Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode usar pontos de extremidade privados para a Configuração de Aplicativos do Azure para permitir que clientes em uma rede virtual acessem dados por meio de um link privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço da rede virtual para o repositório da Configuração de Aplicativos. O tráfego de rede entre os clientes na rede virtual e o repositório de Configuração de Aplicativos atravessa a rede virtual usando um link privado na rede de backbone da Microsoft. Essa disposição elimina a exposição à internet pública.
Ao usar pontos de extremidade privados para o repositório da Configuração de Aplicativos, você pode:
- Ajude a proteger os detalhes da configuração do aplicativo configurando um firewall para bloquear todas as conexões com a Configuração do Aplicativo no ponto de extremidade público.
- Aumente a segurança da rede virtual, ajudando a garantir que os dados não escapem da rede virtual.
- Aprimore a segurança das conexões entre o repositório da Configuração de Aplicativos e redes locais que usam o Gateway de VPN do Azure ou o Azure ExpressRoute com emparelhamento privado para se conectar à rede virtual.
A disponibilidade de pontos de extremidade privados depende da camada de configuração do aplicativo.
| Camada | Número máximo de pontos de extremidade privados |
|---|---|
| Gratuito | 0 |
| Desenvolvedor | 1 |
| Standard | 10 |
| Premium | 40 |
Para obter mais informações sobre preços, consulte os preços da Configuração de Aplicativos do Azure.
Visão geral conceitual
Um ponto de extremidade privado é uma interface de rede especial para um serviço no Azure na Rede Virtual do Azure. Quando você cria um ponto de extremidade privado para seu repositório de Configuração de Aplicativos, ele ajuda a fornecer conectividade segura entre clientes em sua rede virtual e no repositório de configuração. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP da sua rede virtual. A conexão entre o ponto de extremidade privado e o repositório de configuração usa um link privado para otimizar a segurança.
Os aplicativos na rede virtual podem se conectar ao repositório de configuração pelo ponto de extremidade privado usando as mesmas cadeias de conexão e mecanismos de autorização que eles usam de outra forma. Você pode usar endpoints privados com todos os protocolos compatíveis com a loja de Configuração de Aplicativos.
A Configuração de Aplicativos não dá suporte a pontos de extremidade de serviço, mas você pode criar pontos de extremidade privados em sub-redes que usam pontos de extremidade de serviço. Os clientes em uma sub-rede podem usar um ponto de extremidade privado para se conectar a um repositório de Configuração de Aplicativos enquanto usam pontos de extremidade de serviço para acessar outros serviços.
Quando você cria um ponto de extremidade privado para um serviço em sua rede virtual, uma solicitação de consentimento é enviada para aprovação para o proprietário da conta de serviço. Se o usuário que solicita a criação do ponto de extremidade privado também for um proprietário da conta, essa solicitação de consentimento será aprovada automaticamente.
Os proprietários da conta de serviço podem gerenciar solicitações de consentimento e pontos de extremidade privados no portal do Azure. Você pode encontrar as configurações de ponto de extremidade privado acessando sua loja de Configuração de Aplicativos, selecionando Configurações>Rede, e em seguida navegando até a guia Acesso Privado.
Pontos de extremidade privados para a Configuração de Aplicativos
Ao criar um ponto de extremidade privado, você deve especificar o repositório de Configuração de Aplicativos ao qual ele se conecta. Se você habilitar a replicação geográfica para um repositório de Configuração de Aplicativos, poderá se conectar a todas as réplicas do repositório usando o mesmo ponto de extremidade privado. Se você tiver vários repositórios de Configuração de Aplicativos, precisará de um ponto de extremidade privado separado para cada repositório.
Considerações para repositórios de Configuração de Aplicativos replicados geograficamente
Quando a replicação geográfica estiver habilitada para o repositório de Configuração de Aplicativos, você poderá usar um único endpoint privado para se conectar a todas as réplicas. No entanto, pontos de extremidade privados são recursos regionais. Como resultado, essa abordagem pode não garantir a conectividade durante uma interrupção regional.
Para maior resiliência, considere a criação de um ponto de extremidade privado para cada réplica do repositório replicado geograficamente, além de um ponto de extremidade privado para o repositório de origem. Se uma região se tornar indisponível, os clientes poderão acessar o repositório por meio de um ponto de extremidade privado provisionado na mesma região que uma réplica. Ao usar essa configuração, você precisa fazer alterações no DNS (Sistema de Nomes de Domínio). Especificamente, o ponto de extremidade de cada réplica deve ser associado ao endereço IP correspondente ao ponto de extremidade privado na região dessa réplica.
Conexões de ponto de extremidade privado
O Azure depende da resolução DNS para rotear conexões da rede virtual para o repositório de configuração por meio de um link privado. Você pode encontrar cadeias de conexão no portal do Azure selecionando seu repositório de Configuração de Aplicativos e, em seguida, selecionando Configurações>Configurações de Acesso.
Importante
Ao se conectar ao repositório de Configuração de Aplicativos usando um ponto de extremidade privado, use a mesma cadeia de conexão usada para um ponto de extremidade público. Não se conecte ao repositório usando sua URL de subdomínio privatelink.
Observação
Por padrão, quando você adiciona um ponto de extremidade privado ao seu repositório de Configuração de Aplicativos, todas as solicitações para seus dados de Configuração de Aplicativo na rede pública são negadas. Você pode habilitar o acesso à rede pública usando o comando da CLI do Azure a seguir. É importante considerar as implicações de segurança de habilitar o acesso à rede pública neste cenário.
az appconfig update --resource-group <resource-group-name> --name <App-Configuration-store-name> --enable-public-network true
Alterações no DNS para pontos de extremidade privados
Ao criar um ponto de extremidade privado, o registro de recurso DNS CNAME da repositório de configuração é atualizado para um alias em um subdomínio com o prefixo privatelink. O Azure também cria uma zona DNS privada correspondente ao privatelink subdomínio. A zona DNS privada contém um registro de recurso DNS A para o ponto de extremidade privado. Quando você habilita a replicação geográfica, o Azure cria um registro DNS separado para cada réplica. Cada registro tem um endereço IP exclusivo na zona DNS privada.
Quando você determina a URL do ponto de extremidade a partir da rede virtual que hospeda o ponto de extremidade privado, a URL é determinada para o ponto de extremidade privado do repositório. Quando você determina a URL do ponto de extremidade a partir de fora da rede virtual, a URL é determinada para o ponto de extremidade público. Quando você cria um ponto de extremidade privado, o ponto de extremidade público é desabilitado.
Se você usar um servidor DNS personalizado em sua rede, precisará configurá-lo para delegar seu privatelink subdomínio à zona DNS privada para a rede virtual. Como alternativa, você pode configurar os registros A para as URLs de link privado da sua loja. Esses registros A usam os seguintes formatos:
-
<App-Configuration-store-name>.privatelink.azconfig.iopara o repositório de origem. -
<App-Configuration-store-name>-<replica-name>.privatelink.azconfig.iopara cada réplica se a replicação geográfica estiver habilitada. Cada ponto de extremidade privado tem um endereço IP privado exclusivo.
Preços
A habilitação de pontos de extremidade privados exige um repositório da Configuração de Aplicativos com uma camada de serviço Desenvolvedor, Standard ou Premium. Para obter mais informações sobre preços de link privado, consulte os preços do Link Privado do Azure.
Solucionar problemas de erros de registro do provedor de recursos
Se você conectar um ponto de extremidade privado a um repositório de Configuração de Aplicativos em uma assinatura em que o provedor de recursos da Configuração de Aplicativos não está registrado, a seguinte mensagem será exibida:
"A assinatura do ponto de extremidade privado 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e' não está registrada para usar o provedor de recursos 'Microsoft.AppConfiguration'."
Essa mensagem normalmente aparece quando o ponto de extremidade privado e o repositório da Configuração de Aplicativos estão em assinaturas diferentes. Para resolver a situação, execute as seguintes etapas:
- Registre o provedor de recursos
Microsoft.AppConfigurationna assinatura do ponto de extremidade privado. - Reconecte o ponto de extremidade privado ao repositório da Configuração de Aplicativos.
Para obter mais informações sobre como registrar uma assinatura em um provedor de recursos, consulte Registrar provedor de recursos.
Próximas etapas
Para saber como criar um endpoint privado para o Armazenamento de Configuração de Aplicativos, consulte os seguintes artigos:
- Criar um endpoint privado usando o portal do Azure
- Criar um ponto de extremidade privado usando a CLI do Azure
- Criar um ponto de conexão privado usando o Azure PowerShell
Para descobrir como configurar o servidor DNS com pontos de extremidade privados, consulte os seguintes artigos: