Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können einen privaten Endpunkt für Ihre Azure App Service-Apps verwenden. Der private Endpunkt ermöglicht Clients, die sich in Ihrem privaten Netzwerk befinden, sicher auf eine App über azure Private Link zuzugreifen. Der private Endpunkt verwendet eine IP-Adresse aus dem Adressraum Ihres virtuellen Azure-Netzwerks. Der Netzwerkdatenverkehr zwischen einem Client in Ihrem privaten Netzwerk und der App wird über das virtuelle Netzwerk und den privaten Link im Microsoft-Backbone-Netzwerk übertragen. Diese Konfiguration beseitigt die Gefährdung durch das öffentliche Internet.
Wenn Sie einen privaten Endpunkt für Ihre App verwenden, können Sie:
- Sichern Sie Ihre App, wenn Sie den privaten Endpunkt konfigurieren und den Zugriff auf öffentliche Netzwerke deaktivieren, wodurch die öffentliche Gefährdung beseitigt wird.
- Sicheres Verbinden mit Ihrer App aus lokalen Netzwerken, die eine Verbindung mit dem virtuellen Netzwerk über VPN oder ExpressRoute mit privatem Peering herstellen
- Vermeiden Sie die Exfiltration von Daten aus Ihrem virtuellen Netzwerk.
Wichtig
Private Endpunkte sind für Windows- und Linux-Apps, containerisiert oder nicht verfügbar, die in den folgenden App Service-Plänen gehostet werden: Basic, Standard, PremiumV2, PremiumV3, PremiumV4, IsolatedV2, Functions Premium (manchmal als Elastic Premium-Plan bezeichnet).
Konzeptionelle Übersicht
Ein privater Endpunkt ist eine Netzwerkschnittstelle für Ihre App Service-App in einem Subnetz in Ihrem virtuellen Netzwerk.
Wenn Sie einen privaten Endpunkt für Ihre App erstellen, stellt dieser eine sichere Verbindung zwischen Clients in Ihrem privaten Netzwerk und Ihrer App bereit. Dem privaten Endpunkt wird eine IP-Adresse aus dem IP-Adressbereich Ihres virtuellen Netzwerks zugewiesen. Für die Verbindung zwischen dem privaten Endpunkt und der App wird eine sichere private Verbindung per Private Link verwendet. Der private Endpunkt wird nur für eingehenden Datenverkehr für Ihre App verwendet. Ausgehender Datenverkehr verwendet nicht den privaten Endpunkt. Sie können ausgehenden Datenverkehr über die Funktion für die Integration in ein virtuelles Netzwerk in Ihr Netzwerk in ein anderes Subnetz einfügen.
Jeder Slot einer App wird separat konfiguriert. Sie können bis zu 100 private Endpunkte pro Slot einrichten. Ein privater Endpunkt kann nicht von mehreren Slots gemeinsam verwendet werden. Der subresource Name eines Steckplatzes lautet sites-<slot-name>.
Das Subnetz, das Sie zum Anschließen des privaten Endpunkts verwenden, kann andere Ressourcen enthalten. Sie benötigen kein dediziertes leeres Subnetz.
Sie können den privaten Endpunkt auch in einer anderen Region als Ihre App bereitstellen.
Hinweis
Das Feature für die Integration virtueller Netzwerke kann nicht dasselbe Subnetz wie der private Endpunkt verwenden.
Sicherheitsüberlegungen
Private Endpunkte und öffentlicher Zugriff können in einer App koexistieren. Weitere Informationen finden Sie in dieser Übersicht über Zugriffsbeschränkungen.
Um die Isolation sicherzustellen, müssen Sie beim Aktivieren privater Endpunkte für Ihre App unbedingt den Öffentlichen Netzwerkzugriff deaktivieren. Sie können mehrere private Endpunkte in anderen virtuellen Netzwerken und Subnetzen aktivieren, einschließlich virtueller Netzwerke in anderen Regionen.
Die Zugriffseinschränkungsregeln Ihrer App werden nicht für den Datenverkehr über den privaten Endpunkt ausgewertet. Sie können das Datenexfiltrationsrisiko aus dem virtuellen Netzwerk beseitigen. Entfernen Sie alle Regeln der Netzwerk-Sicherheitsgruppen (NSG), bei denen das Ziel durch den Tag "Internet" oder "Azure-Dienste" gekennzeichnet wird.
Sie finden die Clientquell-IP in den Web-HTTP-Protokollen Ihrer App. Dieses Feature wird mithilfe des TCP-Proxys (Transmission Control Protocol) implementiert, der die Client-IP-Eigenschaft an die App weiterleitet. Weitere Informationen finden Sie unter Abrufen von Verbindungsinformationen mithilfe von TCP-Proxy v2.
Domain Name System (DNS)
Wenn Sie privaten Endpunkt für App Service-Apps verwenden, muss die angeforderte URL mit der Adresse Ihrer App übereinstimmen. Standardmäßig ist der öffentliche Name Ihrer Web-App ohne einen privaten Endpunkt ein kanonischer Name für den Cluster. Der Name wird beispielsweise wie folgt aufgelöst:
| Name | type | Wert |
|---|---|---|
mywebapp.azurewebsites.net |
CNAME |
clustername.azurewebsites.windows.net |
clustername.azurewebsites.windows.net |
CNAME |
cloudservicename.cloudapp.net |
cloudservicename.cloudapp.net |
A |
192.0.2.13 |
Wenn Sie einen privaten Endpunkt bereitstellen, aktualisiert der Ansatz den DNS-Eintrag (Domain Name System), um auf den kanonischen Namen zu verweisen: mywebapp.privatelink.azurewebsites.net.
Der Name wird beispielsweise wie folgt aufgelöst:
| Name | type | Wert | Anmerkung |
|---|---|---|---|
mywebapp.azurewebsites.net |
CNAME |
mywebapp.privatelink.azurewebsites.net |
|
mywebapp.privatelink.azurewebsites.net |
CNAME |
clustername.azurewebsites.windows.net |
|
clustername.azurewebsites.windows.net |
CNAME |
cloudservicename.cloudapp.net |
|
cloudservicename.cloudapp.net |
A |
192.0.2.13 |
<--Diese öffentliche IP ist nicht Ihr privater Endpunkt. Sie erhalten einen Fehler von 403. |
Sie müssen einen privaten DNS-Server oder eine private Azure DNS-Zone einrichten. Zu Testzwecken können Sie den Hosteintrag Ihres Testcomputers ändern. Die DNS-Zone, die Sie erstellen müssen, ist: privatelink.azurewebsites.net. Registrieren Sie den Eintrag für Ihre App mit einem A-Datensatz und der IP-Adresse des privaten Endpunkts. Bei Azure Private DNS-Zonengruppen werden die DNS-Einträge automatisch der Privaten DNS-Zone hinzugefügt.
Der Name wird beispielsweise wie folgt aufgelöst:
| Name | type | Wert | Anmerkung |
|---|---|---|---|
mywebapp.azurewebsites.net |
CNAME |
mywebapp.privatelink.azurewebsites.net |
<--Azure erstellt diesen CNAME Eintrag in Azure Public DNS, um die App-Adresse auf die private Endpunktadresse zu verweisen. |
mywebapp.privatelink.azurewebsites.net |
A |
10.10.10.8 |
<--Sie verwalten diesen Eintrag in Ihrem DNS-System, um auf Ihre private Endpunkt-IP-Adresse zu verweisen. |
Wenn Sie diese DNS-Konfiguration einrichten, können Sie Ihre App privat mit dem Standardnamen mywebapp.azurewebsites.neterreichen. Dieser Name muss verwendet werden, da das Standardzertifikat für *.azurewebsites.net ausgestellt wurde.
Benutzerdefinierter Domänenname
Wenn Sie einen benutzerdefinierten Domänennamen verwenden müssen, fügen Sie den benutzerdefinierten Namen in Ihrer App hinzu. Sie müssen den benutzerdefinierten Namen wie jeden anderen benutzerdefinierten Namen mithilfe der öffentlichen DNS-Auflösung validieren. Weitere Informationen finden Sie unter Benutzerdefinierte DNS-Validierung.
In Ihrer benutzerdefinierten DNS-Zone müssen Sie den DNS-Eintrag so aktualisieren, dass er auf den privaten Endpunkt verweist. Wenn Ihre App bereits mit DNS-Auflösung für den Standardhostnamen konfiguriert ist, wird empfohlen, einen CNAME Eintrag für die benutzerdefinierte Domäne hinzuzufügen, der auf mywebapp.azurewebsites.net verweist. Wenn der benutzerdefinierte Domänenname nur auf den privaten Endpunkt aufgelöst werden soll, können Sie direkt einen A Eintrag mit der IP-Adresse des privaten Endpunkts hinzufügen.
Kudu/scm-Endpunkt
Für die Kudu-Konsole oder die Kudu-REST-API (z. B. für die Bereitstellung mit selbst gehosteten Azure DevOps Services-Agents) müssen Sie einen zweiten Eintrag erstellen, der auf die IP des privaten Endpunkts in Ihrer privaten Azure DNS-Zone oder in Ihrem benutzerdefinierten DNS-Server verweist. Die erste ist für Ihre App und die zweite für die SCM -Verwaltung (Quellcodeverwaltung) Ihrer App. Bei Azure Private DNS Zone-Gruppen wird der scm-Endpunkt automatisch hinzugefügt.
| Name | type | Wert |
|---|---|---|
mywebapp.privatelink.azurewebsites.net |
A |
PrivateEndpointIP |
mywebapp.scm.privatelink.azurewebsites.net |
A |
PrivateEndpointIP |
App Service-Umgebung v3: besondere Überlegungen
Um den privaten Endpunkt für Apps zu aktivieren, die in einem IsolatedV2-Plan (App Service-Umgebung v3) gehostet werden, aktivieren Sie die Unterstützung privater Endpunkte auf der Ebene der App Service-Umgebung. Sie können das Feature über das Azure-Portal im Konfigurationsbereich "App Service Environment" oder über die folgende CLI aktivieren:
az appservice ase update --name myasename --allow-new-private-endpoint-connections true
Spezifische Anforderungen
Wenn sich das virtuelle Netzwerk in einem anderen Abonnement als die App befindet, stellen Sie sicher, dass das Abonnement mit dem virtuellen Netzwerk für den Ressourcenanbieter Microsoft.Web registriert ist. Weitere Informationen zum expliziten Registrieren des Anbieters finden Sie unter Registrieren von Ressourcenanbietern. Sie registrieren den Anbieter automatisch, wenn Sie die erste Web-App in einem Abonnement erstellen.
Preise
Ausführliche Preisinformationen finden Sie unter Azure Private Link – Preise.
Einschränkungen
- Wenn Sie eine Azure-Funktion im Elastic Premium-Plan mit einem privaten Endpunkt verwenden, benötigen Sie direkten Netzwerkzugriff, um die Funktion im Azure-Portal auszuführen. Andernfalls wird ein HTTP 403-Fehler angezeigt. Ihr Browser muss den privaten Endpunkt erreichen können, um die Funktion aus dem Azure-Portal ausführen zu können.
- Sie können bis zu 100 private Endpunkte mit einer einzigen App verbinden.
- Remotedebuggingfunktionen sind nicht über den privaten Endpunkt verfügbar. Es wird empfohlen, den Code an einem Steckplatz bereitzustellen und remote zu debuggen.
- FTP-Zugriff wird über die eingehende öffentliche IP-Adresse gewährt. Private Endpunkte unterstützen keinen FTP-Zugriff auf die App.
- IP-basiertes TLS wird für private Endpunkte nicht unterstützt.
- Apps, die Sie mit privaten Endpunkten konfigurieren, können keinen öffentlichen Datenverkehr empfangen, der aus Subnetzen stammt, wobei ein
Microsoft.WebDienstendpunkt aktiviert ist und keine Regeln für endpunktbasierte Zugriffsbeschränkungen verwenden können. - Die Benennung privater Endpunkte muss den regeln entsprechen, die für Ressourcen des
Microsoft.Network/privateEndpointsTyps definiert sind. Weitere Informationen finden Sie unter Benennungsregeln und -einschränkungen.
Aktuelle Informationen zu Einschränkungen finden Sie in dieser Dokumentation.
Verwandte Inhalte
- Schnellstart: Erstellen eines privaten Endpunkts mithilfe des Azure-Portals
- Schnellstart: Erstellen eines privaten Endpunkts über die Azure CLI
- Schnellstart: Erstellen eines privaten Endpunkts mithilfe von Azure PowerShell
- Schnellstart: Erstellen eines privaten Endpunkts mithilfe einer ARM-Vorlage
- Schnellstart: Vorlage zum Verbinden einer Front-End-App mit einer gesicherten Back-End-App mit der Integration des virtuellen Netzwerks und einem privaten Endpunkt
- Skript: Erstellen von zwei Web-Apps, die sicher mit einem privaten Endpunkt und einer Integration des virtuellen Netzwerks (Terraform) verbunden sind