Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Możesz użyć prywatnych punktów końcowych dla usługi Azure App Configuration, aby umożliwić klientom w sieci wirtualnej dostęp do danych za pośrednictwem łącza prywatnego. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej do przechowywania konfiguracji aplikacji App Configuration. Ruch sieciowy między klientami w sieci wirtualnej a magazynem App Configuration przechodzi przez sieć wirtualną przy użyciu łącza prywatnego w sieci szkieletowej firmy Microsoft. Ten układ eliminuje narażenie na publiczny Internet.
Podczas korzystania z prywatnych punktów końcowych dla sklepu App Configuration można:
- Pomóż zabezpieczyć szczegóły konfiguracji aplikacji, konfigurując zaporę w celu blokowania wszystkich połączeń z usługą App Configuration w publicznym punkcie końcowym.
- Zwiększ bezpieczeństwo sieci wirtualnej, co pomaga zapewnić, że dane nie unikną z sieci wirtualnej.
- Zwiększ bezpieczeństwo połączeń między magazynem App Configuration a sieciami lokalnymi, które używają usługi Azure VPN Gateway lub Azure ExpressRoute z prywatnym peeringiem do połączenia z siecią wirtualną.
Dostępność prywatnych punktów końcowych zależy od warstwy App Configuration:
| Warstwa | Maksymalna liczba prywatnych punktów końcowych |
|---|---|
| Bezpłatna | 0 |
| Deweloper | 1 |
| Standard | 10 |
| Premium | 40 |
Aby uzyskać więcej informacji na temat cen, zobacz Cennik usługi Azure App Configuration.
Omówienie pojęć
Prywatny punkt końcowy to specjalny interfejs sieciowy dla usługi platformy Azure w usłudze Azure Virtual Network. Podczas tworzenia prywatnego punktu końcowego dla magazynu App Configuration, umożliwiasz bezpieczną łączność między klientami w sieci wirtualnej a magazynem konfiguracji. Prywatny punkt końcowy ma przypisany adres IP z zakresu adresów IP sieci wirtualnej. Połączenie między prywatnym punktem końcowym a magazynem konfiguracji używa łącza prywatnego w celu zoptymalizowania zabezpieczeń.
Aplikacje w sieci wirtualnej mogą łączyć się z magazynem konfiguracji za pośrednictwem prywatnego punktu końcowego przy użyciu tych samych parametrów połączenia i mechanizmów autoryzacji, których używają w inny sposób. Można używać prywatnych punktów końcowych ze wszystkimi protokołami obsługiwanymi przez magazyn App Configuration.
Usługa App Configuration nie obsługuje punktów końcowych usługi, ale można tworzyć prywatne punkty końcowe w podsieciach korzystających z punktów końcowych usługi. Klienci w podsieci mogą używać prywatnego punktu końcowego do łączenia się ze sklepem App Configuration, podczas gdy używają punktów końcowych do uzyskiwania dostępu do innych usług.
Podczas tworzenia prywatnego punktu końcowego dla usługi w sieci wirtualnej żądanie zgody jest wysyłane do właściciela konta usługi. Jeśli użytkownik żądający utworzenia prywatnego punktu końcowego jest również właścicielem konta, to żądanie zgody zostanie automatycznie zatwierdzone.
Właściciele konta usługi mogą zarządzać żądaniami zgody i prywatnymi punktami końcowymi w witrynie Azure Portal. Ustawienia prywatnego punktu końcowego można znaleźć, przechodząc do sklepu App Configuration, wybierając pozycję Ustawienia>Sieć, a następnie przechodząc do karty Dostęp prywatny .
Prywatne punkty końcowe dla usługi App Configuration
Podczas tworzenia prywatnego punktu końcowego należy określić magazyn App Configuration, z którym się łączy. Jeśli włączysz replikację geograficzną dla magazynu usługi App Configuration, możesz nawiązać połączenie ze wszystkimi replikami magazynu przy użyciu tego samego prywatnego punktu końcowego. Jeśli masz wiele magazynów usługi App Configuration, potrzebujesz oddzielnego prywatnego punktu końcowego dla każdego magazynu.
Rozważania dotyczące geograficznie replikowanych magazynów konfiguracji aplikacji
Po włączeniu replikacji geograficznej dla magazynu usługi App Configuration można użyć jednego prywatnego punktu końcowego do nawiązania połączenia ze wszystkimi replikami. Prywatne punkty końcowe są jednak zasobami regionalnymi. W związku z tym takie podejście może nie zapewnić łączności podczas awarii regionalnej.
Aby zwiększyć odporność, rozważ utworzenie prywatnego punktu końcowego dla każdej repliki sklepu z replikacją geograficzną, oprócz prywatnego punktu końcowego sklepu pierwotnego. Jeśli jeden region stanie się niedostępny, klienci będą mogli uzyskiwać dostęp do magazynu za pośrednictwem prywatnego punktu końcowego aprowizowanego w tym samym regionie co replika. W przypadku korzystania z tej konfiguracji należy wprowadzić zmiany systemu nazw domen (DNS). W szczególności punkt końcowy dla każdej repliki powinien być rozpoznawany jako odpowiedni adres IP dla prywatnego punktu końcowego w regionie tej repliki.
Prywatne połączenia punktów końcowych
Platforma Azure korzysta z rozpoznawania nazw DNS w celu kierowania połączeń z sieci wirtualnej do magazynu konfiguracji za pośrednictwem łącza prywatnego. Parametry połączenia można znaleźć w witrynie Azure Portal, wybierając sklep App Configuration, a następnie wybierając pozycję Ustawienia>Dostępu.
Ważne
Podczas nawiązywania połączenia z magazynem App Configuration przy użyciu prywatnego punktu końcowego użyj tych samych parametrów połączenia, które są używane dla publicznego punktu końcowego. Nie łącz się ze sklepem przy użyciu adresu privatelink URL poddomeny.
Uwaga / Notatka
Domyślnie po dodaniu prywatnego punktu końcowego do magazynu App Configuration wszystkie żądania dotyczące danych App Configuration za pośrednictwem sieci publicznej są odrzucane. Dostęp do sieci publicznej można włączyć za pomocą następującego polecenia interfejsu wiersza polecenia platformy Azure. Ważne jest, aby w tym scenariuszu wziąć pod uwagę implikacje bezpieczeństwa dotyczące włączania dostępu do sieci publicznej.
az appconfig update --resource-group <resource-group-name> --name <App-Configuration-store-name> --enable-public-network true
Zmiany DNS dla prywatnych punktów końcowych
Podczas tworzenia prywatnego punktu końcowego rekord zasobu CNAME systemu DNS dla magazynu konfiguracji jest aktualizowany do aliasu w poddomenie z prefiksem privatelink. Platforma Azure tworzy również prywatną strefę DNS odpowiadającą privatelink poddomenie. Prywatna strefa DNS zawiera rekord zasobu DNS A dla prywatnego punktu końcowego. Po włączeniu replikacji geograficznej platforma Azure tworzy oddzielny rekord DNS dla każdej repliki. Każdy rekord ma unikatowy adres IP w prywatnej strefie DNS.
Po rozpoznaniu adresu URL punktu końcowego z sieci wirtualnej, która hostuje prywatny punkt końcowy, adres URL punktu końcowego jest rozpoznawany jako prywatny punkt końcowy magazynu. Po rozpoznaniu adresu URL punktu końcowego spoza sieci wirtualnej adres URL punktu końcowego jest rozpoznawany jako publiczny punkt końcowy. Podczas tworzenia prywatnego punktu końcowego publiczny punkt końcowy jest wyłączony.
Jeśli używasz niestandardowego serwera DNS w sieci, musisz skonfigurować go w celu delegowania privatelink poddomeny do prywatnej strefy DNS dla sieci wirtualnej. Alternatywnie można skonfigurować rekordy A dla adresów URL linków prywatnych sklepu. Te rekordy A używają następujących formatów:
-
<App-Configuration-store-name>.privatelink.azconfig.iodla sklepu źródłowego. -
<App-Configuration-store-name>-<replica-name>.privatelink.azconfig.iodla każdej repliki, jeśli włączono replikację geograficzną. Każdy prywatny punkt końcowy ma unikatowy prywatny adres IP.
Ceny
Włączenie prywatnych punktów końcowych wymaga magazynu App Configuration z warstwą Developer, Standard lub Premium. Aby uzyskać więcej informacji na temat cennika usługi Private Link, zobacz Cennik usługi Azure Private Link.
Rozwiązywanie problemów z błędami rejestracji dostawcy zasobów
Jeśli połączysz prywatny punkt końcowy z magazynem usługi App Configuration w subskrypcji, w której dostawca zasobów usługi App Configuration nie jest zarejestrowany, zostanie wyświetlony następujący komunikat:
"Subskrypcja prywatnego punktu końcowego "aaaa0a0a-bb1b-cc2c-dd3d-eee4e4e4e4e" nie jest zarejestrowana do używania dostawcy zasobów "Microsoft.AppConfiguration".
Ten komunikat jest zwykle wyświetlany, gdy prywatny punkt końcowy i sklep App Configuration znajdują się w różnych subskrypcjach. Aby rozwiązać ten problem, wykonaj następujące czynności:
- Zarejestruj dostawcę
Microsoft.AppConfigurationzasobów w subskrypcji prywatnego punktu końcowego. - Ponownie połącz prywatny punkt końcowy z magazynem App Configuration.
Aby uzyskać więcej informacji na temat rejestrowania subskrypcji u dostawcy zasobów, zobacz Rejestrowanie dostawcy zasobów.
Dalsze kroki
Aby dowiedzieć się, jak utworzyć prywatny punkt końcowy dla sklepu App Configuration, zobacz następujące artykuły:
- Tworzenie prywatnego punktu końcowego przy użyciu witryny Azure Portal
- Tworzenie prywatnego punktu końcowego przy użyciu interfejsu wiersza polecenia platformy Azure
- Tworzenie prywatnego punktu końcowego przy użyciu programu Azure PowerShell
Aby dowiedzieć się, jak skonfigurować serwer DNS przy użyciu prywatnych punktów końcowych, zobacz następujące artykuły: