Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете использовать частные конечные точки для службы "Конфигурация приложений Azure", чтобы клиенты в виртуальной сети могли безопасно обращаться к данным по приватной ссылке. Частная конечная точка использует IP-адрес из адресного пространства VNet для вашего хранилища конфигурации приложений. Сетевой трафик между клиентами из виртуальной сети и хранилищем "Конфигурация приложений" проходит через виртуальную сеть, используя приватный канал в магистральной сети Майкрософт, что позволяет избежать доступа из открытого Интернета.
Использование частных конечных точек для хранилища "Конфигурация приложений" позволяет:
- Защита сведений о конфигурации приложения путем настройки брандмауэра таким образом, чтобы он блокировал все подключения к службе "Конфигурация приложений" в общедоступной конечной точке.
- Повысьте уровень безопасности для виртуальной сети, чтобы данные не выходили из виртуальной сети.
- Подключайтесь безопасно к хранилищу "Конфигурация приложений" из локальных сетей, которые подключаются к VNet с использованием VPN или ExpressRoutes с частным пирингом.
Общие сведения
Частная конечная точка — это особый сетевой интерфейс для службы Azure в виртуальной сети. При создании частной конечной точки для хранилища "Конфигурация приложений" обеспечивается безопасное подключение между клиентами в виртуальной сети и хранилищем конфигураций. Частной конечной точке назначается IP-адрес из диапазона IP-адресов вашей виртуальной сети. Подключение между частной конечной точкой и хранилищем конфигураций использует защищенный приватный канал.
Приложения в виртуальной сети могут подключаться к хранилищу конфигураций через частную конечную точку, используя те же строки подключения и механизмы авторизации, которые они использовали бы в иных случаях. Частные конечные точки можно использовать со всеми протоколами, поддерживаемыми хранилищем "Конфигурация приложений".
В то время как служба "Конфигурация приложений" не поддерживает конечные точки службы, частные конечные точки можно создавать в подсетях, использующих конечные точки служб. Клиенты в подсети могут безопасно подключаться к хранилищу "Конфигурация приложений" с помощью частной конечной точки, а также использовать конечные точки службы для доступа к другим клиентам.
Когда вы создаете в виртуальной сети частную конечную точку для службы, соответствующий запрос на предоставление согласия отправляется владельцу учетной записи службы. Если пользователь, запрашивающий создание частной конечной точки, одновременно является владельцем учетной записи, запрос на согласие утверждается автоматически.
Владельцы учетных записей служб могут управлять запросами на согласие и частными конечными точками через вкладку Private Endpoints хранилища "Конфигурация приложений" на портале Azure.
Частные конечные точки для "Конфигурации приложений"
При создании частной конечной точки необходимо указать хранилище "Конфигурация приложений", к которому она подключается. Если вы включите георепликацию для хранилища Конфигурация приложений, вы можете подключиться ко всем репликам хранилища с помощью одной частной конечной точки. Если у вас есть несколько хранилищ "Конфигурация приложений", для каждого хранилища потребуется отдельная частная конечная точка.
Подключение к частным конечным точкам
Azure полагается на разрешение DNS для маршрутизации подключений из виртуальной сети в хранилище конфигураций по приватному каналу. Строки подключений можно быстро найти на портале Azure, выбрав свое хранилище "Конфигурации приложений", а затем выбрав Настройки>Ключи доступа.
Внимание
Используйте ту же строку подключения для подключения к хранилищу "Конфигурация приложений" с помощью частных конечных точек, что и для общедоступной конечной точки. Не подключайтесь к хранилищу, используя URL-адрес его поддомена privatelink.
Примечание.
По умолчанию, когда частная конечная точка добавляется в хранилище "Конфигурация приложений", все запросы к данным Конфигурации приложений через общедоступную сеть отклоняются. Также можно включить доступ к общедоступной сети, используя следующую команду Azure CLI. Важно учитывать то, какое влияние оказывает включение доступа к общедоступной сети в этом сценарии на безопасность.
az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true
Изменения DNS для частных конечных точек
При создании частной конечной точки запись ресурса DNS CNAME для хранилища конфигураций обновляется и получает псевдоним в поддомене с префиксом privatelink. Azure также создает частную зону DNS, соответствующую поддомену privatelink, с записями ресурсов DNS A для частных конечных точек. Включение георепликации создает отдельные записи DNS для каждой реплики с уникальными IP-адресами в частной зоне DNS.
При разрешении URL-адреса конечной точки из виртуальной сети, в которой размещается частная конечная точка, он разрешается в частную конечную точку хранилища. При разрешении из-за пределов виртуальной сети (VNet) URL-адрес конечной точки разрешается в общедоступную конечную точку. При создании частной конечной точки общедоступная конечная точка отключается.
Если вы используете пользовательский DNS-сервер в сети, необходимо настроить его для делегирования privatelink поддомена частной зоне DNS для виртуальной сети. Кроме того, вы можете настроить A-записи для приватных URL-адресов вашего магазина, которые могут быть [Your-store-name].privatelink.azconfig.io или [Your-store-name]-[replica-name].privatelink.azconfig.io при включенной георепликации, с уникальными приватными IP-адресами приватной конечной точки.
Цены
Для включения частных конечных точек требуется хранилище конфигурации приложений уровня "Стандартный" или "Премиум". Дополнительные сведения о ценах на приватный канал см. на странице Цены на приватный канал Azure.
Устранение ошибок частной конечной точки
Устранение ошибок регистрации поставщика ресурсов
Следующая ошибка означает, что частная конечная точка, подключенная к хранилищу конфигурации приложений, находится в подписке, которая не зарегистрировала поставщика ресурсов конфигурации приложений Azure:
Подписка частной конечной точки 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e' не зарегистрирована для использования поставщика ресурсов 'Microsoft.AppConfiguration'.
Эта ошибка обычно возникает, если подписка частной конечной точки отличается от подписки Магазина конфигурации приложений. Чтобы устранить проблему, сделайте следующее:
- Зарегистрируйте поставщика ресурсов
Microsoft.AppConfigurationв подписке частной конечной точки. - Повторно подключите частную конечную точку к хранилищу конфигураций приложений.
Дополнительные сведения о регистрации подписки у поставщика ресурсов см. в "Регистрация подписки у поставщика ресурсов".
Следующие шаги
Дополнительные сведения о создании частной конечной точки для хранилища "Конфигурации приложений" см. в следующих статьях:
- Создайте частную конечную точку с использованием Private Link Center в портале Azure
- Создание частной конечной точки с помощью Azure CLI
- Создание частной конечной точки с помощью Azure PowerShell
Узнайте, как настроить DNS-сервер с помощью частных конечных точек: