Usar pontos de extremidade privados para a Configuração de Aplicativos do Azure
Você pode usar pontos de extremidade privados para a Configuração de Aplicativos do Azure a fim de permitir que os clientes em uma VNet (rede virtual) acessem dados com segurança por meio de um link privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço da VNet para seu repositório de Configuração de Aplicativos. O tráfego de rede entre a máquina em sua VNet e o repositório de Configuração de Aplicativos atravessa a VNet usando um link privado na rede principal da Microsoft, eliminando a exposição à Internet pública.
O uso de pontos de extremidade privados para seu repositório de Configuração de Aplicativos permite que você:
- Proteja os detalhes de configuração do aplicativo configurando o firewall para bloquear todas as conexões com a Configuração de Aplicativos no ponto de extremidade público.
- Aumente a segurança da VNet (rede virtual), garantindo que os dados não escapem da VNet.
- Conecte-se com segurança ao repositório de Configuração de Aplicativos a partir de redes locais que se conectam à VNet usando VPN ou ExpressRoutes com emparelhamento privado.
Visão geral conceitual
Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua VNet (rede virtual). Quando você cria um ponto de extremidade privado para seu repositório de Configuração de Aplicativos, ele fornece conectividade segura entre os clientes na sua VNet e o seu repositório de configuração. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP de sua VNet. A conexão entre o ponto de extremidade privado e o repositório de configuração de aplicativos usa um link privado seguro.
Os aplicativos na VNet podem se conectar ao repositório de configuração por meio do ponto de extremidade privado usando as mesmas cadeias de conexão e mecanismos de autorização que eles já usam normalmente. Pontos de extremidade privados podem ser usados com todos os protocolos compatíveis com o repositório de Configuração de Aplicativos.
Embora a Configuração de Aplicativos não seja suportada por pontos de extremidade de serviço, os pontos de extremidade privados podem ser criados em sub-redes que usam pontos de extremidade de serviço. Os clientes em uma sub-rede podem se conectar com segurança a um repositório de Configuração de Aplicativos usando o ponto de extremidade privado ao usar pontos de extremidades de serviço para acessar outros.
Quando você cria um ponto de extremidade privado para um serviço em sua VNet, uma solicitação de consentimento é enviada para aprovação para o proprietário da conta de serviço. Se o usuário que solicita a criação do ponto de extremidade privado também for um proprietário da conta, essa solicitação de consentimento será aprovada automaticamente.
Os proprietários da conta de serviço podem gerenciar solicitações de consentimento e pontos de extremidade privados por meio da guia Private Endpoints
do repositório de Configuração de Aplicativos no portal do Azure.
Pontos de extremidade privados para a Configuração de Aplicativos
Ao criar um ponto de extremidade privado, você deve especificar o repositório de Configuração de Aplicativos ao qual ele se conecta. Se você habilitar a replicação geográfica para um repositório de Configuração de Aplicativos, poderá se conectar a todas as réplicas do repositório usando o mesmo ponto de extremidade privado. Se você tiver vários repositórios de Configuração de Aplicativos, precisará de um ponto de extremidade privado separado para cada repositório.
Conectar-se a pontos de extremidade privados
O Azure conta com a resolução DNS para rotear conexões da VNet para o repositório de configuração por meio de um link privado. Você pode encontrar rapidamente cadeias de conexão no portal do Azure selecionando seu repositório de Configuração de Aplicativos e, em seguida, Configurações>Chaves de Acesso.
Importante
Use a mesma cadeia de conexão para se conectar ao seu repositório de Configuração de Aplicativos usando pontos de extremidade privados que você usaria para um ponto de extremidade público. Não se conecte ao repositório usando sua URL de subdomínio privatelink
.
Observação
Por padrão, quando um ponto de extremidade privado é adicionado ao repositório de Configuração de Aplicativos, todas as solicitações para os dados de Configuração de Aplicativos na rede pública são negadas. Você pode habilitar o acesso à rede pública usando o comando da CLI do Azure a seguir. É importante considerar as implicações de segurança de habilitar o acesso à rede pública neste cenário.
az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true
Alterações no DNS para pontos de extremidade privados
Ao criar um ponto de extremidade privado, o registro de recurso DNS CNAME da repositório de configuração é atualizado para um alias em um subdomínio com o prefixo privatelink
. O Azure também cria uma zona DNS privada, correspondente ao subdomínio privatelink
, com os registros de recurso DNS A para os pontos de extremidade privados. Habilitar a replicação geográfica cria registros DNS separados para cada réplica com endereços IP exclusivos na zona DNS privada.
Quando você resolve a URL do ponto de extremidade de dentro da VNet que hospeda o ponto de extremidade privado, ele é resolvido para o ponto de extremidade privado do repositório. Quando resolvida de fora da VNet, a URL do ponto de extremidade é resolvida para o ponto de extremidade público. Quando você cria um ponto de extremidade privado, o ponto de extremidade público é desabilitado.
Se você estiver usando um servidor DNS personalizado em sua rede, precisará configurá-lo para delegar seu subdomínio privatelink
à zona DNS privada para a VNet. Como alternativa, você pode configurar os registros A para as URLs de link privado da sua loja, que são [Your-store-name].privatelink.azconfig.io
ou [Your-store-name]-[replica-name].privatelink.azconfig.io
se a replicação geográfica está habilitada, com endereços IP privados exclusivos do ponto de extremidade privado.
Preços
A habilitação de pontos de extremidade privados requer um repositório de Configuração de Aplicativos de Camada Standard ou Premium. Para saber mais sobre os detalhes de preços do link privado, consulte preços do Link Privado.
Próximas etapas
Saiba mais sobre como criar um ponto de extremidade privado para seu repositório de Configuração de Aplicativos, consulte os seguintes artigos:
- Criar um ponto de extremidade privado usando o Centro de Link Privado no portal do Azure
- Criar um ponto de extremidade privado usando a CLI do Azure
- Criar um ponto de extremidade privado usando o Azure PowerShell
Saiba como configurar o servidor DNS com pontos de extremidade privados: