Использование частных конечных точек для службы "Конфигурация приложений Azure"

  • Статья

Вы можете использовать частные конечные точки для учетных записей службы "Конфигурация приложений Azure", чтобы клиенты в виртуальной сети могли безопасно обращаться к данным по приватному каналу. Частная конечная точка использует IP-адрес из адресного пространства виртуальной сети для вашего хранилища "Конфигурация приложений". Сетевой трафик между клиентами из виртуальной сети и хранилищем "Конфигурация приложений" проходит через виртуальную сеть, используя приватный канал в магистральной сети Майкрософт, что позволяет избежать доступа из открытого Интернета.

Использование частных конечных точек для хранилища "Конфигурация приложений" позволяет:

  • Защита сведений о конфигурации приложения путем настройки брандмауэра таким образом, чтобы он блокировал все подключения к службе "Конфигурация приложений" в общедоступной конечной точке.
  • Повысьте уровень безопасности для виртуальной сети, чтобы данные не выходили из виртуальной сети.
  • Безопасное подключение к хранилищу "Конфигурация приложений" из локальных сетей, которые подключаются к виртуальной сети VPN или ExpressRoute с частным пирингом.

Общие сведения

Частная конечная точка — это особый сетевой интерфейс для службы Azure в виртуальной сети. При создании частной конечной точки для хранилища "Конфигурация приложений" обеспечивается безопасное подключение между клиентами в виртуальной сети и хранилищем конфигураций. Частной конечной точке назначается IP-адрес из диапазона IP-адресов вашей виртуальной сети. Подключение между частной конечной точкой и хранилищем конфигураций использует защищенный приватный канал.

Приложения в виртуальной сети могут подключаться к хранилищу конфигураций через частную конечную точку, используя те же строки подключения и механизмы авторизации, которые они использовали бы в иных случаях. Частные конечные точки можно использовать со всеми протоколами, поддерживаемыми хранилищем "Конфигурация приложений".

В то время как служба "Конфигурация приложений" не поддерживает конечные точки службы, частные конечные точки можно создавать в подсетях, использующих конечные точки служб. Клиенты в подсети могут безопасно подключаться к хранилищу "Конфигурация приложений" с помощью частной конечной точки, а также использовать конечные точки службы для доступа к другим клиентам.

Когда вы создаете в виртуальной сети частную конечную точку для службы, соответствующий запрос на предоставление согласия отправляется владельцу учетной записи службы. Если пользователь, запрашивающий создание частной конечной точки, одновременно является владельцем учетной записи, запрос на согласие утверждается автоматически.

Владельцы учетных записей служб могут управлять запросами на согласие и частными конечными точками через вкладку Private Endpoints хранилища "Конфигурация приложений" на портале Azure.

Частные конечные точки для хранилища "Конфигурация приложений"

При создании частной конечной точки необходимо указать хранилище "Конфигурация приложений", к которому она подключается. Если включить гео-реплика для хранилища Конфигурация приложений, можно подключиться ко всем реплика хранилища с помощью одной частной конечной точки. Если у вас есть несколько экземпляров хранилища "Конфигурация приложений", для каждого хранилища потребуется отдельная частная конечная точка.

Подключение к частным конечным точкам

Azure полагается на разрешение DNS для маршрутизации подключений из виртуальной сети в хранилище конфигураций по приватному каналу. Строки подключений можно быстро найти на портале Azure, выбрав свое хранилище "Конфигурации приложений", а затем выбрав Настройки>Ключи доступа.

Важно!

Используйте ту же строку подключения для подключения к хранилищу "Конфигурация приложений" с помощью частных конечных точек, что и для общедоступной конечной точки. Не подключайтесь к хранилищу, используя URL-адрес его поддомена privatelink.

Примечание.

По умолчанию, когда частная конечная точка добавляется в хранилище "Конфигурация приложений", все запросы к данным Конфигурации приложений через общедоступную сеть отклоняются. Также можно включить доступ к общедоступной сети, используя следующую команду Azure CLI. Важно учитывать то, какое влияние оказывает включение доступа к общедоступной сети в этом сценарии на безопасность.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

Изменения DNS для частных конечных точек

При создании частной конечной точки запись ресурса DNS CNAME для хранилища конфигураций обновляется и получает псевдоним в поддомене с префиксом privatelink. Azure также создает частную зону DNS, соответствующую поддомену privatelink, с записями ресурсов DNS A для частных конечных точек. Включение гео-реплика tion создает отдельные записи DNS для каждой реплика с уникальными IP-адресами в частной зоне DNS.

При разрешении URL-адреса конечной точки из виртуальной сети, в которой размещается частная конечная точка, он разрешается в частную конечную точку хранилища. При разрешении из внешней виртуальной сети URL-адрес конечной точки разрешается в общедоступную конечную точку. При создании частной конечной точки общедоступная конечная точка отключается.

Если вы используете пользовательский DNS-сервер в сети, необходимо настроить его для делегирования privatelink поддомена частной зоне DNS для виртуальной сети. Кроме того, вы можете настроить записи A для URL-адресов приватного канала магазина, которые имеют [Your-store-name].privatelink.azconfig.io значение или [Your-store-name]-[replica-name].privatelink.azconfig.io если включена гео реплика tion, с уникальными частными IP-адресами частной конечной точки.

Цены

Для включения частных конечных точек требуется хранилище "Конфигурации приложений" уровня "Стандартный". Дополнительные сведения о ценах на приватный канал см. на странице Цены на приватный канал Azure.

Следующие шаги

Дополнительные сведения о создании частной конечной точки для хранилища "Конфигурации приложений" см. в следующих статьях:

Узнайте, как настроить DNS-сервер с помощью частных конечных точек: