本文介绍如何使用 Azure 专用链接创建 专用终结点 ,为 Azure 应用配置存储设置专用访问。 专用终结点允许使用虚拟网络中的专用 IP 地址访问应用配置存储。
先决条件
登录到 Azure
需要首先登录到 Azure 才能访问应用配置服务。
使用 az loginAzure CLI 中的命令登录到 Azure。
az login
此命令将提示 Web 浏览器启动并加载 Azure 登录页。 如果浏览器未能打开,请通过 az login --use-device-code 使用设备代码流。 有关更多登录选项,请转到 使用 Azure CLI 登录。
创建专用终结点
在应用配置存储区中的 “设置”下,选择“ 网络”。
选择 “专用访问 ”选项卡,然后选择 “创建 ”以开始设置新的专用终结点。
使用以下信息填写窗体:
| 参数 |
Description |
Example |
| Subscription |
选择 Azure 订阅。 专用终结点必须与虚拟网络位于同一订阅中。 稍后将在本作指南中选择虚拟网络。 |
MyAzureSubscription |
| 资源组 |
选择一个资源组或新建一个资源组。 |
MyResourceGroup |
| Name |
为应用程序配置存储的新专用终结点输入唯一名称。 使用 Azure 门户时,专用终结点连接名称将与专用终结点名称相同。 应用程序配置存储必须具有唯一的专用终结点连接名称。 |
MyPrivateEndpoint |
| 网络接口名称 |
此字段将自动填写。 (可选)编辑网络接口的名称。 |
MyPrivateEndpoint-nic |
| 区域 |
选择区域。 专用终结点必须与虚拟网络位于同一区域。 |
美国中部 |
选择 “下一步:资源 >”。 专用链接提供用于为不同类型的 Azure 资源(例如 SQL 服务器、Azure 存储帐户或应用配置存储)创建专用终结点的选项。 当前应用程序配置存储会自动填充到“资源”字段中,因为它是专用终结点要连接到的资源。
资源类型 Microsoft.AppConfiguration/configurationStores 和目标子资源 configurationStore 表示要为应用配置存储创建终结点。
配置存储的名称列在 “资源”下。
选择 “下一步:虚拟网络 >”。
选择要将专用终结点部署到的现有 虚拟网络 。 如果没有虚拟网络, 请创建虚拟网络。
从列表中选择 子网 。
将“为此子网中的所有专用终结点启用网络策略”复选框保持选中状态。
在 “专用 IP 配置”下,选择动态分配 IP 地址的选项。 有关详细信息,请参阅 专用 IP 地址。
(可选)可以选择或创建 应用程序安全组。 使用应用程序安全组,可以根据这些组对虚拟机进行分组和定义网络安全策略。
选择“ 下一步:DNS > ”以配置 DNS 记录。 如果不想更改默认设置,可以转到下一个选项卡。
若要 与专用 DNS 区域集成,请选择“ 是 ”,将专用终结点与专用 DNS 区域集成。 还可以使用自己的 DNS 服务器,或使用虚拟机上的主机文件创建 DNS 记录。
预选专用 DNS 区域的订阅和资源组。 可以选择性地更改它们。
若要详细了解 DNS 配置,请转到 Azure 虚拟网络中资源的名称解析 和 专用终结点的 DNS 配置。
选择 “下一步:标记 > ”并选择性地创建标记。 标记是名称/值对,可让你通过将相同的标记应用到多个资源和资源组,对资源进行分类并查看合并的账单。
选择 “下一步:查看 + 创建 > ”以查看有关应用程序配置存储、专用终结点、虚拟网络和 DNS 的信息。 还可以选择“ 下载模板”以用于自动化 ,以便稍后重复使用此表单中的 JSON 数据。
选择 创建。
部署完成后,你将收到一条已创建终结点的通知。 如果自动批准,您可以私密访问应用程序配置存储,否则您必须等待审批。
若要设置专用终结点,需要一个虚拟网络。 如果还没有虚拟网络,请使用 az network vnet create 创建虚拟网络。 将占位符文本<vnet-name><rg-name><subnet-name>替换为新虚拟网络的名称、资源组名称和子网名称。
az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
| Placeholder |
Description |
Example |
<vnet-name> |
输入新虚拟网络的名称。 虚拟网络使 Azure 资源能够相互私下通信,并与 Internet 通信。 |
MyVNet |
<rg-name> |
输入虚拟网络的现有资源组的名称。 |
MyResourceGroup |
<subnet-name> |
输入新子网的名称。 子网是网络内的网络。 这是分配专用 IP 地址的位置。 |
MySubnet |
<vnet-location> |
输入 Azure 区域。 虚拟网络必须与专用终结点位于同一区域。 |
centralus |
运行 az appconfig show 命令以检索要为其设置专用访问的应用配置存储的属性。 将占位符 name 替换为应用程序配置存储区的名称。
az appconfig show --name <name>
此命令生成一个输出,其中包含有关应用程序配置存储区的信息。 记下 ID 值。 例如: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore。
运行 az network private-endpoint create 命令,为应用配置存储创建专用终结点。 将占位符文本<resource-group>、<private-endpoint-name>、<vnet-name>、<private-connection-resource-id>、<connection-name>和<location>替换为你自己的信息。
az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
| Placeholder |
Description |
Example |
<resource-group> |
输入专用终结点的现有资源组的名称。 |
MyResourceGroup |
<private-endpoint-name> |
输入新专用终结点的名称。 |
MyPrivateEndpoint |
<vnet-name> |
输入现有 vnet 的名称。 |
Myvnet |
<private-connection-resource-id> |
输入应用配置存储的专用连接资源 ID。 此 ID 是从上一步的输出中保存的。 |
/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore |
<connection-name> |
输入连接名称。 应用程序配置存储必须具有唯一的专用终结点连接名称。 |
MyConnection |
<location> |
输入 Azure 区域。 专用终结点必须与虚拟网络位于同一区域。 |
centralus |
管理专用链接
转到应用程序配置存储中的“网络”“专用访问”,以访问链接到应用程序配置存储的专用终结点>。
检查专用链接连接的连接状态。 创建专用终结点时,必须批准连接。 如果要为其创建专用终结点的资源位于目录中并且拥有 足够的权限,则连接请求将被自动批准。 否则,必须等待该资源的所有者批准连接请求。 有关连接审批模型的详细信息,请转到 “管理 Azure 专用终结点”。
若要手动批准、拒绝或删除连接,请选中要编辑的终结点旁边的复选框,并从顶部菜单中选择作项。
选择专用终结点的名称以打开专用终结点资源并访问详细信息或编辑专用终结点。
查看专用终结点连接详细信息
运行 az network private-endpoint-connection list 命令,查看链接到应用配置存储的所有专用终结点连接并检查其连接状态。 将占位符文本resource-group<app-config-store-name>替换为资源组的名称和存储区的名称。
az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores
(可选)若要获取特定专用终结点的详细信息,请使用 az network private-endpoint-connection show 命令。 将占位符文本resource-groupapp-config-store-name替换为资源组的名称和存储区的名称。
az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores
获取连接审批
创建专用终结点时,必须批准连接。 如果要为其创建专用终结点的资源位于目录中并且拥有 足够的权限,则连接请求将被自动批准。 否则,必须等待该资源的所有者批准连接请求。
若要批准专用终结点连接,请使用 az network private-endpoint-connection approve 命令。 将占位符文本resource-groupprivate-endpoint<app-config-store-name>替换为资源组的名称、专用终结点的名称和存储的名称。
az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>
有关连接审批模型的详细信息,请转到 “管理 Azure 专用终结点”。
删除专用终结点连接
若要删除专用终结点连接,请使用 az network private-endpoint-connection delete 命令。 将占位符文本resource-groupprivate-endpoint替换为资源组的名称和专用终结点的名称。
az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>
有关更多 CLI 命令,请转到 az network private-endpoint-connection
如果专用终结点出现问题,请查看以下指南: 排查 Azure 专用终结点连接问题。
后续步骤