Konfigurera privat åtkomst i Azure App Configuration

I den här artikeln får du lära dig hur du konfigurerar privat åtkomst för azure appkonfigurationsarkivet genom att skapa en privat slutpunkt med Azure Private Link. Privata slutpunkter ger åtkomst till appkonfigurationsarkivet med hjälp av en privat IP-adress från ett virtuellt nätverk.

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
• Vi antar att du redan har ett appkonfigurationsarkiv. Om du vill skapa ett går du till skapa ett appkonfigurationsarkiv.

Logga in på Azure

Du måste logga in på Azure först för att få åtkomst till App Configuration-tjänsten.

Portal

Logga in på Azure Portal på https://portal.azure.com/ med ditt Azure-konto.

Azure CLI

Logga in på Azure med az login kommandot i Azure CLI.

az login

Det här kommandot uppmanar webbläsaren att starta och läsa in en Azure-inloggningssida. Om webbläsaren inte kan öppnas använder du enhetskodflödet med az login --use-device-code. Om du vill ha fler inloggningsalternativ går du till logga in med Azure CLI.

Skapa en privat slutpunkt

Portal

1. I appkonfigurationsarkivet går du till Inställningar och väljer Nätverk.

2. Välj fliken Privat åtkomst och sedan Skapa för att börja konfigurera en ny privat slutpunkt.

   

3. Fyll i formuläret med följande information:

   Parameter	Description	Exempel
   Prenumeration	Välj en Azure-prenumeration. Din privata slutpunkt måste finnas i samma prenumeration som ditt virtuella nätverk. Du väljer ett virtuellt nätverk senare i den här instruktionsguiden.	MyAzureSubscription
   Resursgrupp	Välj en resursgrupp eller skapa en ny.	MyResourceGroup
   Name	Ange ett unikt namn för den nya privata slutpunkten för appkonfigurationsarkivet. När du använder Azure-portalen är namnet på den privata slutpunktens anslutning samma som namnet på den privata slutpunkten. AppKonfigurationslager måste ha unika privata slutpunktsanslutningsnamn.	MyPrivateEndpoint
   Namn på nätverksgränssnitt	Det här fältet slutförs automatiskt. Du kan också redigera namnet på nätverksgränssnittet.	MyPrivateEndpoint-nic
   Region	Välj en region. Din privata slutpunkt måste finnas i samma region som ditt virtuella nätverk.	USA, centrala

   

4. Välj Nästa: Resurs >. Private Link erbjuder alternativ för att skapa privata slutpunkter för olika typer av Azure-resurser, till exempel SQL-servrar, Azure Storage-konton eller App Configuration-butiker. Det aktuella appkonfigurationsarkivet fylls automatiskt i fältet Resurs eftersom det är resursen som den privata slutpunkten ansluter till.

   1. Resurstypen Microsoft.AppConfiguration/configurationStores och målunderresurskonfigurationArkiv anger att du skapar en slutpunkt för ett appkonfigurationsarkiv .

   2. Namnet på konfigurationsarkivet visas under Resurs.

   

5. Välj Nästa: Virtuellt nätverk >.

   1. Välj ett befintligt virtuellt nätverk att distribuera den privata slutpunkten till. Om du inte har något virtuellt nätverk skapar du ett virtuellt nätverk.

   2. Välj ett undernät i listan.

   3. Låt rutan Aktivera nätverksprinciper för alla privata slutpunkter i det här undernätet vara markerad.

   4. Under Privat IP-konfiguration väljer du alternativet för att allokera IP-adresser dynamiskt. Mer information finns i Privata IP-adresser.

   5. Du kan också välja eller skapa en programsäkerhetsgrupp. Med programsäkerhetsgrupper kan du gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper.

   

6. Välj Nästa: DNS > för att konfigurera en DNS-post. Om du inte vill göra ändringar i standardinställningarna kan du gå vidare till nästa flik.

   1. För Integrera med privat DNS-zon väljer du Ja för att integrera din privata slutpunkt med en privat DNS-zon. Du kan också använda dina egna DNS-servrar eller skapa DNS-poster med hjälp av värdfilerna på dina virtuella datorer.

   2. En prenumeration och resursgrupp för din privata DNS-zon är förvalda. Du kan ändra dem om du vill.

   

   Mer information om DNS-konfiguration finns i Namnmatchning för resurser i virtuella Azure-nätverk och DNS-konfiguration för privata slutpunkter.

7. Välj Nästa: Taggar > och skapa taggar om du vill. Taggar är namn/värde-par som gör att du kan kategorisera resurser och visa sammanställd faktureringsinformation genom att tillämpa samma tagg på flera resurser och resursgrupper.

   

8. Välj Nästa: Granska + skapa > för att granska information om appkonfigurationsarkivet, den privata slutpunkten, det virtuella nätverket och DNS. Du kan också välja Ladda ned en mall för automatisering för att återanvända JSON-data från det här formuläret senare.

   

9. Välj Skapa.

När distributionen är klar får du ett meddelande om att slutpunkten har skapats. Om det godkänns automatiskt kan du börja komma åt appkonfigurationsarkivet privat, annars måste du vänta på godkännande.

Azure CLI

1. För att konfigurera din privata slutpunkt behöver du ett virtuellt nätverk. Om du inte har något ännu skapar du ett virtuellt nätverk med az network vnet create. Ersätt platshållartexterna <vnet-name>, <rg-name>och <subnet-name> med ett namn på ditt nya virtuella nätverk, ett resursgruppsnamn och ett undernätsnamn.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Platshållare	Beskrivning	Exempel
   <vnet-name>	Ange ett namn för det nya virtuella nätverket. Med ett virtuellt nätverk kan Azure-resurser kommunicera privat med varandra och med Internet.	MyVNet
   <rg-name>	Ange namnet på en befintlig resursgrupp för ditt virtuella nätverk.	MyResourceGroup
   <subnet-name>	Ange ett namn på det nya undernätet. Ett undernät är ett nätverk i ett nätverk. Det är här som den privata IP-adressen tilldelas.	MySubnet
   <vnet-location>	Ange en Azure-region. Det virtuella nätverket måste finnas i samma region som din privata slutpunkt.	centralus

2. Kör kommandot az appconfig show för att hämta egenskaperna för App Configuration Store, som du vill konfigurera privat åtkomst för. Ersätt platshållaren name med namnet eller appkonfigurationsarkivet.

   az appconfig show --name <name>
   

   Det här kommandot genererar utdata med information om appkonfigurationsarkivet. Anteckna ID-värdet. Till exempel: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Kör kommandot az network private-endpoint create för att skapa en privat slutpunkt för appkonfigurationsarkivet. Ersätt platshållartexterna <resource-group>, <private-endpoint-name>, <vnet-name>, <private-connection-resource-id>, <connection-name>och <location> med din egen information.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Platshållare	Beskrivning	Exempel
   <resource-group>	Ange namnet på en befintlig resursgrupp för din privata slutpunkt.	MyResourceGroup
   <private-endpoint-name>	Ange ett namn för din nya privata slutpunkt.	MyPrivateEndpoint
   <vnet-name>	Ange namnet på ett befintligt virtuellt nätverk.	Myvnet
   <private-connection-resource-id>	Ange appkonfigurationsarkivets resurs-ID för privat anslutning. Detta är det ID som du sparade från utdata från föregående steg.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Ange ett anslutningsnamn. AppKonfigurationslager måste ha unika privata slutpunktsanslutningsnamn.	MyConnection
   <location>	Ange en Azure-region. Din privata slutpunkt måste finnas i samma region som ditt virtuella nätverk.	centralus

Hantera anslutning till privat länk

Portal

Gå till Privat åtkomst för nätverk>i appkonfigurationsarkivet för att få åtkomst till de privata slutpunkter som är länkade till appkonfigurationsarkivet.

1. Kontrollera anslutningstillståndet för din privata länkanslutning. När du skapar en privat slutpunkt måste anslutningen godkännas. Om resursen som du skapar en privat slutpunkt för finns i din katalog och du har tillräckliga behörigheter godkänns anslutningsbegäran automatiskt. Annars måste du vänta tills resursens ägare har godkänt anslutningsbegäran. Mer information om modellerna för anslutningsgodkännande finns i Hantera privata Azure-slutpunkter.

2. Om du vill godkänna, avvisa eller ta bort en anslutning manuellt markerar du kryssrutan bredvid den slutpunkt som du vill redigera och väljer ett åtgärdsobjekt på den översta menyn.

   

3. Välj namnet på den privata slutpunkten för att öppna den privata slutpunktsresursen och få åtkomst till mer information eller redigera den privata slutpunkten.

Azure CLI

Granska information om anslutning till privat slutpunkt

Kör kommandot az network private-endpoint-connection list för att granska alla privata slutpunktsanslutningar som är länkade till appkonfigurationsarkivet och kontrollera deras anslutningstillstånd. Ersätt platshållartexterna resource-group och <app-config-store-name> med namnet på resursgruppen och namnet på arkivet.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Om du vill hämta information om en specifik privat slutpunkt kan du använda kommandot az network private-endpoint-connection show . Ersätt platshållartexterna resource-group och app-config-store-name med namnet på resursgruppen och namnet på arkivet.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Hämta anslutningsgodkännande

När du skapar en privat slutpunkt måste anslutningen godkännas. Om resursen som du skapar en privat slutpunkt för finns i din katalog och du har tillräckliga behörigheter godkänns anslutningsbegäran automatiskt. Annars måste du vänta tills resursens ägare har godkänt anslutningsbegäran.

Om du vill godkänna en privat slutpunktsanslutning använder du kommandot az network private-endpoint-connection approve . Ersätt platshållartexterna resource-group, private-endpointoch <app-config-store-name> med namnet på resursgruppen, namnet på den privata slutpunkten och namnet på arkivet.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Mer information om modellerna för anslutningsgodkännande finns i Hantera privata Azure-slutpunkter.

Ta bort en privat slutpunktsanslutning

Om du vill ta bort en privat slutpunktsanslutning använder du kommandot az network private-endpoint-connection delete . Ersätt platshållartexterna resource-group och private-endpoint med namnet på resursgruppen och namnet på den privata slutpunkten.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Om du vill ha fler CLI-kommandon går du till az network private-endpoint-connection

Om du har problem med en privat slutpunkt kan du läsa följande guide: Felsöka anslutningsproblem med privata Slutpunkter i Azure.

Nästa steg

Använda privata slutpunkter för Azure App Configuration

Inaktivera offentlig åtkomst i Azure App Configuration