Configurar o ponto de extremidade privado em Aplicativos Web Estáticos do Azure

Você pode usar um ponto de extremidade privado (também chamado de link privado) para restringir o acesso ao aplicativo Web estático somente por sua rede privada.

Como ele funciona

Uma VNet (rede virtual) do Azure é uma rede assim como as de um datacenter tradicional, mas os recursos dentro dela se comunicam uns com os outros com segurança na rede de backbone da Microsoft.

A configuração de Aplicativos Web Estáticos com um ponto de extremidade privado permite que você use um endereço IP privado de sua VNet. Depois que esse link é criado, seu aplicativo Web estático é integrado à VNet. Como resultado, seu aplicativo Web estático não está mais disponível para a Internet pública e só pode ser acessado de computadores em sua VNet do Azure.

Observação

Colocar seu aplicativo atrás de um ponto de extremidade privado significa que ele está disponível apenas na região em que a VNet está localizada. Como resultado, seu aplicativo não estará mais disponível em vários pontos de presença.

Se o aplicativo tiver um ponto de extremidade privado habilitado, o servidor responderá com um código de status 403 se a solicitação for de um endereço IP público. Esse comportamento se aplica ao ambiente de produção, bem como a todos os ambientes de preparo. A única maneira de alcançar o aplicativo é usar o ponto de extremidade privado implantado em sua VNet.

A resolução DNS padrão do aplicativo Web estático ainda existe e roteia para um endereço IP público. O ponto de extremidade privado expõe dois endereços IPs em sua VNet, um para o ambiente de produção e outro para qualquer ambiente de preparo. Para garantir que o cliente consiga alcançar o aplicativo corretamente, verifique se o cliente resolve o nome do host do aplicativo para o endereço IP apropriado do ponto de extremidade privado. Isso é necessário para o nome do host padrão, bem como quaisquer domínios personalizados configurados para o aplicativo Web estático. Essa resolução será feita automaticamente se você selecionar uma zona DNS privada ao criar o ponto de extremidade privado (veja o exemplo abaixo) e for a solução recomendada.

Se você estiver se conectando do local ou não quiser usar uma zona DNS privada, configure manualmente os registros DNS para seu aplicativo para que as solicitações sejam roteados para o endereço IP apropriado do ponto de extremidade privado. Você pode encontrar mais informações sobre a resolução DNS do ponto de extremidade privado aqui.

Observação

Os pontos de extremidade privados restringem o tráfego de entrada que vai para o site para uma rede virtual específica. Eles não se aplicam a implantações de novos ativos de site.

Pré-requisitos

Criar um ponto de extremidade privado

Nesta seção, você cria um ponto de extremidade privado para o aplicativo Web estático.

Importante

Esse aplicativo deve ser implantado no plano de hospedagem Standard para usar pontos de extremidade privados. Você pode alterar o plano de hospedagem na opção Plano de hospedagem do menu lateral.

  1. No portal, abra seu aplicativo Web estático.

  2. Selecione a opção Pontos de extremidade privados no menu lateral.

  3. Selecione Adicionar.

  4. Na caixa de diálogo "Adicionar ponto de extremidade privado", insira estas informações:

    Configuração Valor
    Nome Insira myPrivateEndpoint.
    Subscription Selecione sua assinatura.
    Rede Virtual Selecione sua rede virtual.
    Sub-rede Selecione sua sub-rede.
    Integrar com a zona DNS privado Mantenha o padrão Sim.

    ./media/create-private-link-dialog.png

  5. Selecione OK.

Observação

O nome da zona DNS privada depende do sufixo de nome de domínio padrão do aplicativo Web estático. Por exemplo, se o sufixo de domínio padrão do aplicativo for 3.azurestaticapps.net, o nome da zona DNS privada será privatelink.3.azurestaticapps.net. Quando um novo aplicativo Web estático é criado, o sufixo de domínio padrão pode ser diferente do(s) sufixo(s) de domínio padrão de aplicativos Web estáticos anteriores. Se você estiver usando um processo de implantação automatizado para criar a zona DNS privada, poderá usar a DefaultHostname propriedade em seu aplicativo para extrair programaticamente o sufixo do domínio. O DefaultHostname valor da propriedade é semelhante a <STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX>.<PARTITION_ID>.azurestaticapps.net ou STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX.azurestaticapps.net. O sufixo de domínio padrão é semelhante a <PARTITION_ID>.azurestaticapps.net ou azurestaticapps.net.

Teste do ponto de extremidade privado

Como seu aplicativo não está mais disponível publicamente, a única maneira de acessá-lo é de dentro de sua rede virtual. Para testar, configure uma máquina virtual dentro da rede virtual e acesse o site.

Próximas etapas