Konfigurowanie dostępu prywatnego w konfiguracji aplikacja systemu Azure

W tym artykule dowiesz się, jak skonfigurować dostęp prywatny dla magazynu konfiguracji aplikacja systemu Azure, tworząc prywatny punkt końcowy za pomocą usługi Azure Private Link. Prywatne punkty końcowe umożliwiają dostęp do magazynu usługi App Configuration przy użyciu prywatnego adresu IP z sieci wirtualnej.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Załóżmy, że masz już sklep App Configuration. Jeśli chcesz go utworzyć, przejdź do sekcji Tworzenie magazynu usługi App Configuration.

Logowanie się do platformy Azure

Aby uzyskać dostęp do usługi App Configuration, musisz najpierw zalogować się na platformie Azure.

Portal

Zaloguj się do witryny Azure Portal pod adresem https://portal.azure.com/ przy użyciu konta platformy Azure.

Interfejs wiersza polecenia platformy Azure

Zaloguj się do platformy Azure przy użyciu az login polecenia w interfejsie wiersza polecenia platformy Azure.

az login

To polecenie spowoduje wyświetlenie monitu przeglądarki internetowej o uruchomienie i załadowanie strony logowania platformy Azure. Jeśli nie można otworzyć przeglądarki, użyj przepływu kodu urządzenia za pomocą polecenia az login --use-device-code. Aby uzyskać więcej opcji logowania, przejdź do strony logowania przy użyciu interfejsu wiersza polecenia platformy Azure.

Tworzenie prywatnego punktu końcowego

Portal

1. W magazynie App Configuration w obszarze Ustawienia wybierz pozycję Sieć.

2. Wybierz kartę Dostęp prywatny, a następnie utwórz , aby rozpocząć konfigurowanie nowego prywatnego punktu końcowego.

   

3. Wypełnij formularz, używając poniższych informacji:

   Parametr	Opis	Przykład
   Subskrypcja	Wybierz subskrypcję platformy Azure. Prywatny punkt końcowy musi znajdować się w tej samej subskrypcji co sieć wirtualna. W dalszej części tego przewodnika z instrukcjami wybierzesz sieć wirtualną.	MyAzureSubscription
   Grupa zasobów	Wybierz grupę zasobów lub utwórz nową.	MyResourceGroup
   Nazwisko	Wprowadź unikatową nazwę nowego prywatnego punktu końcowego dla magazynu App Configuration. W przypadku korzystania z witryny Azure Portal nazwa połączenia prywatnego punktu końcowego będzie taka sama jak nazwa prywatnego punktu końcowego. Magazyny usługi App Configuration muszą mieć unikatowe nazwy połączeń prywatnego punktu końcowego.	MyPrivateEndpoint
   Nazwa interfejsu sieciowego	To pole jest wykonywane automatycznie. Opcjonalnie edytuj nazwę interfejsu sieciowego.	MyPrivateEndpoint-nic
   Region (Region)	Wybierz region. Prywatny punkt końcowy musi znajdować się w tym samym regionie co sieć wirtualna.	Środkowe stany USA

   

4. Wybierz pozycję Dalej: Zasób >. Usługa Private Link oferuje opcje tworzenia prywatnych punktów końcowych dla różnych typów zasobów platformy Azure, takich jak serwery SQL, konta usługi Azure Storage lub magazyny usługi App Configuration. Bieżący magazyn usługi App Configuration jest automatycznie wypełniany w polu Zasób , ponieważ jest to zasób, z jakim łączy się prywatny punkt końcowy.

   1. Typ zasobu Microsoft.AppConfiguration/configurationStores i docelowa konfiguracja podźródłaStoreswskazują, że tworzysz punkt końcowy dla magazynu usługi App Configuration.

   2. Nazwa magazynu konfiguracji jest wyświetlana w obszarze Zasób.

   

5. Wybierz pozycję Dalej: Sieć wirtualna >.

   1. Wybierz istniejącą sieć wirtualną, aby wdrożyć prywatny punkt końcowy. Jeśli nie masz sieci wirtualnej, utwórz sieć wirtualną.

   2. Wybierz podsieć z listy.

   3. Pozostaw pole Włącz zasady sieciowe dla wszystkich prywatnych punktów końcowych w tej podsieci zaznaczone.

   4. W obszarze Konfiguracja prywatnego adresu IP wybierz opcję dynamicznego przydzielania adresów IP. Aby uzyskać więcej informacji, zobacz Prywatne adresy IP.

   5. Opcjonalnie możesz wybrać lub utworzyć grupę zabezpieczeń Aplikacji. Grupy zabezpieczeń aplikacji umożliwiają grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.

   

6. Wybierz pozycję Dalej: DNS > , aby skonfigurować rekord DNS. Jeśli nie chcesz wprowadzać zmian w ustawieniach domyślnych, możesz przejść do następnej karty.

   1. W obszarze Integracja z prywatną strefą DNS wybierz pozycję Tak , aby zintegrować prywatny punkt końcowy z prywatną strefą DNS. Możesz również użyć własnych serwerów DNS lub utworzyć rekordy DNS przy użyciu plików hosta na maszynach wirtualnych.

   2. Subskrypcja i grupa zasobów dla prywatnej strefy DNS są wstępnie wybierane. Możesz je opcjonalnie zmienić.

   

   Aby dowiedzieć się więcej na temat konfiguracji dns, przejdź do tematu Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure i konfiguracji DNS dla prywatnych punktów końcowych.

7. Wybierz pozycję Dalej: Tagi > i opcjonalnie utwórz tagi. Tagi to pary nazw i wartości umożliwiające kategoryzowanie zasobów oraz wyświetlanie skonsolidowanych informacji na temat rozliczeń przez zastosowanie tego samego tagu względem wielu zasobów i grup zasobów.

   

8. Wybierz pozycję Dalej: Przejrzyj i utwórz > , aby przejrzeć informacje o magazynie usługi App Configuration, prywatnym punkcie końcowym, sieci wirtualnej i systemie DNS. Możesz również wybrać pozycję Pobierz szablon do automatyzacji , aby użyć ponownie danych JSON z tego formularza później.

   

9. Wybierz pozycję Utwórz.

Po zakończeniu wdrażania otrzymasz powiadomienie o utworzeniu punktu końcowego. Jeśli zostanie ona automatycznie zatwierdzona, możesz rozpocząć dostęp do magazynu konfiguracji aplikacji prywatnie. W przeciwnym razie trzeba będzie poczekać na zatwierdzenie.

Interfejs wiersza polecenia platformy Azure

1. Aby skonfigurować prywatny punkt końcowy, potrzebujesz sieci wirtualnej. Jeśli jeszcze go nie masz, utwórz sieć wirtualną za pomocą polecenia az network vnet create. Zastąp tekst zastępczy <vnet-name>, <rg-name>i <subnet-name> nazwą nowej sieci wirtualnej, nazwą grupy zasobów i nazwą podsieci.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Symbol zastępczy	opis	Przykład
   <vnet-name>	Wprowadź nazwę nowej sieci wirtualnej. Sieć wirtualna umożliwia zasobom platformy Azure prywatną komunikację ze sobą i z Internetem.	MyVNet
   <rg-name>	Wprowadź nazwę istniejącej grupy zasobów dla sieci wirtualnej.	MyResourceGroup
   <subnet-name>	Wprowadź nazwę nowej podsieci. Podsieć to sieć wewnątrz sieci. W tym miejscu jest przypisywany prywatny adres IP.	MySubnet
   <vnet-location>	Wprowadź region świadczenia usługi Azure. Sieć wirtualna musi znajdować się w tym samym regionie co prywatny punkt końcowy.	centralus

2. Uruchom polecenie az appconfig show , aby pobrać właściwości magazynu App Configuration, dla którego chcesz skonfigurować dostęp prywatny. Zastąp symbol zastępczy name nazwą lub magazynem App Configuration.

   az appconfig show --name <name>
   

   To polecenie generuje dane wyjściowe z informacjami o magazynie usługi App Configuration. Zanotuj wartość identyfikatora. Na przykład: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Uruchom polecenie az network private-endpoint create , aby utworzyć prywatny punkt końcowy dla magazynu usługi App Configuration. Zastąp tekst zastępczy <resource-group>, , <private-endpoint-name>, <vnet-name><private-connection-resource-id>, <connection-name>i <location> własnymi informacjami.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Symbol zastępczy	opis	Przykład
   <resource-group>	Wprowadź nazwę istniejącej grupy zasobów dla prywatnego punktu końcowego.	MyResourceGroup
   <private-endpoint-name>	Wprowadź nazwę nowego prywatnego punktu końcowego.	MyPrivateEndpoint
   <vnet-name>	Wprowadź nazwę istniejącej sieci wirtualnej.	Myvnet
   <private-connection-resource-id>	Wprowadź identyfikator zasobu połączenia prywatnego magazynu usługi App Configuration. Ten identyfikator został zapisany z danych wyjściowych poprzedniego kroku.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Wprowadź nazwę połączenia. Magazyny usługi App Configuration muszą mieć unikatowe nazwy połączeń prywatnego punktu końcowego.	MyConnection
   <location>	Wprowadź region świadczenia usługi Azure. Prywatny punkt końcowy musi znajdować się w tym samym regionie co sieć wirtualna.	centralus

Zarządzanie połączeniem łącza prywatnego

Portal

Przejdź do obszaru Dostęp prywatny do sieci>w magazynie usługi App Configuration, aby uzyskać dostęp do prywatnych punktów końcowych połączonych ze sklepem App Configuration.

1. Sprawdź stan połączenia połączenia prywatnego. Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu i masz wystarczające uprawnienia, żądanie połączenia zostanie automatycznie zatwierdzone. W przeciwnym razie musisz poczekać na zatwierdzenie żądania połączenia przez właściciela tego zasobu. Aby uzyskać więcej informacji na temat modeli zatwierdzania połączeń, zobacz Zarządzanie prywatnymi punktami końcowymi platformy Azure.

2. Aby ręcznie zatwierdzić, odrzucić lub usunąć połączenie, zaznacz pole wyboru obok punktu końcowego, który chcesz edytować, i wybierz element akcji z górnego menu.

   

3. Wybierz nazwę prywatnego punktu końcowego, aby otworzyć zasób prywatnego punktu końcowego i uzyskać dostęp do dodatkowych informacji lub edytować prywatny punkt końcowy.

Interfejs wiersza polecenia platformy Azure

Przeglądanie szczegółów połączenia prywatnego punktu końcowego

Uruchom polecenie az network private-endpoint-connection list, aby przejrzeć wszystkie połączenia prywatnego punktu końcowego połączone ze sklepem App Configuration i sprawdzić ich stan połączenia. Zastąp tekst resource-group zastępczy i <app-config-store-name> nazwą grupy zasobów oraz nazwą magazynu.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Opcjonalnie, aby uzyskać szczegółowe informacje o określonym prywatnym punkcie końcowym, użyj polecenia az network private-endpoint-connection show . Zastąp tekst resource-group zastępczy i app-config-store-name nazwą grupy zasobów oraz nazwą magazynu.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Uzyskiwanie zatwierdzenia połączenia

Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu i masz wystarczające uprawnienia, żądanie połączenia zostanie automatycznie zatwierdzone. W przeciwnym razie musisz poczekać na zatwierdzenie żądania połączenia przez właściciela tego zasobu.

Aby zatwierdzić połączenie prywatnego punktu końcowego, użyj polecenia az network private-endpoint-connection approve . Zastąp tekst zastępczy resource-group, private-endpointi <app-config-store-name> nazwą grupy zasobów, nazwą prywatnego punktu końcowego i nazwą magazynu.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Aby uzyskać więcej informacji na temat modeli zatwierdzania połączeń, zobacz Zarządzanie prywatnymi punktami końcowymi platformy Azure.

Usuwanie połączenia prywatnego punktu końcowego

Aby usunąć połączenie prywatnego punktu końcowego, użyj polecenia az network private-endpoint-connection delete . Zastąp tekst resource-group zastępczy i private-endpoint nazwą grupy zasobów oraz nazwą prywatnego punktu końcowego.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Aby uzyskać więcej poleceń interfejsu wiersza polecenia, przejdź do polecenia az network private-endpoint-connection

Jeśli masz problemy z prywatnym punktem końcowym, zapoznaj się z następującym przewodnikiem: Rozwiązywanie problemów z łącznością z prywatnym punktem końcowym platformy Azure.

Następne kroki

Używanie prywatnych punktów końcowych na potrzeby konfiguracji aplikacja systemu Azure

Wyłączanie dostępu publicznego w konfiguracji aplikacja systemu Azure