Použití privátních koncových bodů pro konfiguraci Aplikace Azure

Privátní koncové body můžete použít ke konfiguraci Aplikace Azure a umožnit tak klientům ve virtuální síti zabezpečený přístup k datům přes privátní propojení. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro váš App Configuration Store. Síťový provoz mezi klienty ve virtuální síti a úložištěm konfigurace aplikací prochází přes virtuální síť pomocí privátního propojení v páteřní síti Microsoftu, čímž se eliminuje vystavení veřejnému internetu.

Použití privátních koncových bodů pro úložiště App Configuration umožňuje:

  • Zabezpečte podrobnosti konfigurace aplikace tím, že nakonfigurujete bránu firewall tak, aby blokovala všechna připojení ke službě App Configuration ve veřejném koncovém bodu.
  • Zvyšte zabezpečení virtuální sítě a zajistěte, aby data neunikla z virtuální sítě.
  • Bezpečně se připojte k úložišti App Configuration z místních sítí, které se připojují k virtuální síti pomocí sítě VPN nebo ExpressRoutes s privátním partnerským vztahem.

Koncepční přehled

Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti . Když vytvoříte privátní koncový bod pro úložiště App Configuration Store, poskytuje zabezpečené připojení mezi klienty ve vaší virtuální síti a úložištěm konfigurace. Privátní koncový bod má přiřazenou IP adresu z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a úložištěm konfigurace používá zabezpečené privátní propojení.

Aplikace ve virtuální síti se můžou připojit k úložišti konfigurace přes privátní koncový bod pomocí stejných připojovací řetězec a autorizačních mechanismů, které by jinak používaly. Privátní koncové body je možné používat se všemi protokoly podporovanými v App Configuration Storu.

I když Služba App Configuration nepodporuje koncové body služby, privátní koncové body je možné vytvářet v podsítích, které používají koncové body služby. Klienti v podsíti se můžou bezpečně připojit ke službě App Configuration Store pomocí privátního koncového bodu při přístupu k ostatním koncovým bodům služby.

Když vytvoříte privátní koncový bod pro službu ve vaší virtuální síti, odešle se žádost o souhlas ke schválení vlastníkovi účtu služby. Pokud je uživatel, který žádá o vytvoření privátního koncového bodu, také vlastníkem účtu, bude tato žádost o souhlas automaticky schválena.

Vlastníci účtů služeb můžou spravovat žádosti o souhlas a privátní koncové body prostřednictvím Private Endpoints karty obchodu App Configuration Store na webu Azure Portal.

Privátní koncové body pro konfiguraci aplikací

Při vytváření privátního koncového bodu musíte zadat Úložiště konfigurace aplikací, ke kterému se připojuje. Pokud povolíte geografickou replikaci pro úložiště App Configuration Store, můžete se připojit ke všem replikám úložiště pomocí stejného privátního koncového bodu. Pokud máte více úložišť App Configuration, potřebujete pro každé úložiště samostatný privátní koncový bod.

Připojení k privátním koncovým bodům

Azure spoléhá na překlad DNS ke směrování připojení z virtuální sítě do úložiště konfigurace přes privátní propojení. Připojovací řetězce můžete rychle najít na webu Azure Portal tak, že vyberete obchod App Configuration Store a pak vyberete Přístupové klíče nastavení>.

Důležité

Použijte stejný připojovací řetězec pro připojení k úložišti App Configuration pomocí privátních koncových bodů, jako byste použili pro veřejný koncový bod. Nepřipojujte se k úložišti pomocí jeho privatelink adresy URL subdomény.

Poznámka:

Ve výchozím nastavení se při přidání privátního koncového bodu do úložiště App Configuration zamítnou všechny požadavky na data konfigurace aplikací ve veřejné síti. Přístup k veřejné síti můžete povolit pomocí následujícího příkazu Azure CLI. V tomto scénáři je důležité zvážit bezpečnostní důsledky povolení přístupu k veřejné síti.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

Změny DNS pro privátní koncové body

Při vytváření privátního koncového bodu se záznam prostředku DNS CNAME pro úložiště konfigurace aktualizuje na alias v subdoméně s předponou privatelink. Azure také vytvoří privátní zónu privatelink DNS odpovídající subdoméně se záznamy prostředků DNS A pro privátní koncové body. Povolení geografické replikace vytvoří pro každou repliku samostatné záznamy DNS s jedinečnými IP adresami v privátní zóně DNS.

Při překladu adresy URL koncového bodu z virtuální sítě hostující privátní koncový bod se přeloží na privátní koncový bod úložiště. Při překladu mimo virtuální síť se adresa URL koncového bodu přeloží na veřejný koncový bod. Když vytvoříte privátní koncový bod, veřejný koncový bod se zakáže.

Pokud ve své síti používáte vlastní server DNS, musíte ho nakonfigurovat tak, aby delegovali subdoménu privatelink do privátní zóny DNS pro virtuální síť. Alternativně můžete nakonfigurovat záznamy A pro adresy URL privátního propojení vašeho úložiště, které jsou [Your-store-name].privatelink.azconfig.io buď nebo [Your-store-name]-[replica-name].privatelink.azconfig.io pokud je povolená geografická replikace, s jedinečnými privátními IP adresami privátního koncového bodu.

Ceny

Povolení privátních koncových bodů vyžaduje úložiště App Configuration úrovně Standard nebo Premium. Další informace o cenách služby Private Link najdete v tématu o cenách služby Azure Private Link.

Další kroky

Další informace o vytvoření privátního koncového bodu pro store App Configuration najdete v následujících článcích:

Zjistěte, jak nakonfigurovat server DNS s privátními koncovými body: