Настройка частной конечной точки в Статических веб-приложениях Azure
Частную конечную точку (которую также называют приватным каналом) можно использовать для ограничения доступа к статическому веб-приложению, чтобы обратиться к нему можно было только из частной сети.
Как это работает
Виртуальная сеть Azure — это точно такая же сеть, как та, что может использоваться в традиционном центре обработки данных, однако ресурсы в виртуальной сети безопасно взаимодействуют друг с другом в магистральной сети Майкрософт.
Настройка Статических веб-приложений с помощью частной конечной точки позволяет использовать частный IP-адрес из виртуальной сети. После создания такой ссылки статическое веб-приложение интегрируется в виртуальную сеть. В результате к статическому веб-приложению больше нельзя обращаться из общедоступного Интернета — теперь оно доступно только на компьютерах в виртуальной сети Azure.
Примечание.
Размещение приложения за частной конечной точкой означает, что оно доступно только в регионе, в котором находится виртуальная сеть. В результате приложение больше не доступно в нескольких точках входа в сеть.
Если в приложении включена частная конечная точка, сервер отвечает с 403 кодом состояния, если запрос поступает из общедоступного IP-адреса. Это поведение применяется как к рабочей среде, так и к любым промежуточным средам. Единственный способ связаться с приложением — использовать частную конечную точку, развернутую в виртуальной сети.
Разрешение DNS по умолчанию статического веб-приложения по-прежнему существует и направляется на общедоступный IP-адрес. Частная конечная точка предоставляет 2 IP-адреса в виртуальной сети, одну для рабочей среды и одну для любых промежуточных сред. Чтобы убедиться, что клиент может правильно связаться с приложением, убедитесь, что клиент разрешает имя узла приложения на соответствующий IP-адрес частной конечной точки. Это необходимо для имени узла по умолчанию, а также для всех пользовательских доменов, настроенных для статического веб-приложения. Это разрешение выполняется автоматически при выборе частной зоны DNS при создании частной конечной точки (см. пример ниже) и рекомендуемом решении.
Если вы подключаетесь из локальной среды или не хотите использовать частную зону DNS, вручную настройте записи DNS для приложения, чтобы запросы перенаправлялись на соответствующий IP-адрес частной конечной точки. Дополнительные сведения о разрешении DNS частной конечной точки см. здесь.
Примечание.
Частные конечные точки ограничивают входящий трафик, поступающий на веб-сайт, в определенную виртуальную сеть. Они не применяются к развертываниям новых ресурсов сайта.
Необходимые компоненты
- Учетная запись Azure с активной подпиской.
- Виртуальная сеть Azure.
- Приложение, развернутое со Статическими веб-приложениями Azure, которые используют план размещения "Стандартный".
Создание частной конечной точки
В этом разделе вам предстоит создать частную конечную точку для статического веб-приложения.
Важно!
Чтобы можно было использовать частные конечные точки, необходимо развернуть статическое веб-приложение в плане размещения "Стандартный". Изменить план размещения можно с помощью параметра План размещения в боковом меню.
Откройте статическое веб-приложение на портале.
Выберите параметр Частные конечные точки в боковом меню.
Выберите Добавить.
В диалоговом окне "Добавление частной конечной точки" укажите следующие сведения.
Параметр Значение Имя Введите myPrivateEndpoint. Отток подписок Выберите свою подписку. Виртуальная сеть Выберите свою виртуальную сеть. Подсеть Выберите подсеть. Интегрировать с частной зоной DNS Не изменяйте значение по умолчанию Да. 
Выберите ОК
Примечание.
Имя частной зоны DNS зависит от суффикса доменного имени по умолчанию статического веб-приложения. Например, если используется 3.azurestaticapps.netсуффикс домена по умолчанию для приложения, имя частной зоны DNS имеет значение privatelink.3.azurestaticapps.net. При создании нового статического веб-приложения суффикс домена по умолчанию может отличаться от суффикса домена по умолчанию предыдущих статических веб-приложений. При использовании автоматического процесса развертывания для создания частной зоны DNS можно использовать DefaultHostname свойство в приложении для программного извлечения суффикса домена. DefaultHostname Значение свойства напоминает <STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX>.<PARTITION_ID>.azurestaticapps.net или STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX.azurestaticapps.net. Суффикс домена по умолчанию похож <PARTITION_ID>.azurestaticapps.net или azurestaticapps.net.
Тестирование частной конечной точки
Так как приложение больше не является общедоступным, получить к нему доступ можно только из виртуальной сети. Чтобы проверить, настройте виртуальную машину внутри виртуальной сети и перейдите на сайт.