Använda privata slutpunkter för Azure App Configuration

Du kan använda privata slutpunkter för Azure App Configuration för att tillåta klienter i ett virtuellt nätverk (VNet) att på ett säkert sätt komma åt data via en privat länk. Den privata slutpunkten använder en IP-adress från VNet-adressutrymmet för appkonfigurationsarkivet. Nätverkstrafiken mellan klienterna i det virtuella nätverket och appkonfigurationsarkivet passerar över det virtuella nätverket med hjälp av en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen för det offentliga Internet.

Med privata slutpunkter för appkonfigurationsarkivet kan du:

• Skydda programkonfigurationsinformationen genom att konfigurera brandväggen för att blockera alla anslutningar till App Configuration på den offentliga slutpunkten.
• Öka säkerheten för det virtuella nätverket (VNet) så att data inte kommer från det virtuella nätverket.
• Anslut säkert till App Configuration Store från lokala nätverk som ansluter till det virtuella nätverket med VPN eller ExpressRoutes med privat peering.

Begreppsmässig översikt

En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk (VNet). När du skapar en privat slutpunkt för appkonfigurationsarkivet ger det säker anslutning mellan klienter i ditt virtuella nätverk och konfigurationsarkivet. Den privata slutpunkten tilldelas en IP-adress från IP-adressintervallet för ditt virtuella nätverk. Anslutningen mellan den privata slutpunkten och konfigurationsarkivet använder en säker privat länk.

Program i det virtuella nätverket kan ansluta till konfigurationsarkivet via den privata slutpunkten med samma anslutningssträng och auktoriseringsmekanismer som de annars skulle använda. Privata slutpunkter kan användas med alla protokoll som stöds av App Configuration Store.

Även om App Configuration inte stöder tjänstslutpunkter kan privata slutpunkter skapas i undernät som använder tjänstslutpunkter. Klienter i ett undernät kan ansluta säkert till ett appkonfigurationsarkiv med hjälp av den privata slutpunkten när de använder tjänstslutpunkter för att få åtkomst till andra.

När du skapar en privat slutpunkt för en tjänst i ditt virtuella nätverk skickas en begäran om medgivande för godkännande till ägaren av tjänstkontot. Om användaren som begär att den privata slutpunkten ska skapas också är ägare till kontot godkänns begäran om medgivande automatiskt.

Tjänstkontoägare kan hantera begäranden om medgivande och privata slutpunkter via Private Endpoints fliken i App Configuration Store i Azure-portalen.

Privata slutpunkter för appkonfiguration

När du skapar en privat slutpunkt måste du ange appkonfigurationsarkivet som den ansluter till. Om du aktiverar geo-replikering för ett appkonfigurationsarkiv kan du ansluta till alla repliker i butiken med samma privata slutpunkt. Om du har flera App Configuration-butiker behöver du en separat privat slutpunkt för varje butik.

Anslut till privata slutpunkter

Azure förlitar sig på DNS-matchning för att dirigera anslutningar från det virtuella nätverket till konfigurationsarkivet via en privat länk. Du kan snabbt hitta anslutningssträngar i Azure-portalen genom att välja appkonfigurationsarkivet och sedan välja Inställningar> Åtkomstnycklar.

Viktigt!

Använd samma anslutningssträng för att ansluta till appkonfigurationsarkivet med privata slutpunkter som du skulle använda för en offentlig slutpunkt. Anslut inte till arkivet med dess privatelink underdomän-URL.

Kommentar

När en privat slutpunkt läggs till i appkonfigurationsarkivet nekas som standard alla begäranden om dina appkonfigurationsdata via det offentliga nätverket. Du kan aktivera åtkomst till offentligt nätverk med hjälp av följande Azure CLI-kommando. Det är viktigt att tänka på säkerhetskonsekvenserna av att aktivera åtkomst till offentliga nätverk i det här scenariot.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

DNS-ändringar för privata slutpunkter

När du skapar en privat slutpunkt uppdateras DNS CNAME-resursposten för konfigurationsarkivet till ett alias i en underdomän med prefixet privatelink. Azure skapar också en privat DNS-zon som motsvarar underdomänen privatelink , med DNS A-resursposterna för de privata slutpunkterna. Om du aktiverar geo-replikering skapas separata DNS-poster för varje replik med unika IP-adresser i den privata DNS-zonen.

När du löser slutpunkts-URL:en inifrån det virtuella nätverket som är värd för den privata slutpunkten matchas den mot butikens privata slutpunkt. När den matchas utanför det virtuella nätverket matchas slutpunkts-URL:en till den offentliga slutpunkten. När du skapar en privat slutpunkt inaktiveras den offentliga slutpunkten.

Om du använder en anpassad DNS-server i nätverket måste du konfigurera den för att delegera underdomänen privatelink till den privata DNS-zonen för det virtuella nätverket. Du kan också konfigurera A-posterna för butikens privata länk-URL:er, som antingen [Your-store-name].privatelink.azconfig.io är eller [Your-store-name]-[replica-name].privatelink.azconfig.io om geo-replikering är aktiverad, med unika privata IP-adresser för den privata slutpunkten.

Prissättning

För att aktivera privata slutpunkter krävs ett appkonfigurationsarkiv på standardnivå . Mer information om priser för privata länkar finns i Priser för Azure Private Link.

Nästa steg

Läs mer om hur du skapar en privat slutpunkt för appkonfigurationsarkivet i följande artiklar:

• Skapa en privat slutpunkt med Private Link Center i Azure-portalen
• Skapa en privat slutpunkt med Hjälp av Azure CLI
• Skapa en privat slutpunkt med Azure PowerShell

Lär dig hur du konfigurerar DNS-servern med privata slutpunkter:

• Namnmatchning för resurser i virtuella nätverk i Azure
• DNS-konfiguration för privata slutpunkter