Использование частных конечных точек для конфигурации приложений Azure

Для настройки приложений Azure можно использовать частные конечные точки , чтобы клиенты в виртуальной сети могли получать доступ к данным через приватный канал. Частная конечная точка использует IP-адрес из адресного пространства виртуальной сети для хранилища конфигурации приложений. Сетевой трафик между клиентами в виртуальной сети и хранилищем конфигурации приложений проходит через виртуальную сеть с помощью частного канала в магистральной сети Майкрософт. Это соглашение устраняет воздействие на общедоступный Интернет.

При использовании частных конечных точек для хранилища конфигурации приложений можно:

• Помогите защитить сведения о конфигурации приложения, настроив брандмауэр для блокировки всех подключений к конфигурации приложений в общедоступной конечной точке.
• Увеличьте безопасность виртуальной сети, что поможет гарантировать, что данные не покинут виртуальную сеть.
• Повышение безопасности подключений между хранилищем конфигурации приложений и локальными сетями, использующих VPN-шлюз Azure или Azure ExpressRoute с частным пирингом для подключения к виртуальной сети.

Доступность частных конечных точек зависит от уровня конфигурации приложений:

Дополнительные сведения о ценах см. в разделе "Конфигурация приложений Azure".

Общие сведения

Частная конечная точка — это специальный сетевой интерфейс для службы Azure в виртуальной сети Azure. При создании частной конечной точки для хранилища конфигурации приложений она помогает обеспечить безопасное подключение между клиентами в виртуальной сети и хранилищем конфигураций. Частной конечной точке назначается IP-адрес из диапазона IP-адресов виртуальной сети. Подключение между частной конечной точкой и хранилищем конфигурации использует приватный канал для оптимизации безопасности.

Приложения в виртуальной сети могут подключаться к хранилищу конфигурации через частную конечную точку , используя те же строки подключения и механизмы авторизации, которые они используют в противном случае. Частные конечные точки можно использовать со всеми протоколами, поддерживаемыми хранилищем конфигурации приложений.

Конфигурация приложений не поддерживает конечные точки службы, но вы можете создавать частные конечные точки в подсетях, использующих конечные точки службы. Клиенты в подсети могут использовать частную конечную точку для подключения к хранилищу конфигураций приложений при использовании конечных точек служб для доступа к другим службам.

При создании частной конечной точки для службы в виртуальной сети запрос на согласие отправляется владельцу учетной записи службы. Если пользователь, запрашивающий создание частной конечной точки, одновременно является владельцем учетной записи, запрос на согласие утверждается автоматически.

Владельцы учетных записей служб могут управлять запросами согласия и частными конечными точками на портале Azure. Параметры частной конечной точки можно найти, перейдя в хранилище конфигурации приложений, выбрав "Параметры>сети", а затем перейдите на вкладку "Закрытый доступ ".

Частные конечные точки для "Конфигурации приложений"

При создании частной конечной точки необходимо указать хранилище конфигурации приложений, к которому он подключается. Если вы включите георепликацию для хранилища конфигурации приложений, вы можете подключиться ко всем репликам хранилища с помощью одной частной конечной точки. Если у вас есть несколько хранилищ "Конфигурация приложений", для каждого хранилища потребуется отдельная частная конечная точка.

Рекомендации по геореплицированным хранилищам конфигурации приложений

Если георепликация включена для хранилища конфигурации приложений, можно использовать одну частную конечную точку для подключения ко всем репликам. Однако частные конечные точки являются региональными ресурсами. В результате такой подход может не обеспечить подключение во время регионального сбоя.

Для повышения устойчивости рекомендуется создать частную конечную точку для каждой реплики геореплицированного хранилища, помимо частной конечной точки для хранилища источников. Если один регион становится недоступным, клиенты могут получить доступ к хранилищу через частную конечную точку, подготовленную в том же регионе, что и реплика. При использовании этой настройки необходимо внести изменения в систему доменных имен (DNS). В частности, конечная точка для каждой реплики должна соответствовать соответствующему IP-адресу для частной конечной точки в регионе реплики.

Подключения к частной конечной точке

Azure использует разрешение DNS для маршрутизации подключений из виртуальной сети в хранилище конфигурации через приватный канал. Строки подключения можно найти на портале Azure, выбрав репозиторий конфигурации приложения, а затем Настройки>Параметры доступа.

az appconfig update --resource-group <resource-group-name> --name <App-Configuration-store-name> --enable-public-network true

Изменения DNS для частных конечных точек

При создании частной конечной точки запись ресурса DNS CNAME для хранилища конфигураций обновляется и получает псевдоним в поддомене с префиксом privatelink. Azure также создает частную зону DNS , соответствующую поддомену privatelink . Частная зона DNS содержит запись ресурса DNS A для частной конечной точки. При включении георепликации Azure создает отдельную запись DNS для каждой реплики. Каждая запись имеет уникальный IP-адрес в частной зоне DNS.

При разрешении URL-адреса конечной точки из виртуальной сети, в которой размещена частная конечная точка, URL-адрес этой конечной точки разрешается в частную конечную точку хранилища. При разрешении URL-адреса конечной точки вне виртуальной сети он отображается на общедоступную конечную точку. При создании частной конечной точки общедоступная конечная точка отключается.

Если в сети используется пользовательский DNS-сервер, необходимо настроить его для делегирования privatelink поддомена частной зоне DNS для виртуальной сети. Кроме того, можно настроить записи A для URL-адресов приватных ссылок вашего магазина. Эти записи A используют следующие форматы:

• <App-Configuration-store-name>.privatelink.azconfig.io для магазина-источника.
• <App-Configuration-store-name>-<replica-name>.privatelink.azconfig.io для каждой реплики, если включена георепликация. Каждая частная конечная точка имеет уникальный частный IP-адрес.

Цены

Для включения частных конечных точек требуется хранилище конфигурации приложений с уровнем "Разработчик", "Стандартный" или "Премиум". Дополнительные сведения о ценах на приватный канал см. в статье о ценах на Приватный канал Azure.

Устранение ошибок регистрации поставщика ресурсов

Если вы подключаете частную конечную точку к хранилищу конфигурации приложений в подписке, где поставщик ресурсов конфигурации приложений не зарегистрирован, появится следующее сообщение:

Подписка частной конечной точки 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e' не зарегистрирована для использования поставщика ресурсов 'Microsoft.AppConfiguration'.

Это сообщение обычно отображается, когда частная конечная точка и хранилище конфигурации приложений находятся в разных подписках. Чтобы устранить ситуацию, сделайте следующее:

1. Зарегистрируйте поставщика ресурсов Microsoft.AppConfiguration в подписке частной конечной точки.
2. Повторно подключите частную конечную точку к хранилищу конфигураций приложений.

Дополнительные сведения о регистрации подписки в поставщике ресурсов см. в разделе "Регистрация поставщика ресурсов".

Следующие шаги

Чтобы узнать, как создать частную конечную точку для хранилища конфигурации приложений, ознакомьтесь со следующими статьями:

• Создание частной конечной точки с помощью портал Azure
• Создание частной конечной точки с помощью Azure CLI
• Создание частной конечной точки с помощью Azure PowerShell

Сведения о настройке DNS-сервера с частными конечными точками см. в следующих статьях:

• Разрешение имен ресурсов в виртуальных сетях Azure
• Конфигурация DNS для частных конечных точек