Konfigurowanie dostępu prywatnego w usłudze Azure App Configuration

W tym artykule dowiesz się, jak skonfigurować dostęp prywatny dla magazynu usługi Azure App Configuration, tworząc prywatny punkt końcowy z wykorzystaniem usługi Azure Private Link. Prywatne punkty końcowe umożliwiają dostęp do sklepu App Configuration przy użyciu prywatnego adresu IP z sieci wirtualnej.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Załóżmy, że masz już sklep App Configuration. Jeśli chcesz go utworzyć, przejdź do utwórz sklep App Configuration.

Zaloguj się na platformie Azure

Aby uzyskać dostęp do usługi App Configuration, musisz najpierw zalogować się na platformie Azure.

Portal

Zaloguj się do witryny Azure Portal pod adresem https://portal.azure.com/ przy użyciu konta platformy Azure.

"Azure CLI"

Zaloguj się do platformy Azure przy użyciu az login polecenia w interfejsie wiersza polecenia platformy Azure.

az login

To polecenie spowoduje wyświetlenie monitu przeglądarki internetowej o uruchomienie i załadowanie strony logowania platformy Azure. Jeśli nie można otworzyć przeglądarki, użyj przepływu kodu urządzenia przy użyciu az login --use-device-code. Aby uzyskać więcej opcji logowania, przejdź do strony logowania przy użyciu interfejsu wiersza polecenia platformy Azure.

Tworzenie prywatnego punktu końcowego

Portal

1. W magazynie App Configuration w obszarze Ustawienia wybierz pozycję Sieć.

2. Wybierz kartę Dostęp prywatny , a następnie utwórz , aby rozpocząć konfigurowanie nowego prywatnego punktu końcowego.

   

3. Wypełnij formularz, używając poniższych informacji:

   Parametr	Opis	Przykład
   Subskrypcja	Wybierz subskrypcję platformy Azure. Prywatny punkt końcowy musi znajdować się w tej samej subskrypcji co sieć wirtualna. W dalszej części tego przewodnika z instrukcjami wybierzesz sieć wirtualną.	MyAzureSubscription
   Grupa zasobów	Wybierz grupę zasobów lub utwórz nową.	MyResourceGroup
   Nazwa	Wprowadź unikalną nazwę dla nowego prywatnego punktu końcowego magazynu App Configuration. W przypadku korzystania z witryny Azure Portal nazwa połączenia prywatnego punktu końcowego będzie taka sama jak nazwa prywatnego punktu końcowego. Konfiguracje usługi App Configuration muszą mieć unikatowe nazwy połączeń prywatnego punktu końcowego.	MyPrivateEndpoint
   Nazwa interfejsu sieciowego	To pole jest wypełniane automatycznie. Opcjonalnie edytuj nazwę interfejsu sieciowego.	MyPrivateEndpoint-nic
   Rejon	Wybierz region. Prywatny punkt końcowy musi znajdować się w tym samym regionie co sieć wirtualna.	Środkowe stany USA

   

4. Wybierz pozycję Dalej: Zasób >. Usługa Private Link oferuje opcje tworzenia prywatnych punktów końcowych dla różnych typów zasobów platformy Azure, takich jak serwery SQL, konta usługi Azure Storage lub magazyny usługi App Configuration. Bieżący sklep konfiguracji aplikacji jest automatycznie wypełniany w polu Zasób, ponieważ to właśnie do tego zasobu łączy się prywatny punkt końcowy.

   1. Typ zasobu Microsoft.AppConfiguration/configurationStores i docelowy podzasób configurationStores wskazują, że tworzysz punkt końcowy dla magazynu konfiguracji aplikacji.

   2. Nazwa magazynu konfiguracji jest wyświetlana w obszarze Zasób.

   

5. Wybierz pozycję Dalej: Sieć wirtualna >.

   1. Wybierz istniejącą sieć wirtualną, aby wdrożyć prywatny punkt końcowy. Jeśli nie masz sieci wirtualnej, utwórz sieć wirtualną.

   2. Wybierz podsieć z listy.

   3. Pozostaw pole Włącz zasady sieciowe dla wszystkich prywatnych punktów końcowych w tej podsieci zaznaczone.

   4. W obszarze Konfiguracja prywatnego adresu IP wybierz opcję dynamicznego przydzielania adresów IP. Aby uzyskać więcej informacji, zobacz Prywatne adresy IP.

   5. Opcjonalnie możesz wybrać lub utworzyć grupę zabezpieczeń Aplikacji. Grupy zabezpieczeń aplikacji umożliwiają grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.

   

6. Wybierz pozycję Dalej: DNS > , aby skonfigurować rekord DNS. Jeśli nie chcesz wprowadzać zmian w ustawieniach domyślnych, możesz przejść do następnej karty.

   1. W obszarze Integracja z prywatną strefą DNS wybierz pozycję Tak , aby zintegrować prywatny punkt końcowy z prywatną strefą DNS. Możesz również użyć własnych serwerów DNS lub utworzyć rekordy DNS przy użyciu plików hosta na maszynach wirtualnych.

   2. Subskrypcja i grupa zasobów dla prywatnej strefy DNS są już wybrane. Możesz je opcjonalnie zmienić.

   

   Aby dowiedzieć się więcej na temat konfiguracji dns, przejdź do tematu Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure i konfiguracji DNS dla prywatnych punktów końcowych.

7. Wybierz pozycję Dalej: Tagi > i opcjonalnie utwórz tagi. Tagi to pary nazw i wartości umożliwiające kategoryzowanie zasobów oraz wyświetlanie skonsolidowanych informacji na temat rozliczeń przez zastosowanie tego samego tagu względem wielu zasobów i grup zasobów.

   

8. Wybierz Dalej: Przejrzyj + Utwórz>, aby przejrzeć informacje o sklepie App Configuration, prywatnym punkcie końcowym, sieci wirtualnej i systemie DNS. Możesz również wybrać pozycję Pobierz szablon do automatyzacji , aby użyć ponownie danych JSON z tego formularza później.

   

9. Wybierz Utwórz.

Po zakończeniu wdrażania otrzymasz powiadomienie o utworzeniu punktu końcowego. Jeśli zostanie ona automatycznie zatwierdzona, możesz rozpocząć dostęp do magazynu konfiguracji aplikacji prywatnie. W przeciwnym razie trzeba będzie poczekać na zatwierdzenie.

"Azure CLI"

1. Aby skonfigurować prywatny punkt końcowy, potrzebujesz sieci wirtualnej. Jeśli jeszcze go nie posiadasz, utwórz sieć wirtualną za pomocą az network vnet create. Zastąp tekst zastępczy <vnet-name>, <rg-name>i <subnet-name> nazwą nowej sieci wirtualnej, nazwą grupy zasobów i nazwą podsieci.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Element zastępczy	Opis	Przykład
   <vnet-name>	Wprowadź nazwę nowej sieci wirtualnej. Sieć wirtualna umożliwia zasobom platformy Azure prywatną komunikację ze sobą i z Internetem.	MyVNet
   <rg-name>	Wprowadź nazwę istniejącej grupy zasobów dla sieci wirtualnej.	MyResourceGroup
   <subnet-name>	Wprowadź nazwę nowej podsieci. Podsieć to sieć wewnątrz sieci. W tym miejscu jest przypisywany prywatny adres IP.	MySubnet
   <vnet-location>	Wprowadź region świadczenia usługi Azure. Sieć wirtualna musi znajdować się w tym samym regionie co prywatny punkt końcowy.	centralus

2. Uruchom polecenie az appconfig show , aby pobrać właściwości magazynu App Configuration, dla którego chcesz skonfigurować dostęp prywatny. Zastąp symbol zastępczy name nazwą lub magazynem App Configuration.

   az appconfig show --name <name>
   

   To polecenie generuje wyjściowe informacje o Twoim sklepie App Configuration. Zanotuj wartość identyfikatora . Na przykład: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Uruchom polecenie az network private-endpoint create, aby utworzyć prywatny punkt końcowy dla sklepu usługi App Configuration. Zastąp tekst zastępczy <resource-group>, , <private-endpoint-name>, <vnet-name><private-connection-resource-id>, <connection-name>i <location> własnymi informacjami.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Element zastępczy	Opis	Przykład
   <resource-group>	Wprowadź nazwę istniejącej grupy zasobów dla prywatnego punktu końcowego.	MyResourceGroup
   <private-endpoint-name>	Wprowadź nazwę nowego prywatnego punktu końcowego.	MyPrivateEndpoint
   <vnet-name>	Wprowadź nazwę istniejącej sieci wirtualnej.	Myvnet
   <private-connection-resource-id>	Wprowadź identyfikator zasobu połączenia prywatnego sklepu usługi App Configuration. Ten identyfikator został zapisany z danych wyjściowych poprzedniego kroku.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Wprowadź nazwę połączenia. Konfiguracje usługi App Configuration muszą mieć unikatowe nazwy połączeń prywatnego punktu końcowego.	MyConnection
   <location>	Wprowadź region świadczenia usługi Azure. Prywatny punkt końcowy musi znajdować się w tym samym regionie co sieć wirtualna.	centralus

Zarządzanie połączeniem łącza prywatnego

Portal

Przejdź do Sieć>Prywatny dostęp w magazynie App Configuration, aby uzyskać dostęp do prywatnych punktów końcowych połączonych z magazynem App Configuration.

1. Sprawdź stan swojego połączenia prywatnego. Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu i masz wystarczające uprawnienia, żądanie połączenia zostanie automatycznie zatwierdzone. W przeciwnym razie musisz poczekać na zatwierdzenie żądania połączenia przez właściciela tego zasobu. Aby uzyskać więcej informacji na temat modeli zatwierdzania połączeń, zobacz Zarządzanie prywatnymi punktami końcowymi platformy Azure.

2. Aby ręcznie zatwierdzić, odrzucić lub usunąć połączenie, zaznacz pole wyboru obok punktu końcowego, który chcesz edytować, i wybierz element akcji z górnego menu.

   

3. Wybierz nazwę prywatnego punktu końcowego, aby otworzyć zasób prywatnego punktu końcowego i uzyskać dostęp do dodatkowych informacji lub edytować prywatny punkt końcowy.

"Azure CLI"

Przejrzyj szczegóły prywatnego połączenia punktu końcowego

Uruchom polecenie az network private-endpoint-connection list , aby przejrzeć wszystkie połączenia prywatnego punktu końcowego połączone ze sklepem App Configuration i sprawdzić ich stan połączenia. Zastąp teksty zastępcze resource-group i <app-config-store-name> nazwą grupy zasobów oraz nazwą sklepu.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Opcjonalnie, użyj polecenia az network private-endpoint-connection show, aby uzyskać szczegółowe informacje o określonym prywatnym punkcie końcowym. Zastąp teksty zastępcze resource-group i app-config-store-name nazwą grupy zasobów oraz nazwą sklepu.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Uzyskiwanie zatwierdzenia połączenia

Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu i masz wystarczające uprawnienia, żądanie połączenia zostanie automatycznie zatwierdzone. W przeciwnym razie musisz poczekać na zatwierdzenie żądania połączenia przez właściciela tego zasobu.

Aby zatwierdzić połączenie prywatnego punktu końcowego, użyj polecenia az network private-endpoint-connection approve. Zastąp tekst zastępczy resource-group, private-endpointi <app-config-store-name> nazwą grupy zasobów, nazwą prywatnego punktu końcowego i nazwą magazynu.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Aby uzyskać więcej informacji na temat modeli zatwierdzania połączeń, zobacz Zarządzanie prywatnymi punktami końcowymi platformy Azure.

Usuń prywatne połączenie punktu końcowego

Aby usunąć połączenie prywatnego punktu końcowego, użyj polecenia az network private-endpoint-connection delete . Zastąp teksty zastępcze resource-group i private-endpoint nazwą grupy zasobów oraz nazwą prywatnego punktu końcowego.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Aby uzyskać więcej poleceń CLI, zobacz az network private-endpoint-connection

Jeśli masz problemy z prywatnym punktem końcowym, zapoznaj się z następującym przewodnikiem: Rozwiązywanie problemów z łącznością z prywatnym punktem końcowym platformy Azure.

Następne kroki

Używanie prywatnych punktów końcowych dla usługi Azure App Configuration

Wyłącz dostęp publiczny w konfiguracji aplikacji Azure