你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure 应用程序配置中设置专用访问

本文介绍如何通过使用 Azure 专用链接创建专用终结点，来为 Azure 应用程序配置存储设置专用访问。 专用终结点允许使用虚拟网络中的专用 IP 地址访问应用程序配置存储。

先决条件

• 具有活动订阅的 Azure 帐户。 免费创建帐户。
• 我们假设你已有一个应用配置存储。 如果你要创建一个存储，请转到创建应用程序配置存储。

登录 Azure

需要先登录到 Azure，然后才能访问应用程序配置服务。

Portal

使用 Azure 帐户登录到 https://portal.azure.com/ 的 Azure 门户。

Azure CLI

在 Azure CLI 中使用 az login 命令登录到 Azure。

az login

此命令将提示 Web 浏览器启动和加载 Azure 登录页。 如果浏览器未能打开，请运行 az login --use-device-code 命令以使用设备代码流。 有关更多登录选项，请转到使用 Azure CLI 登录。

创建专用终结点

Portal

1. 在应用配置存储中的“设置”下，选择“网络”。

2. 选择“专用访问”选项卡，然后选择“创建”开始设置新的专用终结点。

   

3. 使用以下信息填写窗体：

   参数	说明	示例
   订阅	选择 Azure 订阅。 专用终结点必须与虚拟网络位于同一订阅中。 稍后你将在本操作指南中选择虚拟网络。	MyAzureSubscription
   资源组	选择一个资源组或新建一个资源组。	MyResourceGroup
   名称	输入应用程序配置存储的新专用终结点的唯一名称。 使用 Azure 门户时，专用终结点连接名称与专用终结点名称相同。 应用配置存储必须具有唯一的专用终结点连接名称。	MyPrivateEndpoint
   网络接口名称	此字段会自动填写。 （可选）编辑网络接口的名称。	MyPrivateEndpoint-nic
   区域	选择区域。 专用终结点必须与虚拟网络位于同一区域中。	美国中部

   

4. 选择“下一步: 资源 >”。 专用链接提供用于为不同类型的 Azure 资源（例如 SQL 服务器、Azure 存储帐户或应用程序配置存储）创建专用终结点的选项。 当前应用程序配置存储会自动填充到“资源”字段中，因为它是专用终结点要连接到的资源。

   1. 资源类型“Microsoft.AppConfiguration/configurationStores”和目标子资源“configurationStores”表示正在为应用程序配置存储创建终结点。

   2. 配置存储的名称列在“资源”下。

   

5. 选择“下一步: 虚拟网络 >”。

   1. 选择要将专用终结点部署到的现有虚拟网络。 如果你没有虚拟网络，请创建一个虚拟网络。

   2. 从列表中选择一个子网。

   3. 将“为此子网中的所有专用终结点启用网络策略”复选框保持选中状态。

   4. 在“专用 IP 配置”下，选择用于动态分配 IP 地址的选项。 有关详细信息，请参阅专用 IP 地址。

   5. （可选）可以选择或创建一个应用程序安全组。 使用应用程序安全组，可以对虚拟机进行分组，并根据这些组定义网络安全策略。

   

6. 选择“下一步: DNS >”配置 DNS 记录。 如果你不想要更改默认设置，可以转到下一个选项卡。

   1. 为“与专用 DNS 区域集成”选择“是”，以将专用终结点与专用 DNS 区域集成。 你也可使用自己的 DNS 服务器，或使用虚拟机上的主机文件来创建 DNS 记录。

   2. 专用 DNS 区域的订阅和资源组已预先选择。 可以视需要更改它们。

   

   若要详细了解 DNS 配置，请转到 Azure 虚拟网络中资源的名称解析和专用终结点的 DNS 配置。

7. 选择“下一步: 标记 >”并创建标记（可选）。 标记是名称/值对，可让你通过将相同的标记应用到多个资源和资源组，对资源进行分类并查看合并的账单。

   

8. 选择“下一步: 查看 + 创建 >”以查看有关应用程序配置存储、专用终结点、虚拟网络和 DNS 的信息。 还可以选择“下载自动化模板”，以便稍后重用此表单中的 JSON 数据。

   

9. 选择“创建”。

部署完成后，你会收到一条通知，指出已创建终结点。 如果部署已自动获得批准，则你可以开始以私密方式访问应用程序配置存储，否则必须等待批准。

Azure CLI

1. 若要设置专用终结点，需要一个虚拟网络。 如果你没有虚拟网络，请使用 az network vnet create 创建一个。 将占位符文本 <vnet-name>、<rg-name> 和 <subnet-name> 替换为新虚拟网络的名称、资源组名称和子网名称。

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   占位符	说明	示例
   <vnet-name>	输入新虚拟网络的名称。 虚拟网络使 Azure 资源能够以私密方式相互通信以及与 Internet 通信。	MyVNet
   <rg-name>	输入虚拟网络的现有资源组的名称。	MyResourceGroup
   <subnet-name>	输入新子网的名称。 子网是网络内部的网络。 它是分配专用 IP 地址的位置。	MySubnet
   <vnet-location>	输入 Azure 区域。 虚拟网络必须与专用终结点位于同一区域。	centralus

2. 运行命令 az appconfig show 检索要为其设置专用访问的应用程序配置存储的属性。 将占位符 name 替换为应用程序配置存储区的名称。

   az appconfig show --name <name>
   

   此命令生成一个输出，其中包含有关应用程序配置存储的信息。 记下 id 值。 例如：/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore。

3. 运行命令 az network private-endpoint create 为应用程序配置存储创建专用终结点。 将占位符文本 <resource-group>、<private-endpoint-name>、<vnet-name>、<private-connection-resource-id>、<connection-name> 和 <location> 替换为你自己的信息。

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   占位符	说明	示例
   <resource-group>	输入专用终结点的现有资源组的名称。	MyResourceGroup
   <private-endpoint-name>	输入新专用终结点的名称。	MyPrivateEndpoint
   <vnet-name>	输入现有 VNet 的名称。	Myvnet
   <private-connection-resource-id>	输入应用程序配置存储的专用连接资源 ID。 这是从上一步骤的输出中保存的 ID。	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	输入连接名称。 应用配置存储必须具有唯一的专用终结点连接名称。	MyConnection
   <location>	输入 Azure 区域。 专用终结点必须与虚拟网络位于同一区域中。	centralus

管理专用链接连接

Portal

转到应用程序配置存储中的“网络”>“专用访问”，以访问链接到应用程序配置存储的专用终结点。

1. 检查专用链接连接的状态。 创建专用终结点时，必须批准连接。 如果要为其创建专用终结点的资源位于你的目录中，并且你拥有足够的权限，则连接请求将自动获得批准。 否则，必须等待该资源的所有者批准你的连接请求。 有关连接批准模型的详细信息，请转到管理 Azure 专用终结点。

2. 若要手动批准、拒绝或删除连接，请选中要编辑的终结点旁边的复选框，然后从顶部菜单中选择一个操作项。

   

3. 选择专用终结点的名称以打开专用终结点资源，并访问详细信息或编辑专用终结点。

Azure CLI

查看专用终结点连接详细信息

运行 az network private-endpoint-connection list 命令以查看链接到应用程序配置存储的所有专用终结点连接，并检查其连接状态。 将占位符文本 resource-group 和 <app-config-store-name> 替换为资源组名称和存储名称。

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

（可选）若要获取特定专用终结点的详细信息，请使用 az network private-endpoint-connection show 命令。 将占位符文本 resource-group 和 app-config-store-name 替换为资源组名称和存储名称。

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

获得连接批准

创建专用终结点时，必须批准连接。 如果要为其创建专用终结点的资源位于你的目录中，并且你拥有足够的权限，则连接请求将自动获得批准。 否则，必须等待该资源的所有者批准你的连接请求。

若要批准专用终结点连接，请使用 az network private-endpoint-connection approve 命令。 将占位符文本 resource-group、private-endpoint 和 <app-config-store-name> 替换为资源组名称、专用终结点名称和存储名称。

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

有关连接批准模型的详细信息，请转到管理 Azure 专用终结点。

删除专用终结点连接

若要删除专用终结点连接，请使用 az network private-endpoint-connection delete 命令。 将占位符文本 resource-group 和 private-endpoint 替换为资源组名称和专用终结点名称。

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

有关更多 CLI 命令，请转到 az network private-endpoint-connection

如果遇到专用终结点问题，请查看以下指南：排查 Azure 专用终结点连接问题。

后续步骤

将专用终结点用于 Azure 应用程序配置

在 Azure 应用配置中禁用公共访问