Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können private Endpunkte für die Azure-App-Konfiguration verwenden, um Clients in einem virtuellen Netzwerk den Zugriff auf Daten über einen privaten Link zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem virtuellen Netzwerkadressraum für Ihren App-Konfigurationsspeicher. Der Netzwerkdatenverkehr zwischen den Clients im virtuellen Netzwerk und dem App-Konfigurationsspeicher durchläuft das virtuelle Netzwerk mithilfe einer privaten Verbindung im Microsoft-Backbone-Netzwerk. Diese Anordnung beseitigt die Gefährdung durch das öffentliche Internet.
Wenn Sie private Endpunkte für Ihren App-Konfigurationsspeicher verwenden, können Sie:
- Schützen Sie ihre Anwendungskonfigurationsdetails, indem Sie eine Firewall konfigurieren, um alle Verbindungen mit der App-Konfiguration auf dem öffentlichen Endpunkt zu blockieren.
- Erhöhen Sie die Sicherheit für das virtuelle Netzwerk, um sicherzustellen, dass Daten nicht aus dem virtuellen Netzwerk entkommen.
- Verbessern Sie die Sicherheit der Verbindungen zwischen dem App-Konfigurationsspeicher und lokalen Netzwerken, die Azure VPN-Gateway oder Azure ExpressRoute mit privatem Peering verwenden, um eine Verbindung mit dem virtuellen Netzwerk herzustellen.
Die Verfügbarkeit privater Endpunkte hängt von der App-Konfigurationsebene ab:
| Tarif | Maximale Anzahl privater Endpunkte |
|---|---|
| Kostenlos | 0 |
| Developer | 1 |
| Norm | 10 |
| Premium | 40 |
Weitere Informationen zum Preis finden Sie unter Azure App Configuration Pricing.
Konzeptionelle Übersicht
Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für einen Azure-Dienst in Azure Virtual Network. Wenn Sie einen privaten Endpunkt für Ihren App-Konfigurationsspeicher erstellen, hilft es, sichere Konnektivität zwischen Clients in Ihrem virtuellen Netzwerk und Ihrem Konfigurationsspeicher bereitzustellen. Dem privaten Endpunkt wird eine IP-Adresse aus dem IP-Adressbereich Ihres virtuellen Netzwerks zugewiesen. Die Verbindung zwischen dem privaten Endpunkt und dem Konfigurationsspeicher verwendet einen privaten Link zur Optimierung der Sicherheit.
Anwendungen im virtuellen Netzwerk können eine Verbindung mit dem Konfigurationsspeicher über den privaten Endpunkt herstellen, indem sie dieselben Verbindungszeichenfolgen und Autorisierungsmechanismen verwenden, die sie andernfalls verwenden. Sie können private Endpunkte mit allen vom App-Konfigurationsspeicher unterstützten Protokollen verwenden.
Die App-Konfiguration unterstützt keine Dienstendpunkte, Sie können jedoch private Endpunkte in Subnetzen erstellen, die Dienstendpunkte verwenden. Clients in einem Subnetz können einen privaten Endpunkt verwenden, um eine Verbindung mit einem App Configuration-Speicher herzustellen, während sie Dienstendpunkte verwenden, um auf die anderen Dienste zuzugreifen.
Wenn Sie einen privaten Endpunkt für einen Dienst in Ihrem virtuellen Netzwerk erstellen, wird eine Zustimmungsanforderung zur Genehmigung an den Besitzer des Dienstkontos gesendet. Wenn Benutzende, die das Erstellen des privaten Endpunkts anfordern, auch im Besitz des Kontos sind, wird diese Einwilligungsanforderung automatisch genehmigt.
Dienstkontobesitzer können Zustimmungsanforderungen und private Endpunkte im Azure-Portal verwalten. Sie können private Endpunkteinstellungen finden, indem Sie zu Ihrem App-Konfigurationsspeicher wechseln, "Netzwerkeinstellungen"> auswählen und dann zur Registerkarte "Privater Zugriff" wechseln.
Private Endpunkte für App Configuration
Wenn Sie einen privaten Endpunkt erstellen, müssen Sie den App-Konfigurationsspeicher angeben, mit dem er eine Verbindung herstellt. Wenn Sie die Georeplikation für einen App-Konfigurationsspeicher aktivieren, können Sie mithilfe desselben privaten Endpunkts eine Verbindung mit allen Replikaten des Stores herstellen. Wenn Sie über mehrere App Configuration-Speicher verfügen, benötigen Sie für jeden Speicher einen separaten privaten Endpunkt.
Überlegungen für geo-replizierte App-Konfigurationsspeicher
Wenn die Georeplikation für Ihren App-Konfigurationsspeicher aktiviert ist, können Sie einen einzelnen privaten Endpunkt verwenden, um eine Verbindung mit allen Replikaten herzustellen. Private Endpunkte sind jedoch regionale Ressourcen. Daher stellt dieser Ansatz möglicherweise keine Verbindung während eines regionalen Ausfalls sicher.
Um die Resilienz zu erhöhen, sollten Sie einen privaten Endpunkt für jedes Replikat Ihres georeplizierten Speichers erstellen, neben einem privaten Endpunkt für den Ursprungsspeicher. Wenn eine Region nicht verfügbar ist, können Clients über einen privaten Endpunkt, der in derselben Region wie ein Replikat bereitgestellt wird, auf den Speicher zugreifen. Wenn Sie dieses Setup verwenden, müssen Sie Änderungen am Domain Name System (DNS) vornehmen. Insbesondere sollte der Endpunkt für jedes Replikat in die relevante IP-Adresse für den privaten Endpunkt in der Region dieses Replikats aufgelöst werden.
Private Endpunktverbindungen
Azure basiert auf der DNS-Auflösung, um Verbindungen vom virtuellen Netzwerk über einen privaten Link an den Konfigurationsspeicher weiterzuleiten. Sie finden Verbindungszeichenfolgen im Azure-Portal, indem Sie Ihren App-Konfigurationsspeicher und dann einstellungenfür den Zugriff>.
Wichtig
Wenn Sie mithilfe eines privaten Endpunkts eine Verbindung mit Ihrem App-Konfigurationsspeicher herstellen, verwenden Sie dieselbe Verbindungszeichenfolge, die Sie für einen öffentlichen Endpunkt verwenden. Stellen Sie keine Verbindung mit dem Store her, indem Sie die privatelink Unterdomänen-URL verwenden.
Hinweis
Wenn Sie ihrem App-Konfigurationsspeicher einen privaten Endpunkt hinzufügen, werden standardmäßig alle Anforderungen für Ihre App-Konfigurationsdaten über das öffentliche Netzwerk verweigert. Sie können den Zugriff über öffentliche Netzwerke unter Verwendung des folgenden Azure CLI-Befehls aktivieren. In diesem Szenario ist es wichtig, die Sicherheitsauswirkungen zu berücksichtigen, die sich durch die Aktivierung des Zugriffs aus dem öffentlichen Netzwerk ergeben.
az appconfig update --resource-group <resource-group-name> --name <App-Configuration-store-name> --enable-public-network true
DNS-Änderungen für private Endpunkte
Wenn Sie einen privaten Endpunkt erstellen, wird der DNS-CNAME-Ressourceneintrag für den Konfigurationsspeicher auf einen Alias in einer Unterdomäne mit dem Präfix privatelink aktualisiert. Azure erstellt auch eine private DNS-Zone , die der privatelink Unterdomäne entspricht. Die private DNS-Zone enthält einen DNS A-Ressourceneintrag für den privaten Endpunkt. Wenn Sie die Georeplikation aktivieren, erstellt Azure für jedes Replikat einen separaten DNS-Eintrag. Jeder Eintrag verfügt über eine eindeutige IP-Adresse in der privaten DNS-Zone.
Wenn Sie die Endpunkt-URL aus dem virtuellen Netzwerk auflösen, das den privaten Endpunkt hostet, wird die Endpunkt-URL in den privaten Endpunkt des Speichers aufgelöst. Wenn Sie die Endpunkt-URL außerhalb des virtuellen Netzwerks auflösen, wird die Endpunkt-URL in den öffentlichen Endpunkt aufgelöst. Wenn Sie einen privaten Endpunkt erstellen, wird der öffentliche Endpunkt deaktiviert.
Wenn Sie einen benutzerdefinierten DNS-Server in Ihrem Netzwerk verwenden, müssen Sie ihn konfigurieren, um Ihre privatelink Unterdomäne an die private DNS-Zone für das virtuelle Netzwerk zu delegieren. Alternativ können Sie die A-Einträge für die URLs für private Links Ihres Stores konfigurieren. Diese A-Einträge verwenden die folgenden Formate:
-
<App-Configuration-store-name>.privatelink.azconfig.iofür Ihren Ursprungsspeicher. -
<App-Configuration-store-name>-<replica-name>.privatelink.azconfig.iofür jedes Replikat, wenn die Georeplikation aktiviert ist. Jeder private Endpunkt verfügt über eine eindeutige private IP-Adresse.
Preise
Das Aktivieren privater Endpunkte erfordert einen App-Konfigurationsspeicher mit einer Stufe "Entwickler", "Standard" oder "Premium". Weitere Informationen zu Preisen für private Links finden Sie unter Azure Private Link-Preise.
Fehlerbehebung bei der Registrierung von Ressourcenanbietern
Wenn Sie einen privaten Endpunkt mit einem App-Konfigurationsspeicher in einem Abonnement verbinden, in dem der Ressourcenanbieter für die App-Konfiguration nicht registriert ist, wird die folgende Meldung angezeigt:
Das Abonnement des privaten Endpunkts 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e' ist nicht für die Nutzung des Ressourcenanbieters 'Microsoft.AppConfiguration' registriert.
Diese Meldung wird in der Regel angezeigt, wenn sich der private Endpunkt und der App-Konfigurationsspeicher in verschiedenen Abonnements befinden. Führen Sie die folgenden Schritte aus, um die Situation zu beheben:
- Registrieren Sie den Ressourcenanbieter
Microsoft.AppConfigurationim Abonnement des privaten Endpunkts. - Verbinden Sie den privaten Endpunkt erneut mit dem App-Konfigurationsspeicher.
Weitere Informationen zum Registrieren eines Abonnements für einen Ressourcenanbieter finden Sie unter Registrieren des Ressourcenanbieters.
Nächste Schritte
Informationen zum Erstellen eines privaten Endpunkts für Ihren App-Konfigurationsspeicher finden Sie in den folgenden Artikeln:
- Erstellen eines privaten Endpunkts über das Azure-Portal
- Erstellen eines privaten Endpunkts über die Azure CLI
- Erstellen eines privaten Endpunkts mit Azure PowerShell
Informationen zum Konfigurieren Ihres DNS-Servers mit privaten Endpunkten finden Sie in den folgenden Artikeln: