在本文中,您將瞭解如何使用 Azure Private Link 建立 私人端點 ,以設定 Azure App Configuration 存放區的私人存取權。 私人端點允許使用虛擬網路的私人 IP 位址來存取您的 App Configuration 存放區。
先決條件
登入 Azure
您必須先登入 Azure,才能存取 App Configuration 服務。
使用 az login 中的 命令登入 Azure。
az login
此命令會提示您的網頁瀏覽器啟動並載入 Azure 登入頁面。 如果瀏覽器無法開啟,請以 az login --use-device-code 使用裝置程式碼流程。 如需更多登入選項,請移至 使用 Azure CLI 登入。
建立私人端點
在您的 App Configuration 存放區中,在 [設定] 底下,選取 [網路]。
選取 [ 私人存取 ] 索引標籤,然後選取 [ 建立 ] 以開始設定新的私人端點。
![Azure 入口網站的螢幕擷取畫面,選取 [建立私人端點]。](media/private-endpoint/create-private-endpoint.png)
在表單中填寫以下資訊:
| 參數 |
Description |
Example |
| Subscription |
選取 Azure 訂用帳戶。 您的私人端點必須與虛擬網路位於相同的訂用帳戶中。 您將稍後在本操作指南中選取虛擬網路。 |
MyAzure訂閱 |
| 資源群組 |
選取資源群組或建立新的資源群組。 |
我的資源群組 |
| 名稱 |
輸入 App Configuration 存放區新私人端點的唯一名稱。 使用 Azure 入口網站時,私人端點連線名稱會與私人端點名稱相同。 應用程式組態存放區必須具有唯一的私人端點連線名稱。 |
我的私人端點 |
| 網路介面名稱 |
此欄位會自動完成。 選擇性地編輯網路介面的名稱。 |
MyPrivateEndpoint-nic |
| 區域 |
選取區域。 您的私人端點必須與虛擬網路位於相同的區域中。 |
美國中部 |
選取 下一步:資源 >。 Private Link 提供選項,可針對不同類型的 Azure 資源建立私人端點,例如 SQL Server、Azure 儲存體帳戶或 App Configuration 存放區。 目前的 App Configuration 存放區會自動填入 [資源] 欄位,因為這是私人端點所連線的資源。
資源類型 Microsoft.AppConfiguration/configurationStores 和目標子資源 configurationStores 表示您正在建立 App Configuration 存放區的端點。
您的組態存放區名稱會列在 [資源] 底下。
選取 下一步:虛擬網路 >。
選取要將私人端點部署至的現有 虛擬網路 。 如果您沒有虛擬網路,請 建立虛擬網路。
從清單中選取 子網路 。
讓 [啟用此子網路中所有私人端點的網路原則] 方塊保持已核取狀態。
在 「私人 IP 組態」下,選取動態配置 IP 位址的選項。 如需詳細資訊,請參閱 專用 IP 位址。
或者,您可以選擇選取或建立 應用程式安全性群組。 應用程式安全性群組可讓您將虛擬機器分組,並根據這些群組定義網路安全性原則。
選取 [下一步:DNS > ] 以設定 DNS 記錄。 如果您不想更改默認設置,可以繼續到下一個選項卡。
針對 [與私人 DNS 區域整合] ,選取 [ 是 ] 以將您的私人端點與私人 DNS 區域整合。 您也可以使用自己的 DNS 伺服器,或使用虛擬機器上的主機檔案建立 DNS 記錄。
您的私人 DNS 區域的訂閱和資源群組已預先選定。 您可以選擇性地變更它們。
![Azure 入口網站的螢幕擷取畫面,建立私人端點,[DNS] 索引標籤。](media/private-endpoint/dns.png)
若要深入瞭解 DNS 設定,請移至 Azure 虛擬網路中資源的名稱解析 和 私人端點的 DNS 設定。
選取 下一步:標籤 > ,並選擇性地建立標籤。 標籤為成對的名稱和值,可讓您將相同的標籤套用至多個資源與資源群組,以便為資源分類及檢視合併的帳單。
選取 [ 下一步:檢閱 + 建立 > ],以檢閱 App Configuration 存放區、私人端點、虛擬網路和 DNS 的相關資訊。 您也可以選取 下載自動化範本 ,稍後會重複使用此表單中的 JSON 資料。
選取 ,創建。
部署完成後,您會收到已建立端點的通知。 如果自動核准,您可以開始私下存取您的應用程式設定存放區,否則您必須等待核准。
若要設定私人端點,您需要虛擬網路。 如果您還沒有虛擬網路,請使用 az network vnet create 建立虛擬網路。 將預留位置文字 <vnet-name>、 <rg-name>和 <subnet-name> 取代為新虛擬網路的名稱、資源群組名稱和子網路名稱。
az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
| Placeholder |
Description |
Example |
<vnet-name> |
輸入新虛擬網路的名稱。 虛擬網路可讓 Azure 資源彼此私下通訊,並與因特網通訊。 |
MyVNet |
<rg-name> |
輸入虛擬網路現有資源群組的名稱。 |
MyResourceGroup |
<subnet-name> |
輸入新子網路的名稱。 子網路是網路內的網路。 這是分配私有 IP 地址的位置。 |
MySubnet |
<vnet-location> |
輸入 Azure 區域。 您的虛擬網路必須與私人端點位於相同的區域中。 |
centralus |
執行命令 az appconfig show 以擷取您想要設定私人存取的 App Configuration 存放區屬性。 將佔位符 name 替換為名稱或應用程式設定存放區。
az appconfig show --name <name>
此命令會產生輸出,其中包含 App Configuration 存放區的相關資訊。 記下 id 值。 例如: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore。
執行命令 az network private-endpoint create ,為您的 App Configuration 存放區建立私人端點。 將預留位置文字 <resource-group>、 <private-endpoint-name>、 <vnet-name><private-connection-resource-id><connection-name>、 和 <location> 取代為您自己的資訊。
az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
| Placeholder |
Description |
Example |
<resource-group> |
輸入私人端點現有資源群組的名稱。 |
MyResourceGroup |
<private-endpoint-name> |
輸入新私人端點的名稱。 |
MyPrivateEndpoint |
<vnet-name> |
輸入現有 VNet 的名稱。 |
Myvnet |
<private-connection-resource-id> |
輸入 App Configuration 存放區的私人連線資源識別碼。 這是您從上一個步驟的輸出中儲存的ID。 |
/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore |
<connection-name> |
輸入連線名稱。 應用程式組態存放區必須具有唯一的私人端點連線名稱。 |
MyConnection |
<location> |
輸入 Azure 區域。 您的私人端點必須與虛擬網路位於相同的區域中。 |
centralus |
管理私人連結連線
移至您的 App Configuration 存放區中的網路>專用存取,以存取連結至您的 App Configuration 存放區的專用端點。
檢查私人連結連線的連線狀態。 當您建立私人端點時,必須核准連線。 如果您要建立私人端點的資源位於目錄中,而且您有 足夠的許可權,則會自動核准連線要求。 否則,您必須等候該資源的擁有者核准您的連線要求。 如需連線核准模型的詳細資訊,請移至 管理 Azure 私人端點。
若要手動核准、拒絕或移除連線,請選取您要編輯的端點旁的核取方塊,然後從頂端功能表中選取動作項目。
選取私人端點的名稱,以開啟私人端點資源並存取詳細資訊,或編輯私人端點。
檢閱私人端點連線詳細數據
執行 az network private-endpoint-connection list 命令,以檢閱連結至應用程式組態存放區的所有私人端點連線,並檢查其連線狀態。 將預留位置文字 resource-group 和 <app-config-store-name> 取代為資源群組的名稱和存放區的名稱。
az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores
或者,若要取得特定私人端點的詳細數據,請使用 az network private-endpoint-connection show 命令。 將預留位置文字 resource-group 和 app-config-store-name 取代為資源群組的名稱和存放區的名稱。
az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores
取得連線核准
當您建立私人端點時,必須核准連線。 如果您要建立私人端點的資源位於目錄中,而且您有 足夠的許可權,則會自動核准連線要求。 否則,您必須等候該資源的擁有者核准您的連線要求。
若要核准私人端點連線,請使用 az network private-endpoint-connection approve 命令。 將預留位置文字 resource-group、 private-endpoint和 <app-config-store-name> 取代為資源群組的名稱、私人端點的名稱和存放區的名稱。
az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>
如需連線核准模型的詳細資訊,請移至 管理 Azure 私人端點。
刪除私人端點連線
若要刪除私人端點連線,請使用 az network private-endpoint-connection delete 命令。 將預留位置文字 resource-group 和 private-endpoint 取代為資源群組的名稱和私人端點的名稱。
az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>
如需更多 CLI 命令,請參閱 az network private-endpoint-connection
如果您有私人端點問題,請檢查下列指南: 針對 Azure 私人端點連線問題進行疑難排解。
後續步驟