Nastavení privátního přístupu v konfiguraci Aplikace Azure

V tomto článku se dozvíte, jak nastavit privátní přístup pro úložiště konfigurace Aplikace Azure vytvořením privátního koncového bodu pomocí služby Azure Private Link. Privátní koncové body umožňují přístup ke službě App Configuration Store pomocí privátní IP adresy z virtuální sítě.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Předpokládáme, že už máte obchod App Configuration Store. Pokud ho chcete vytvořit, přejděte do obchodu App Configuration Store.

Přihlášení k Azure

Abyste mohli získat přístup ke službě App Configuration, musíte se nejprve přihlásit k Azure.

Azure Portal

Přihlaste se pomocí svého účtu Azure k webu Azure Portal na adrese https://portal.azure.com/.

Azure CLI

Přihlaste se k Azure pomocí az login příkazu v Azure CLI.

az login

Tento příkaz zobrazí výzvu k spuštění a načtení přihlašovací stránky Azure. Pokud se prohlížeč nepodaří otevřít, použijte tok kódu zařízení s az login --use-device-code. Pokud chcete získat další možnosti přihlášení, přejděte k přihlášení pomocí Azure CLI.

Vytvoření privátního koncového bodu

Azure Portal

1. V obchodě App Configuration v části Nastavení vyberte Sítě.

2. Vyberte kartu Privátní přístup a pak vytvořte nový privátní koncový bod.

   

3. Do formuláře zadejte následující informace:

   Parametr	Popis	Příklad
   Předplatné	Vyberte předplatné služby Azure. Váš privátní koncový bod musí být ve stejném předplatném jako vaše virtuální síť. Později v tomto průvodci postupy vyberete virtuální síť.	MyAzureSubscription
   Skupina prostředků	Vyberte skupinu prostředků nebo vytvořte novou.	MyResourceGroup
   Název	Zadejte jedinečný název nového privátního koncového bodu pro váš App Configuration Store. Při použití webu Azure Portal bude název připojení privátního koncového bodu stejný jako název privátního koncového bodu. Úložiště App Configuration musí mít jedinečné názvy připojení privátních koncových bodů.	MyPrivateEndpoint
   Název síťového rozhraní	Toto pole se dokončí automaticky. Volitelně můžete upravit název síťového rozhraní.	MyPrivateEndpoint-nic
   Oblast	Vyberte oblast. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť.	USA – střed

   

4. Vyberte Další: Zdroj >. Private Link nabízí možnosti vytvoření privátních koncových bodů pro různé typy prostředků Azure, jako jsou sql servery, účty úložiště Azure nebo úložiště App Configuration. Aktuální úložiště konfigurace aplikací se automaticky vyplní do pole Prostředek , protože se k ho připojuje privátní koncový bod.

   1. Typ prostředku Microsoft.AppConfiguration/configurationStores a cílová podsourcová konfiguraceStore označují, že vytváříte koncový bod pro Úložiště konfigurace aplikací.

   2. Název vašeho úložiště konfigurace je uvedený v části Prostředek.

   

5. Vyberte Další: Virtuální síť >.

   1. Vyberte existující virtuální síť , do které chcete nasadit privátní koncový bod. Pokud nemáte virtuální síť, vytvořte virtuální síť.

   2. Ze seznamu vyberte podsíť.

   3. Nechte políčko Povolit zásady sítě pro všechny privátní koncové body v této podsíti zaškrtnuté.

   4. V části Konfigurace privátní IP adresy vyberte možnost dynamického přidělování IP adres. Další informace najdete v části Privátní IP adresy.

   5. Volitelně můžete vybrat nebo vytvořit skupinu zabezpečení aplikace. Skupiny zabezpečení aplikací umožňují seskupit virtuální počítače a definovat zásady zabezpečení sítě na základě těchto skupin.

   

6. Vyberte Další: DNS > a nakonfigurujte záznam DNS. Pokud nechcete provádět změny výchozího nastavení, můžete přejít vpřed na další kartu.

   1. Pokud chcete integrovat privátní zónu DNS, vyberte ano, pokud chcete privátní koncový bod integrovat s privátní zónou DNS. Můžete také použít vlastní servery DNS nebo vytvořit záznamy DNS pomocí souborů hostitelů na virtuálních počítačích.

   2. Předplatné a skupina prostředků pro vaši privátní zónu DNS jsou předem vybrány. Volitelně je můžete změnit.

   

   Další informace o konfiguraci DNS najdete v tématu Překlad názvů prostředků ve virtuálních sítích Azure a konfiguraci DNS pro privátní koncové body.

7. Vyberte Další: Značky > a volitelně vytvořte značky. Značky jsou dvojice název-hodnota, které umožňují kategorizovat prostředky a zobrazovat souhrnnou fakturaci. Stačí k tomu u několika prostředků a skupin prostředků použít stejnou značku.

   

8. Vyberte Další: Zkontrolujte a vytvořte > a zkontrolujte informace o úložišti app Configuration Store, privátním koncovém bodu, virtuální síti a DNS. Můžete také vybrat možnost Stáhnout šablonu pro automatizaci a později znovu použít data JSON z tohoto formuláře.

   

9. Vyberte Vytvořit.

Po dokončení nasazení se zobrazí oznámení o vytvoření koncového bodu. Pokud se automaticky schválí, můžete začít soukromě přistupovat ke svému úložišti konfigurace aplikací, jinak budete muset počkat na schválení.

Azure CLI

1. K nastavení privátního koncového bodu potřebujete virtuální síť. Pokud ho ještě nemáte, vytvořte virtuální síť pomocí příkazu az network vnet create. Nahraďte zástupné texty <vnet-name><rg-name>a <subnet-name> názvem nové virtuální sítě, názvem skupiny prostředků a názvem podsítě.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Zástupný symbol	Popis	Příklad
   <vnet-name>	Zadejte název nové virtuální sítě. Virtuální síť umožňuje prostředkům Azure vzájemně komunikovat soukromě a s internetem.	MyVNet
   <rg-name>	Zadejte název existující skupiny prostředků pro vaši virtuální síť.	MyResourceGroup
   <subnet-name>	Zadejte název nové podsítě. Podsíť je síť uvnitř sítě. Tady je přiřazená privátní IP adresa.	MySubnet
   <vnet-location>	Zadejte oblast Azure. Vaše virtuální síť musí být ve stejné oblasti jako váš privátní koncový bod.	centralus

2. Spuštěním příkazu az appconfig show načtěte vlastnosti app Configuration Storu, pro které chcete nastavit privátní přístup. Zástupný symbol name nahraďte názvem nebo obchodem App Configuration.

   az appconfig show --name <name>
   

   Tento příkaz vygeneruje výstup s informacemi o obchodě App Configuration Store. Poznamenejte si hodnotu ID . Například: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Spuštěním příkazu az network private-endpoint create vytvořte privátní koncový bod pro váš App Configuration Store. Zástupné texty <resource-group>, , <private-endpoint-name>, <private-connection-resource-id><vnet-name>, <connection-name>a <location> nahraďte vlastními informacemi.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Zástupný symbol	Popis	Příklad
   <resource-group>	Zadejte název existující skupiny prostředků pro váš privátní koncový bod.	MyResourceGroup
   <private-endpoint-name>	Zadejte název nového privátního koncového bodu.	MyPrivateEndpoint
   <vnet-name>	Zadejte název existující virtuální sítě.	Myvnet
   <private-connection-resource-id>	Zadejte ID prostředku privátního připojení v App Configuration Storu. Toto ID, které jste uložili z výstupu předchozího kroku.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Zadejte název připojení. Úložiště App Configuration musí mít jedinečné názvy připojení privátních koncových bodů.	MyConnection
   <location>	Zadejte oblast Azure. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť.	centralus

Správa připojení private link

Azure Portal

Přejděte do privátního přístupu k sítím>v obchodě App Configuration Store a získejte přístup k privátním koncovým bodům propojeným s úložištěm App Configuration.

1. Zkontrolujte stav připojení privátního propojení. Když vytvoříte privátní koncový bod, musí být připojení schváleno. Pokud prostředek, pro který vytváříte privátní koncový bod, je ve vašem adresáři a máte dostatečná oprávnění, žádost o připojení se automaticky schválí. Jinak musíte počkat, až vlastník tohoto prostředku schválí vaši žádost o připojení. Další informace o modelech schválení připojení najdete v tématu Správa privátních koncových bodů Azure.

2. Pokud chcete připojení schválit, odmítnout nebo odebrat ručně, zaškrtněte políčko vedle koncového bodu, který chcete upravit, a v horní nabídce vyberte položku akce.

   

3. Výběrem názvu privátního koncového bodu otevřete prostředek privátního koncového bodu a získejte přístup k dalším informacím nebo upravte privátní koncový bod.

Azure CLI

Kontrola podrobností o připojení privátního koncového bodu

Spuštěním příkazu az network private-endpoint-connection list zkontrolujte všechna připojení privátního koncového bodu propojená s úložištěm app Configuration a zkontrolujte jejich stav připojení. Nahraďte zástupné texty resource-group a <app-config-store-name> názvem skupiny prostředků a názvem úložiště.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Pokud chcete získat podrobnosti o konkrétním privátním koncovém bodu, použijte příkaz az network private-endpoint-connection show . Nahraďte zástupné texty resource-group a app-config-store-name názvem skupiny prostředků a názvem úložiště.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Získání schválení připojení

Když vytvoříte privátní koncový bod, musí být připojení schváleno. Pokud prostředek, pro který vytváříte privátní koncový bod, je ve vašem adresáři a máte dostatečná oprávnění, žádost o připojení se automaticky schválí. Jinak musíte počkat, až vlastník tohoto prostředku schválí vaši žádost o připojení.

Pokud chcete schválit připojení privátního koncového bodu, použijte příkaz az network private-endpoint-connection approve . Nahraďte zástupné texty resource-groupprivate-endpointa <app-config-store-name> názvem skupiny prostředků, názvem privátního koncového bodu a názvem úložiště.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Další informace o modelech schválení připojení najdete v tématu Správa privátních koncových bodů Azure.

Odstranění připojení privátního koncového bodu

Pokud chcete odstranit připojení privátního koncového bodu, použijte příkaz az network private-endpoint-connection delete . Nahraďte zástupné texty resource-group a private-endpoint názvem skupiny prostředků a názvem privátního koncového bodu.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Další příkazy rozhraní příkazového řádku najdete v příkazu az network private-endpoint-connection.

Pokud máte problémy s privátním koncovým bodem, projděte si následující příručku: Řešení potíží s připojením privátního koncového bodu Azure.

Další kroky

Použití privátních koncových bodů pro konfiguraci Aplikace Azure

Zakázání veřejného přístupu v konfiguraci Aplikace Azure