu do innych.

Podczas tworzenia prywatnego punktu końcowego dla usługi w sieci wirtualnej żądanie zgody jest wysyłane do właściciela konta usługi. Jeśli użytkownik żądający utworzenia prywatnego punktu końcowego jest również właścicielem konta, to żądanie zgody zostanie automatycznie zatwierdzone.

Właściciele kont usługi mogą zarządzać żądaniami zgody i prywatnymi punktami końcowymi za pomocą Private Endpoints karty sklepu App Configuration w witrynie Azure Portal.

Prywatne punkty końcowe dla usługi App Configuration

Podczas tworzenia prywatnego punktu końcowego należy określić magazyn usługi App Configuration, z którym się łączy. Jeśli włączysz replikację geograficzną dla magazynu usługi App Configuration, możesz nawiązać połączenie ze wszystkimi replikami magazynu przy użyciu tego samego prywatnego punktu końcowego. Jeśli masz wiele magazynów usługi App Configuration, potrzebujesz oddzielnego prywatnego punktu końcowego dla każdego magazynu.

Połączenie do prywatnych punktów końcowych

Platforma Azure korzysta z rozpoznawania nazw DNS w celu kierowania połączeń z sieci wirtualnej do magazynu konfiguracji za pośrednictwem łącza prywatnego. Parametry połączeń można szybko znaleźć w witrynie Azure Portal, wybierając sklep App Configuration Store, a następnie wybierając pozycję Ustawienia> Klucze dostępu.

Ważne

Użyj tego samego parametry połączenia, aby nawiązać połączenie z magazynem usługi App Configuration przy użyciu prywatnych punktów końcowych, jak w przypadku publicznego punktu końcowego. Nie łącz się z magazynem przy użyciu adresu privatelink URL poddomeny.

Uwaga

Domyślnie po dodaniu prywatnego punktu końcowego do magazynu usługi App Configuration wszystkie żądania dotyczące danych usługi App Configuration za pośrednictwem sieci publicznej są odrzucane. Dostęp do sieci publicznej można włączyć za pomocą następującego polecenia interfejsu wiersza polecenia platformy Azure. Ważne jest, aby w tym scenariuszu wziąć pod uwagę implikacje bezpieczeństwa dotyczące włączania dostępu do sieci publicznej.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

Zmiany DNS dla prywatnych punktów końcowych

Podczas tworzenia prywatnego punktu końcowego rekord zasobu CNAME systemu DNS dla magazynu konfiguracji jest aktualizowany do aliasu w poddomenie z prefiksem privatelink. Platforma Azure tworzy również prywatną strefę DNS odpowiadającą privatelink poddomenie z rekordami zasobów DNS A dla prywatnych punktów końcowych. Włączenie replikacji geograficznej powoduje utworzenie oddzielnych rekordów DNS dla każdej repliki z unikatowymi adresami IP w prywatnej strefie DNS.

Po rozpoznaniu adresu URL punktu końcowego z sieci wirtualnej obsługującej prywatny punkt końcowy jest rozpoznawany jako prywatny punkt końcowy magazynu. Po rozwiązaniu problemu spoza sieci wirtualnej adres URL punktu końcowego jest rozpoznawany jako publiczny punkt końcowy. Podczas tworzenia prywatnego punktu końcowego publiczny punkt końcowy jest wyłączony.

Jeśli używasz niestandardowego serwera DNS w sieci, musisz skonfigurować go w celu delegowania privatelink poddomeny do prywatnej strefy DNS dla sieci wirtualnej. Alternatywnie można skonfigurować rekordy A dla adresów URL łącza prywatnego magazynu, które są [Your-store-name].privatelink.azconfig.io lub [Your-store-name]-[replica-name].privatelink.azconfig.io jeśli jest włączona replikacja geograficzna, z unikatowymi prywatnymi adresami IP prywatnego punktu końcowego.

Ceny

Włączenie prywatnych punktów końcowych wymaga magazynu App Configuration w warstwie Standardowa. Aby dowiedzieć się więcej o cenach usługi Private Link, zobacz Cennik usługi Azure Private Link.

Następne kroki

Dowiedz się więcej o tworzeniu prywatnego punktu końcowego dla magazynu App Configuration, zapoznaj się z następującymi artykułami:

• Tworzenie prywatnego punktu końcowego przy użyciu centrum usługi Private Link w witrynie Azure Portal
• Tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure
• Tworzenie prywatnego punktu końcowego przy użyciu programu Azure PowerShell

Dowiedz się, jak skonfigurować serwer DNS z prywatnymi punktami końcowymi:

• Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure
• Konfiguracja DNS dla prywatnych punktów końcowych