Usando pontos de extremidade privados para a Configuração de Aplicativo do Azure

Você pode usar pontos de extremidade privados para a Configuração de Aplicativo do Azure para permitir que clientes em uma rede virtual (VNet) acessem dados com segurança por meio de um link privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço VNet para sua loja de configuração de aplicativos. O tráfego de rede entre os clientes na VNet e na App Configuration Store atravessa a VNet usando um link privado na rede de backbone da Microsoft, eliminando a exposição à Internet pública.

A utilização de pontos de extremidade privados para a sua loja de Configuração de Aplicações permite-lhe:

• Proteja os detalhes de configuração do aplicativo configurando o firewall para bloquear todas as conexões com a Configuração do Aplicativo no ponto de extremidade público.
• Aumente a segurança da rede virtual (VNet) garantindo que os dados não escapem da VNet.
• Conecte-se com segurança à loja de Configuração de Aplicativos a partir de redes locais que se conectam à VNet usando VPN ou ExpressRoutes com emparelhamento privado.

Descrição geral conceptual

Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua Rede Virtual (VNet). Quando você cria um ponto de extremidade privado para sua loja de configuração de aplicativos, ele fornece conectividade segura entre clientes em sua rede virtual e seu repositório de configuração. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP da sua rede virtual. A conexão entre o ponto de extremidade privado e o armazenamento de configuração usa um link privado seguro.

Os aplicativos na VNet podem se conectar ao repositório de configuração pelo ponto de extremidade privado usando as mesmas cadeias de conexão e mecanismos de autorização que usariam de outra forma. Os endpoints privados podem ser usados com todos os protocolos suportados pela App Configuration Store.

Embora a Configuração de Aplicativo não ofereça suporte a pontos de extremidade de serviço, pontos de extremidade privados podem ser criados em sub-redes que usam Pontos de Extremidade de Serviço. Os clientes em uma sub-rede podem se conectar com segurança a uma loja de configuração de aplicativos usando o ponto de extremidade privado enquanto usam pontos de extremidade de serviço para acessar outros.

Quando você cria um ponto de extremidade privado para um serviço em sua rede virtual, uma solicitação de consentimento é enviada para aprovação ao proprietário da conta de serviço. Se o usuário que solicita a criação do ponto de extremidade privado também for proprietário da conta, essa solicitação de consentimento será aprovada automaticamente.

Os proprietários de contas de serviço podem gerir pedidos de consentimento e pontos de extremidade privados através do Private Endpoints separador da Loja de Configuração de Aplicações no portal do Azure.

Pontos de extremidade privados para configuração de aplicativos

Ao criar um ponto de extremidade privado, você deve especificar a loja de Configuração de Aplicativo à qual ele se conecta. Se você habilitar a replicação geográfica para uma loja de Configuração de Aplicativo, poderá se conectar a todas as réplicas da loja usando o mesmo ponto de extremidade privado. Se você tiver várias lojas de Configuração de Aplicativos, precisará de um ponto de extremidade privado separado para cada loja.

Ligação a terminais privados

O Azure depende da resolução DNS para rotear conexões da rede virtual para o repositório de configuração por meio de um link privado. Pode encontrar rapidamente cadeias de ligação no portal do Azure selecionando a sua loja de Configuração de Aplicações e, em seguida, selecionando Definições>de Chaves de Acesso.

Importante

Use a mesma cadeia de conexão para se conectar à sua loja de configuração de aplicativos usando pontos de extremidade privados como você usaria para um ponto de extremidade público. Não se conecte à loja usando o URL do subdomínio privatelink .

Nota

Por padrão, quando um ponto de extremidade privado é adicionado à sua loja de Configuração de Aplicativos, todas as solicitações de dados de Configuração de Aplicativo pela rede pública são negadas. Você pode habilitar o acesso à rede pública usando o seguinte comando da CLI do Azure. É importante considerar as implicações de segurança de habilitar o acesso à rede pública nesse cenário.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

Alterações de DNS para pontos de extremidade privados

Quando você cria um ponto de extremidade privado, o registro de recurso CNAME DNS para o repositório de configuração é atualizado para um alias em um subdomínio com o prefixo privatelink. O Azure também cria uma zona DNS privada correspondente ao privatelink subdomínio, com os registos de recursos DNS A para os pontos de extremidade privados. A habilitação da replicação geográfica cria registros DNS separados para cada réplica com endereços IP exclusivos na zona DNS privada.

Quando você resolve a URL do ponto de extremidade de dentro da VNet que hospeda o ponto de extremidade privado, ela é resolvida para o ponto de extremidade privado do armazenamento. Quando resolvido de fora da rede virtual, a URL do ponto de extremidade é resolvida para o ponto de extremidade público. Quando você cria um ponto de extremidade privado, o ponto de extremidade público é desabilitado.

Se você estiver usando um servidor DNS personalizado em sua rede, precisará configurá-lo para delegar seu privatelink subdomínio à zona DNS privada para a rede virtual. Como alternativa, você pode configurar os registros A para as URLs de link privado da sua loja, que são ou [Your-store-name].privatelink.azconfig.io[Your-store-name]-[replica-name].privatelink.azconfig.io se a replicação geográfica estiver habilitada, com endereços IP privados exclusivos do ponto de extremidade privado.

Definição de Preços

A habilitação de pontos de extremidade privados requer uma loja de Configuração de Aplicativo de camada Padrão. Para saber mais sobre os detalhes de preços de links privados, consulte Preços de links privados do Azure.

Próximos passos

Saiba mais sobre como criar um ponto de extremidade privado para sua loja de configuração de aplicativos, consulte os seguintes artigos:

• Criar um ponto de extremidade privado usando o Centro de Link Privado no portal do Azure
• Criar um ponto de extremidade privado usando a CLI do Azure
• Criar um ponto de extremidade privado usando o Azure PowerShell

Aprenda a configurar seu servidor DNS com pontos de extremidade privados:

• Name resolution for resources in Azure virtual networks (Resolução de nomes para recursos em redes virtuais do Azure)
• Configuração de DNS para pontos de extremidade privados