Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Você pode usar pontos de extremidade privados para a Configuração de Aplicativo do Azure para permitir que clientes em uma rede virtual acessem dados por meio de um link privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço de rede virtual para sua loja de configuração de aplicativos. O tráfego de rede entre os clientes na rede virtual e a App Configuration Store atravessa a rede virtual usando um link privado na rede de backbone da Microsoft. Este arranjo elimina a exposição à internet pública.
Quando utiliza pontos de extremidade privados para a sua loja de Configuração de Aplicações, pode:
- Ajude a proteger os detalhes de configuração do aplicativo configurando um firewall para bloquear todas as conexões com a Configuração do Aplicativo no ponto de extremidade público.
- Aumente a segurança da rede virtual, ajudando a garantir que os dados não escapem da rede virtual.
- Melhore a segurança das conexões entre o repositório de Configuração de Aplicativo e as redes locais que usam o Gateway de VPN do Azure ou a Rota Expressa do Azure com emparelhamento privado para se conectar à rede virtual.
A disponibilidade de pontos de extremidade privados depende da camada de Configuração da Aplicação.
| Escalão de serviço | Número máximo de endpoints privados |
|---|---|
| Gratuito | 0 |
| Desenvolvedor | 1 |
| Standard | 10 |
| Premium | 40 |
Para obter mais informações sobre preços, consulte Preços da Configuração do Aplicativo do Azure.
Descrição geral conceptual
Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure na Rede Virtual do Azure. Quando o utilizador cria um ponto de extremidade privado para a loja de Configuração de Aplicativos, isto ajuda a estabelecer conectividade segura entre clientes na sua rede virtual e o seu repositório de configuração. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP da sua rede virtual. A conexão entre o ponto de extremidade privado e o repositório de configuração usa um link privado para otimizar a segurança.
Os aplicativos na rede virtual podem se conectar ao repositório de configuração através do ponto de extremidade privado usando as mesmas cadeias de conexão e mecanismos de autorização que eles usam de outra forma. Você pode usar pontos de extremidade privados com todos os protocolos suportados pela App Configuration Store.
A Configuração do Aplicativo não oferece suporte a pontos de extremidade de serviço, mas você pode criar pontos de extremidade privados em sub-redes que usam pontos de extremidade de serviço. Os clientes numa sub-rede podem usar um ponto de extremidade privado para se conectarem a uma loja de Configuração de Aplicativo, enquanto usam pontos de extremidade de serviço para aceder a outros serviços.
Quando você cria um ponto de extremidade privado para um serviço em sua rede virtual, uma solicitação de consentimento é enviada para aprovação ao proprietário da conta de serviço. Se o usuário que solicita a criação do ponto de extremidade privado também for proprietário da conta, essa solicitação de consentimento será aprovada automaticamente.
Os proprietários de contas de serviço podem gerenciar solicitações de consentimento e pontos de extremidade privados no portal do Azure. Pode encontrar definições de terminais privados acedendo à sua loja de Configuração de Aplicações, selecionando Definições>de Rede e, em seguida, acedendo ao separador Acesso Privado .
Pontos de extremidade privados para configuração de aplicativos
Ao criar um ponto de extremidade privado, deve especificar a loja de Configuração de Aplicações à qual se conecta. Se você habilitar a replicação geográfica para uma loja de Configuração de Aplicativo, poderá se conectar a todas as réplicas da loja usando o mesmo ponto de extremidade privado. Se você tiver várias lojas de Configuração de Aplicativos, precisará de um ponto de extremidade privado separado para cada loja.
Considerações para repositórios de configuração de aplicativos replicados geograficamente
Quando a replicação geográfica está habilitada para seu repositório de Configuração de Aplicativos, você pode usar um único ponto de extremidade privado para se conectar a todas as réplicas. No entanto, os pontos finais privados são recursos regionais. Como resultado, essa abordagem pode não garantir a conectividade durante uma interrupção regional.
Para maior resiliência, considere a criação de um ponto de extremidade privado para cada réplica do seu repositório replicado geograficamente, além de um ponto de extremidade privado para o repositório de origem. Se uma região ficar indisponível, os clientes poderão aceder à loja através de um ponto de extremidade privado configurado na mesma região que uma réplica. Ao usar essa configuração, você precisa fazer alterações no DNS (Sistema de Nomes de Domínio). Especificamente, o ponto de extremidade de cada réplica deve corresponder ao endereço IP relevante para o ponto de extremidade privado na região dessa réplica.
Conexões de pontos de extremidade privados
O Azure depende da resolução DNS para rotear conexões da rede virtual para o repositório de configuração por meio de um link privado. Você pode encontrar cadeias de conexão no portal do Azure selecionando sua loja de Configuração de Aplicativo e, em seguida, selecionando Configurações>Configurações de acesso.
Importante
Quando você se conecta à sua loja de configuração de aplicativos usando um ponto de extremidade privado, use a mesma cadeia de conexão que você usa para um ponto de extremidade público. Não se conecte à loja usando sua privatelink URL de subdomínio.
Nota
Por padrão, quando você adiciona um ponto de extremidade privado à sua loja de Configuração de Aplicativos, todas as solicitações de seus dados de Configuração de Aplicativo pela rede pública são negadas. Você pode habilitar o acesso à rede pública usando o seguinte comando da CLI do Azure. É importante considerar as implicações de segurança de habilitar o acesso à rede pública nesse cenário.
az appconfig update --resource-group <resource-group-name> --name <App-Configuration-store-name> --enable-public-network true
Alterações de DNS para pontos de extremidade privados
Quando você cria um ponto de extremidade privado, o registro de recurso CNAME DNS para o repositório de configuração é atualizado para um alias em um subdomínio com o prefixo privatelink. O Azure também cria uma zona DNS privada correspondente ao privatelink subdomínio. A zona DNS privada contém um registro de recurso DNS A para o ponto de extremidade privado. Quando você habilita a replicação geográfica, o Azure cria um registro DNS separado para cada réplica. Cada registo tem um endereço IP exclusivo na zona DNS privada.
Quando você resolve a URL do ponto de extremidade de dentro da rede virtual que hospeda o ponto de extremidade privado, a URL do ponto de extremidade é resolvida para o ponto de extremidade privado do armazenamento. Quando você resolve a URL do ponto de extremidade de fora da rede virtual, a URL do ponto de extremidade é resolvida para o ponto de extremidade público. Quando você cria um ponto de extremidade privado, o ponto de extremidade público é desabilitado.
Se você usar um servidor DNS personalizado na rede, precisará configurá-lo para delegar seu privatelink subdomínio à zona DNS privada da rede virtual. Como alternativa, você pode configurar os registros A para as URLs de link privado da sua loja. Esses registos A utilizam os seguintes formatos:
-
<App-Configuration-store-name>.privatelink.azconfig.iopara a sua loja de origem. -
<App-Configuration-store-name>-<replica-name>.privatelink.azconfig.iopara cada réplica se a replicação geográfica estiver ativada. Cada ponto de extremidade privado tem um endereço IP privado exclusivo.
Preços
A habilitação de pontos de extremidade privados requer uma loja de Configuração de Aplicativo com uma camada de Desenvolvedor, Padrão ou Premium. Para obter mais informações sobre preços de links privados, consulte Preços de links privados do Azure.
Solucionar erros de registro do provedor de recursos
Se ligar um ponto de extremidade privado a uma loja de Configuração de Aplicações numa subscrição em que o fornecedor de recursos de Configuração de Aplicações não esteja registado, é apresentada a seguinte mensagem:
A assinatura do ponto de extremidade privado 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e' não está registada para utilizar o provedor de recursos 'Microsoft.AppConfiguration'.
Essa mensagem normalmente aparece quando o ponto de extremidade privado e a loja de configuração de aplicativos estão em assinaturas diferentes. Para resolver a situação, execute as seguintes etapas:
- Registe o provedor de recursos
Microsoft.AppConfigurationna subscrição do ponto de extremidade privado. - Reconecte o ponto de extremidade privado ao repositório de Configuração de Aplicações.
Para obter mais informações sobre como registrar uma assinatura para um provedor de recursos, consulte Registrar provedor de recursos.
Próximos passos
Para saber como criar um ponto de extremidade privado para sua loja de configuração de aplicativos, consulte os seguintes artigos:
- Criar um ponto de extremidade privado usando o portal do Azure
- Criar um endpoint privado utilizando a CLI do Azure
- Usar o Azure PowerShell para criar um ponto de extremidade privado
Para saber como configurar seu servidor DNS com pontos de extremidade privados, consulte os seguintes artigos:
- Name resolution for resources in Azure virtual networks (Resolução de nomes para recursos em redes virtuais do Azure)
- Configuração de DNS para pontos de extremidade privados