Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez utiliser des points de terminaison privés pour Azure App Configuration pour permettre aux clients d’un réseau virtuel d’accéder aux données via une liaison privée. Le point de terminaison privé utilise une adresse IP de l’espace d’adressage du réseau virtuel pour votre magasin App Configuration. Le trafic réseau entre les clients sur le réseau virtuel et le magasin App Configuration traverse le réseau virtuel à l’aide d’une liaison privée sur le réseau principal Microsoft. Cette disposition élimine l’exposition à l’Internet public.
Lorsque vous utilisez des points de terminaison privés pour votre service App Configuration, vous pouvez :
- Sécurisez les détails de la configuration de votre application en configurant un pare-feu pour bloquer toutes les connexions à App Configuration sur le point de terminaison public.
- Augmentez la sécurité du réseau virtuel, ce qui permet de s’assurer que les données ne s’échappent pas du réseau virtuel.
- Améliorez la sécurité des connexions entre le magasin App Configuration et les réseaux locaux qui utilisent la passerelle VPN Azure ou Azure ExpressRoute avec peering privé pour se connecter au réseau virtuel.
La disponibilité des points de terminaison privés dépend du niveau App Configuration :
| Niveau | Nombre maximal de points de terminaison privés |
|---|---|
| Libre | 0 |
| Developer | 1 |
| Norme | 10 |
| Premium | 40 |
Pour plus d’informations sur la tarification, consultez la tarification d’Azure App Configuration.
Vue d'ensemble conceptuelle
Un point de terminaison privé est une interface réseau spéciale pour un service Azure dans un réseau virtuel Azure. Lorsque vous créez un point de terminaison privé pour votre magasin App Configuration, il permet de fournir une connectivité sécurisée entre les clients sur votre réseau virtuel et votre magasin de configuration. Une adresse IP est attribuée au point de terminaison privé à partir de la plage d’adresses IP de votre réseau virtuel. La connexion entre le point de terminaison privé et le magasin de configuration utilise une liaison privée pour optimiser la sécurité.
Les applications du réseau virtuel peuvent se connecter au magasin de configuration sur le point de terminaison privé en utilisant les mêmes chaînes de connexion et mécanismes d’autorisation qu’elles utilisent habituellement. Vous pouvez utiliser des points de terminaison privés avec tous les protocoles pris en charge par le magasin App Configuration.
App Configuration ne prend pas en charge les points de terminaison de service, mais vous pouvez créer des points de terminaison privés dans des sous-réseaux qui utilisent des points de terminaison de service. Les clients d’un sous-réseau peuvent utiliser un point de terminaison privé pour se connecter à un magasin App Configuration tout en utilisant des points de terminaison de service pour accéder à d’autres services.
Lorsque vous créez un point de terminaison privé pour un service dans votre réseau virtuel, une demande de consentement est envoyée pour approbation au propriétaire du compte de service. Si l’utilisateur qui demande la création du point de terminaison privé est également propriétaire du compte, cette demande de consentement est automatiquement approuvée.
Les propriétaires de compte de service peuvent gérer les demandes de consentement et les points de terminaison privés dans le portail Azure. Vous pouvez trouver des paramètres de point de terminaison privé en accédant à votre magasin App Configuration, en sélectionnant Paramètres>réseau, puis en accédant à l’onglet Accès privé .
Points de terminaison privés pour App Configuration
Lorsque vous créez un point de terminaison privé, vous devez spécifier le magasin App Configuration auquel il se connecte. Si vous activez la géoréplication pour un magasin App Configuration, vous pouvez vous connecter à tous les réplicas du magasin à l’aide du même point de terminaison privé. Si vous avez plusieurs magasins App Configuration, vous avez besoin d’un point de terminaison privé distinct pour chaque magasin.
Considérations relatives aux magasins App Configuration géorépliqués
Lorsque la géoréplication est activée pour votre magasin App Configuration, vous pouvez utiliser un point de terminaison privé unique pour vous connecter à tous les réplicas. Toutefois, les points de terminaison privés sont des ressources régionales. Par conséquent, cette approche peut ne pas garantir la connectivité lors d’une panne régionale.
Pour une résilience renforcée, envisagez de créer un point de terminaison privé pour chaque réplica de votre magasin géorépliqué, en plus d’un point de terminaison privé pour le magasin d’origine. Si une région devient indisponible, les clients peuvent accéder au magasin via un point de terminaison privé approvisionné dans la même région qu’une réplique. Lorsque vous utilisez cette configuration, vous devez apporter des modifications DNS. Plus précisément, le point de terminaison de chaque réplica doit correspondre à l'adresse IP pertinente du point de terminaison privé dans la région de ce réplica.
Connexions de point de terminaison privé
Azure s’appuie sur la résolution DNS pour acheminer les connexions du réseau virtuel vers le magasin de configuration via une liaison privée. Vous pouvez trouver des chaînes de connexion dans le portail Azure en sélectionnant votre magasin App Configuration, puis en sélectionnant Paramètres>d’accès.
Important
Lorsque vous vous connectez à votre magasin App Configuration à l’aide d’un point de terminaison privé, utilisez la même chaîne de connexion que celle que vous utilisez pour un point de terminaison public. Ne vous connectez pas au magasin à l’aide de son privatelink URL de sous-domaine.
Remarque
Par défaut, lorsque vous ajoutez un point de terminaison privé à votre magasin App Configuration, toutes les demandes de vos données App Configuration sur le réseau public sont refusées. Vous pouvez activer l’accès au réseau virtuel à l’aide de la commande Azure CLI suivante. Il est important de prendre en compte les implications en matière de sécurité de l’activation de l’accès au réseau public dans ce scénario.
az appconfig update --resource-group <resource-group-name> --name <App-Configuration-store-name> --enable-public-network true
Modifications DNS pour les points de terminaison privés
Quand vous créez un point de terminaison privé, l’enregistrement de ressource CNAME DNS pour le magasin de configuration est remplacé par un alias dans un sous-domaine avec le préfixe privatelink. Azure crée également une zone DNS privée correspondant au privatelink sous-domaine. La zone DNS privée contient un enregistrement de ressource DNS A pour le point de terminaison privé. Lorsque vous activez la géoréplication, Azure crée un enregistrement DNS distinct pour chaque réplica. Chaque enregistrement a une adresse IP unique dans la zone DNS privée.
Lorsque vous résolvez l’URL du point de terminaison à partir du réseau virtuel qui héberge le point de terminaison privé, l’URL du point de terminaison est résolue vers le point de terminaison privé du magasin. Lorsque vous résolvez l'URL du point de terminaison depuis l'extérieur du réseau virtuel, elle se résout vers le point de terminaison public. Quand vous créez un point de terminaison privé, le point de terminaison public est désactivé.
Si vous utilisez un serveur DNS personnalisé sur votre réseau, vous devez le configurer pour déléguer votre privatelink sous-domaine à la zone DNS privée du réseau virtuel. Vous pouvez également configurer les enregistrements A pour les URL de liens privés de votre magasin. Ces enregistrements A utilisent les formats suivants :
-
<App-Configuration-store-name>.privatelink.azconfig.iopour votre magasin d’origine. -
<App-Configuration-store-name>-<replica-name>.privatelink.azconfig.iopour chaque réplica si la géoréplication est activée. Chaque point de terminaison privé a une adresse IP privée unique.
Tarifs
L’activation de points de terminaison privés nécessite un magasin App Configuration avec un niveau Développeur, Standard ou Premium. Pour plus d’informations sur la tarification des liaisons privées, consultez la tarification d’Azure Private Link.
Résoudre les erreurs d’inscription du fournisseur de ressources
Si vous connectez un point de terminaison privé à un magasin App Configuration dans un abonnement où le fournisseur de ressources App Configuration n’est pas inscrit, le message suivant s’affiche :
« L’abonnement du point de terminaison privé « 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e » n’est pas inscrit pour utiliser le fournisseur de ressources « Microsoft.AppConfiguration ». »
Ce message s’affiche généralement lorsque le point de terminaison privé et le magasin App Configuration se trouvent dans différents abonnements. Pour résoudre la situation, procédez comme suit :
- Inscrivez le fournisseur de ressources
Microsoft.AppConfigurationdans l’abonnement du point de terminaison privé. - Reconnectez le point de terminaison privé au magasin App Configuration.
Pour plus d’informations sur l’inscription d’un abonnement auprès d’un fournisseur de ressources, consultez Inscrire un fournisseur de ressources.
Étapes suivantes
Pour savoir comment créer un point de terminaison privé pour votre magasin App Configuration, consultez les articles suivants :
- Créer un point de terminaison privé au moyen du Portail Azure
- Créer un point de terminaison privé au moyen de l’interface Azure CLI
- Créer un point de terminaison privé à l’aide d’Azure PowerShell
Pour savoir comment configurer votre serveur DNS avec des points de terminaison privés, consultez les articles suivants :