對 Azure 應用程式組態使用私人端點
您可以對 Azure 應用程式組態使用私人端點,以允許虛擬網路 (VNet) 上的用戶端透過私人連結安全地存取資料。 私人端點會將來自 VNet 位址空間的 IP 位址用於您的應用程式組態存放區。 VNet 上的用戶端與應用程式組態存放區之間的網路流量會周遊於使用 Microsoft 骨幹網路上私人連結的 VNet,以排除網際網路中的暴露。
使用適用於應用程式組態存放區的私人端點可讓您:
- 藉由設定防火牆封鎖公用端點上應用程式組態的所有連線,以保護應用程式組態詳細資料。
- 提高虛擬網路 (VNet) 的安全性,確保資料不會從 VNet 逸出。
- 使用 VPN 或 ExpressRoutes 搭配私人對等互連,從連線至 VNet 的內部部署網路,安全地連線至應用程式組態存放區。
概念概觀
私人端點是您虛擬網路 (VNet) 中的 Azure 資源適用的特殊網路介面。 為應用程式組態存放區建立私人端點,可讓 VNet 上的用戶端與組態存放區之間安全地連線。 私人端點獲指派的 IP 位址來自您 VNet 的 IP 位址範圍。 私人端點與組態存放區之間的連線使用安全的私人連結。
VNet 中的應用程式可以使用在其他情況下同樣使用的連接字串及授權機制,以透過私人端點來連線至組態存放區。 應用程式組態存放區支援的所有通訊協定都可用於私人端點。
雖然應用程式組態不支援服務端點,但在使用服務端點的子網路中可以建立私人端點。 子網路中的用戶端可以使用私人端點,安全地連線至應用程式組態存放區,同時使用服務端點來存取其他服務。
在 VNet 中為服務建立私人端點時,將會傳送同意要求給服務帳戶擁有者核准。 如果要求建立私人端點的使用者也是帳戶的擁有者,則會自動核准此同意要求。
服務帳戶擁有者可以在 Azure 入口網站中透過應用程式組態存放區的 Private Endpoints
索引標籤,以管理同意要求和私人端點。
應用程式組態的私人端點
建立私人端點時,您必須指定其所連線的應用程式組態存放區。 如果您啟用應用程式組態存放區的異地複寫,您可以使用相同的私人端點連線到存放區的所有複本。 如果您有多個應用程式組態存放區,則每個存放區都需要個別的私人端點。
連線至私人端點
Azure 依賴 DNS 解析,將來自 VNet 的連線透過私人連結路由傳送至組態存放區。 您可以選取應用程式組態存放區,然後選取 [設定] > [存取金鑰],在 Azure 入口網站中快速找到連接字串。
重要
就像用於公用端點一樣,使用相同的連接字串,透過私人端點來連線至應用程式組態存放區。 請勿使用 privatelink
子網域 URL 來連線至存放區。
注意
當私人端點新增至應用程式組態存放區時,預設會拒絕透過公用網路對應用程式組態資料提出的所有要求。 您也可使用下列 Azure CLI 命令來啟用公用網路存取。 在此案例中,請務必考量啟用公用網路存取的安全性影響。
az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true
私人端點的 DNS 變更
當您建立私人端點時,組態存放區的 DNS CNAME 資源記錄會更新為子網域中首碼為 privatelink
的別名。 我們也會建立對應至 privatelink
子網域的私人 DNS 區域,並提供私人端點的 DNS A 資源記錄。 啟用異地復寫會為每個在私人 DNS 區域中具有唯一 IP 位址的複本建立個別的 DNS 記錄。
當您從主控私人端點的 VNet 內解析端點 URL 時,會解析為存放區的私人端點。 從 VNet 外部解析時,端點 URL 會解析為公用端點。 當您建立私人端點時,公用端點會停用。
如果您在網路上使用自訂 DNS 伺服器,則必須將其設定為將 privatelink
子域委派給 VNet 的私人 DNS 區域。 或者,您可以使用私人端點的唯一私人 IP 位址,設定存放區私人連結 URL 的 A 記錄,這些 URL 為 [Your-store-name].privatelink.azconfig.io
或 [Your-store-name]-[replica-name].privatelink.azconfig.io
啟用異地複寫。
定價
啟用私人端點時需要標準層或進階層應用程式組態存放區。 若要了解私人連結定價詳細資料,請參閱 Azure Private Link 定價。
下一步
深入了解為應用程式組態存放區建立私人端點,請參閱下列文章:
了解使用私人端點來設定 DNS 伺服器: