Utilisation de points de terminaison privés pour Azure App Configuration

Vous pouvez utiliser des points de terminaison privés pour Azure App Configuration afin de permettre aux clients d’un réseau virtuel (VNet) d’accéder en toute sécurité aux données via une liaison privée. Le point de terminaison privé utilise une adresse IP de l’espace d’adressage du réseau virtuel pour votre magasin App Configuration. Le trafic réseau entre les clients sur le réseau virtuel et le magasin App Configuration traverse le réseau virtuel en utilisant une liaison privée sur le réseau principal de Microsoft, ce qui élimine l’exposition à l’Internet public.

L’utilisation de points de terminaison privés pour votre magasin App Configuration vous permet d’effectuer les opérations suivantes :

  • Sécuriser les détails de configuration de votre application en configurant le pare-feu pour bloquer toutes les connexions à App Configuration sur le point de terminaison public.
  • Améliorer la sécurité du réseau virtuel (VNet), en veillant à ce que les données n’échappent pas su réseau virtuel.
  • Vous connecter en toute sécurité au magasin App Configuration à partir de réseaux locaux qui se connectent au réseau virtuel à l’aide de VPN ou d’ExpressRoutes avec un peering privé.

Vue d'ensemble conceptuelle

Un point de terminaison privé est une interface réseau spéciale pour un service Azure dans votre réseau virtuel. Lorsque vous créez un point de terminaison privé pour votre magasin App Configuration, il offre une connectivité sécurisée entre les clients sur votre réseau virtuel et votre magasin de configuration. Une adresse IP est attribuée au point de terminaison privé à partir de la plage d’adresses IP de votre réseau virtuel. La connexion entre le point de terminaison privé et le magasin de configuration utilise une liaison privée sécurisée.

Les applications du réseau virtuel peuvent se connecter au magasin de configuration sur le point de terminaison privé, en utilisant les mêmes chaînes de connexion et mécanismes d’autorisation que d’habitude. Les points de terminaison privés peuvent être utilisés avec tous les protocoles pris en charge par le magasin App Configuration.

Bien qu’App Configuration ne prenne pas en charge les points de terminaison de service, des points de terminaison privés peuvent être créés dans des sous-réseaux qui utilisent des points de terminaison de service. Des clients dans un sous-réseau peuvent connecter en toute sécurité à un magasin App Configuration en utilisant le point de terminaison privé, tout en utilisant des points de terminaison de service pour accéder à d’autres.

Quand vous créez un point de terminaison privé pour un service dans votre réseau virtuel, une demande de consentement est envoyée pour approbation au propriétaire du compte de service. Si l’utilisateur qui demande la création du point de terminaison privé est également propriétaire du compte, cette demande de consentement est automatiquement approuvée.

Les propriétaires de comptes de service peuvent gérer les demandes de consentement et les points de terminaison privés via l’onglet Private Endpoints du magasin App Configuration dans le portail Azure.

Points de terminaison privés pour App Configuration

Lorsque vous créez un point de terminaison privé, vous devez spécifier le magasin App Configuration auquel il se connecte. Si vous activez la géoréplication pour un magasin App Configuration, vous pouvez vous connecter à tous les réplicas du magasin à l’aide du même point de terminaison privé. Si vous avez plusieurs magasins App Configuration, vous avez besoin d’un point de terminaison privé distinct pour chaque magasin.

Connexion à des points de terminaison privés

Azure s’appuie sur la résolution DNS pour router les connexions du réseau virtuel au magasin de configuration via une liaison privée. Vous pouvez rechercher rapidement des chaînes de connexion dans le portail Azure en sélectionnant votre magasin App Configuration, puis Paramètres>Clés d’accès.

Important

Pour vous connecter à votre magasin App Configuration à l’aide de points de terminaison privés, utilisez la chaîne de connexion que vous utiliseriez pour un point de terminaison public. Ne vous connectez pas au magasin à l’aide de son URL de sous-domaine privatelink.

Notes

Par défaut, lorsqu’un point de terminaison privé est ajouté à votre magasin App Configuration, toutes les requêtes pour vos données App Configuration sur le réseau public sont refusées. Vous pouvez activer l’accès au réseau virtuel à l’aide de la commande Azure CLI suivante. Il est important de prendre en compte les implications en matière de sécurité de l’activation de l’accès au réseau public dans ce scénario.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

Modifications DNS pour les points de terminaison privés

Quand vous créez un point de terminaison privé, l’enregistrement de ressource CNAME DNS pour le magasin de configuration est remplacé par un alias dans un sous-domaine avec le préfixe privatelink. Azure crée également une zone DNS privée correspondant au sous-domaine privatelink, avec les enregistrements de ressources DNS A pour les points de terminaison privés. L’activation de la géoréplication crée des enregistrements DNS distincts pour chaque réplica, avec des adresses IP uniques dans la zone DNS privée.

Quand vous résolvez l’URL du point de terminaison à partir du réseau virtuel hébergeant le point de terminaison privé, elle correspond au point de terminaison privé du magasin. En cas de résolution depuis l’extérieur du réseau virtuel, l’URL du point de terminaison correspond au point de terminaison public. Quand vous créez un point de terminaison privé, le point de terminaison public est désactivé.

Si vous utilisez un serveur DNS personnalisé sur votre réseau, vous devez le configurer pour déléguer votre sous-domaine privatelink à la zone DNS privée du réseau virtuel. Vous pouvez également configurer les enregistrements A pour les URL de la liaison privée de votre magasin, qui sont [Your-store-name].privatelink.azconfig.io ou [Your-store-name]-[replica-name].privatelink.azconfig.io si la géoréplication est activée, avec des adresses IP privées uniques du point de terminaison privé.

Tarification

L’activation des points de terminaison privés requiert un magasin App Configuration de niveau Standard ou Premium. Pour des détails sur la tarification des liaisons privées, consultez Tarification des liaisons privées Azure.

Étapes suivantes

Apprenez-en davantage sur la création d’un point de terminaison privé pour votre magasin App Configuration en consultant les articles suivants :

Apprenez à configurer votre serveur DNS avec des points de terminaison privés :