Настройка закрытого доступа в конфигурации приложений Azure

Войдите на портал Azure по адресу https://portal.azure.com/ с помощью учетной записи Azure.

Войдите в Azure с помощью az login команды в Azure CLI.

az login

Она укажет веб-браузеру, что нужно запустить и загрузить страницу входа в Azure. Если браузер не откроется, используйте поток кода устройства с помощью команды az login --use-device-code. Дополнительные параметры входа см. в разделе Вход с помощью Azure CLI.

1. В хранилище конфигурации приложений в разделе "Параметры" выберите "Сеть".

2. Перейдите на вкладку "Закрытый доступ" , а затем создайте , чтобы начать настройку новой частной конечной точки.

   

3. Заполните форму, указав следующую информацию.

   Развернуть таблицу

   Параметр	Описание	Пример
   Подписка	Выберите подписку Azure. Частная конечная точка должна находиться в той же подписке, что и виртуальная сеть. Вы выберете виртуальную сеть далее в этом практическом руководстве.	MyAzureSubscription
   Группа ресурсов	Выберите группу ресурсов или создайте новую.	MyResourceGroup
   Имя	Введите уникальное имя новой частной конечной точки для хранилища конфигурации приложений. При использовании портала Azure имя подключения к частной конечной точке будет совпадать с именем частной конечной точки. Хранилища конфигурации приложений должны иметь уникальные имена подключений к частной конечной точке.	MyPrivateEndpoint
   Имя сетевого интерфейса	Это поле заполняется автоматически. При необходимости измените имя сетевого интерфейса.	MyPrivateEndpoint-nic
   Область	выберите регион. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть.	Центральная часть США

   

4. Выберите Далее: Ресурс >. Private Link предлагает варианты создания частных конечных точек для различных типов ресурсов Azure, таких как серверы SQL, учетные записи хранения Azure или хранилища конфигураций приложений. Текущее хранилище конфигурации приложений автоматически заполняется полем ресурсов , так как это ресурс, к которому подключается частная конечная точка.

   1. Тип ресурса Microsoft.AppConfiguration/configurationStores и целевой подресурс configurationStores указывает, что вы создаете конечную точку для хранилища конфигурации приложений.

   2. Имя хранилища конфигурации указано в разделе "Ресурс".

   

5. Выберите Далее: Виртуальная сеть >.

   1. Выберите существующую виртуальную сеть, где нужно развернуть частную конечную точку. Если у вас нет виртуальной сети, создайте ее.

   2. Выберите Подсеть в списке.

   3. Оставьте флажок Включить политики сети для всех частных конечных точек в этой подсети .

   4. В разделе Конфигурация частного IP-адреса выберите параметр для динамического выделения IP-адресов. Дополнительные сведения см. в разделе Частные IP-адреса.

   5. При необходимости можно выбрать или создать группу безопасности приложений. Группы безопасности приложений позволяют группировать виртуальные машины и определять политики безопасности сети на основе этих групп.

   

6. Выберите Далее: DNS >, чтобы настроить запись DNS. Если вы не хотите изменять параметры по умолчанию, можно перейти к следующей вкладке.

   1. Выберите значение Да для параметра Интеграция с частной зоной DNS, если хотите интегрировать частную конечную точку с частной зоной DNS. Вы также можете использовать собственные DNS-серверы или создавать записи DNS с помощью файлов узлов на виртуальных машинах.

   2. Для частной зоны DNS предварительно выбрана подписка и группа ресурсов. Вы можете изменить их при необходимости.

   

   Дополнительные сведения о конфигурации DNS см. в разделах Разрешение имен ресурсов в виртуальных сетях Azure и Конфигурация DNS для частных конечных точек.

7. Выберите Далее: Теги > и при необходимости создайте теги. Теги — это пары "имя-значение", которые позволяют вам категоризировать ресурсы и группы ресурсов, а также отслеживать консолидированное выставление счетов, применяя один и тот же тег к нескольким ресурсам и группам ресурсов.

   

8. Нажмите кнопку "Далее: просмотр и создание > ", чтобы просмотреть сведения о хранилище конфигурации приложений, частной конечной точке, виртуальной сети и DNS. Вы также можете выбрать Скачать шаблон для автоматизации, чтобы повторно использовать данные JSON из этой формы позже.

   

9. Выберите Создать.

После завершения развертывания вы получите уведомление о создании конечной точки. Если оно утверждено автоматически, вы можете начать доступ к хранилищу конфигурации приложений в частном порядке, иначе вам придется ждать утверждения.

1. Чтобы настроить частную конечную точку, нужна виртуальная сеть. Если у вас ее нет, создайте виртуальную сеть с помощью команды az network vnet create. Замените текст <vnet-name>, <rg-name>, и <subnet-name> на имя вашей новой виртуальной сети, имя группы ресурсов и имя подсети.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Развернуть таблицу

   Замещающее поле	Описание	Пример
   <vnet-name>	Укажите имя для новой виртуальной сети. Виртуальная сеть позволяет ресурсам Azure обмениваться данными в частном порядке и взаимодействовать через Интернет.	MyVNet
   <rg-name>	Введите имя существующей группы ресурсов для своей виртуальной сети.	MyResourceGroup
   <subnet-name>	Введите имя для новой подсети. Подсеть — это сеть внутри сети. В ней назначается частный IP-адрес.	MySubnet
   <vnet-location>	Введите регион Azure. Виртуальная сеть и частная конечная точка должны находиться в одном регионе.	centralus

2. Выполните команду az appconfig show , чтобы получить свойства магазина конфигурации приложений, для которого требуется настроить закрытый доступ. Замените заполнитель name именем или хранилищем конфигурации приложений.

   az appconfig show --name <name>
   

   Эта команда создает выходные данные с информацией о хранилище конфигурации приложений. Запишите значение идентификатора . Например: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Выполните команду az network private-endpoint create , чтобы создать частную конечную точку для хранилища конфигурации приложений. Замените замещающий текст <resource-group>, <private-endpoint-name>, <vnet-name>, <private-connection-resource-id>, <connection-name> и <location> своими собственными сведениями.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Развернуть таблицу

   Замещающее поле	Описание	Пример
   <resource-group>	Введите имя существующей группы ресурсов для своей частной конечной точки.	MyResourceGroup
   <private-endpoint-name>	Введите имя для новой частной конечной точки.	MyPrivateEndpoint
   <vnet-name>	Введите имя существующей виртуальной сети.	Myvnet
   <private-connection-resource-id>	Введите идентификатор ресурса частного подключения в магазине конфигурации приложений. Этот идентификатор, сохраненный из выходных данных предыдущего шага.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Введите имя подключения. Хранилища конфигурации приложений должны иметь уникальные имена подключений к частной конечной точке.	MyConnection
   <location>	Введите регион Azure. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть.	centralus

Перейдите в сетевой>частный доступ в хранилище конфигурации приложений, чтобы получить доступ к частным конечным точкам, связанным с хранилищем конфигурации приложений.

1. Проверьте состояние подключения своей частной ссылки. При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в вашем каталоге и у вас есть достаточные разрешения, запрос на подключение будет утвержден автоматически. В противном случае необходимо дождаться, пока владелец ресурса утвердит ваш запрос на подключение. Дополнительные сведения о моделях утверждения подключений см. в разделе Управление частными конечными точками Azure.

2. Чтобы вручную утвердить, отклонить или удалить подключение, установите флажок рядом с конечной точкой, которую нужно изменить, и выберите элемент действия в верхнем меню.

   

3. Выберите имя частной конечной точки, чтобы открыть ресурс частной конечной точки и получить доступ к дополнительным сведениям или изменить частную конечную точку.

Выполните команду az network private-endpoint-connection list , чтобы просмотреть все подключения частной конечной точки, связанные с хранилищем конфигурации приложений, и проверить состояние подключения. Замените текст заполнителя resource-group и <app-config-store-name> именем группы ресурсов и именем хранилища.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

При необходимости для получения сведений о конкретной частной конечной точке используйте команду az network private-endpoint-connection show. Замените тексты заполнителей resource-group и app-config-store-name именем группы ресурсов и именем магазина.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого вы создаете частную конечную точку, находится в вашем каталоге и у вас есть достаточные разрешения, запрос на подключение будет утвержден автоматически. В противном случае необходимо дождаться, пока владелец ресурса утвердит ваш запрос на подключение.

Чтобы утвердить подключение к частной конечной точке, используйте команду az network private-endpoint-connection approve. Замените замещающий текст resource-groupи private-endpoint<app-config-store-name> именем группы ресурсов, именем частной конечной точки и именем хранилища.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Дополнительные сведения о моделях утверждения подключений см. в разделе Управление частными конечными точками Azure.

Чтобы удалить подключение к частной конечной точке, используйте команду az network private-endpoint-connection delete. Замените замещающий текст resource-group и private-endpoint именем группы ресурсов и именем частной конечной точки.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Дополнительные команды CLI могут быть найдены с помощью az network private-endpoint-connection.