Configurer l’accès privé dans Azure App Configuration

Dans cet article, vous allez apprendre à configurer l’accès privé pour votre magasin Azure App Configuration, en créant un point de terminaison privé avec Azure Private Link. Les points de terminaison privés autorisent l’accès à votre magasin App Configuration à l’aide d’une adresse IP privée à partir d’un réseau virtuel.

Prérequis

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.
• Nous partons du principe que vous disposez déjà d’un magasin App Configuration. Si vous souhaitez en créer un, consultez Créer un magasin App Configuration.

Connexion à Azure

Vous devez d’abord vous connecter à Azure pour accéder au service App Configuration.

Portail

Connectez-vous au portail Azure sur https://portal.azure.com/ avec votre compte Azure.

Azure CLI

Connectez-vous à Azure à l’aide de la commande az login dans Azure CLI.

az login

Cette commande invite votre navigateur web à lancer et à charger une page de connexion Azure. Si le navigateur ne s'ouvre pas, utilisez le flux de code de l'appareil avec az login --use-device-code. Pour plus d’options de connexion, accédez à la connexion avec Azure CLI.

Créer un Private Endpoint

Portail

1. Dans votre magasin App Configuration, sous Paramètres, sélectionnez Mise en réseau.

2. Sélectionnez l’onglet Accès privé, puis Créer pour commencer à configurer un nouveau point de terminaison privé.

   

3. Renseignez le formulaire avec les informations suivantes :

   Paramètre	Description	Exemple
   Abonnement	Sélectionnez un abonnement Azure. Votre point de terminaison privé doit être déployé dans le même abonnement que le réseau virtuel. Vous allez sélectionner un réseau virtuel plus loin dans ce guide pratique.	MyAzureSubscription
   Groupe de ressources	Sélectionnez un groupe de ressources ou créez-en un.	MyResourceGroup
   Nom	Entrez un nom unique pour le nouveau point de terminaison privé de votre magasin App Configuration. Lors de l’utilisation du Portail Azure, le nom de connexion de point de terminaison privé doit être le même que le nom de point de terminaison privé. Les magasins App Configuration doivent avoir des noms uniques de connexion de point de terminaison privé.	MyPrivateEndpoint
   Nom de l'interface réseau	Ce champ est rempli automatiquement. Modifiez éventuellement le nom de l’interface réseau.	MyPrivateEndpoint-nic
   Région	Sélectionnez une région. Le point de terminaison privé doit être déployé dans la même région que le réseau virtuel.	USA Centre

   

4. Sélectionnez Suivant : Ressource >. Private Link offre des options pour créer des points de terminaison privés pour différents types de ressources Azure, comme les serveurs SQL, les comptes de stockage Azure ou les magasins de App Configuration. Le magasin de App Configuration actuel est automatiquement renseigné dans le champ Ressource, car il s’agit de la ressource à laquelle le point de terminaison privé se connecte.

   1. Le type de ressource Microsoft.AppConfiguration/configurationStores et les configurationStores de sous-ressource cible indiquent que vous créez un point de terminaison pour un magasin App Configuration.

   2. Le nom de votre magasin de configuration est répertorié sous Ressource.

   

5. Sélectionnez Suivant : réseau virtuel >.

   1. Sélectionnez un réseau virtuel existant sur lequel déployer le point de terminaison privé. Si vous n’en avez pas, créez un réseau virtuel.

   2. Sélectionnez un sous-réseau dans la liste.

   3. Cochez la case pour Activer les stratégies réseau pour tous les points de terminaison privés de ce sous-réseau.

   4. Sous Configuration d’adresse IP privée, sélectionnez l’option permettant d’allouer dynamiquement des adresses IP. Pour plus d’informations, reportez-vous aux adresses IP privées.

   5. Si vous le souhaitez, vous pouvez sélectionner ou créer un groupe de sécurité d’application. Les groupes de sécurité d’application vous permettent de regrouper des machines virtuelles et de définir des stratégies de sécurité réseau basées sur ces groupes.

   

6. Sélectionnez Suivant : DNS > pour configurer un enregistrement DNS. Si vous ne souhaitez pas apporter de modifications aux paramètres par défaut, vous pouvez passer à l’onglet suivant.

   1. Sélectionnez Oui pour Intégrer avec une zone DNS privée afin d’intégrer votre point de terminaison privé avec une zone DNS privée. Vous pouvez également utiliser vos propres serveurs DNS ou créer des enregistrements DNS à l’aide des fichiers hôtes sur vos machines virtuelles.

   2. Un abonnement et un groupe de ressources pour votre zone DNS privée sont présélectionnés. Vous pouvez les modifier si nécessaire.

   

   Pour en savoir plus sur la configuration DNS, accédez à Résolution de noms pour les ressources dans les réseaux virtuels Azure et Configuration DNS pour les points de terminaison privés.

7. Sélectionnez Suivant : Étiquettes > et éventuellement créer des étiquettes. Les étiquettes sont des paires nom/valeur qui vous permettent de catégoriser les ressources et d’afficher une facturation centralisée en appliquant la même étiquette à plusieurs ressources et groupes de ressources.

   

8. Sélectionnez Suivant : Passez en revue + créer > pour passer en revue les informations relatives à votre magasin App Configuration, point de terminaison privé, réseau virtuel et DNS. Vous pouvez également sélectionner Télécharger un modèle pour l’automatisation afin de réutiliser des données JSON à partir de ce formulaire ultérieurement.

   

9. Sélectionnez Créer.

Une fois le déploiement terminé, vous recevez une notification indiquant que votre point de terminaison a été créé. S’il est approuvé automatiquement, vous pouvez commencer à accéder à votre magasin de configuration d’applications en privé, sinon vous devrez attendre l’approbation.

Azure CLI

1. Pour configurer votre point de terminaison privé, vous avez besoin d’un réseau virtuel. Si vous n’en avez pas déjà un, créez un réseau virtuel avec la commande az network vnet create. Remplacez les textes d’espace réservé <vnet-name>, <rg-name>et <subnet-name> par un nom pour votre nouveau réseau virtuel, un nom de groupe de ressources et un nom de sous-réseau.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Espace réservé	Description	Exemple
   <vnet-name>	Entrer un nom pour votre réseau virtuel. Un réseau virtuel permet à des ressources Azure de communiquer en privé entre elles et avec Internet.	MyVNet
   <rg-name>	Entrez le nom d’un groupe de ressources existant pour votre réseau virtuel.	MyResourceGroup
   <subnet-name>	Entrez un nom pour votre nouveau sous-réseau. Un sous-réseau est un réseau au sein d’un réseau. C’est là que l’adresse IP privée est affectée.	MySubnet
   <vnet-location>	Entrez une région Azure. Le réseau virtuel doit se trouver dans la même région que le point de terminaison privé.	centralus

2. Exécutez la commande az appconfig show pour récupérer les propriétés du magasin App Configuration, pour lesquelles vous souhaitez configurer l’accès privé. Remplacez l’espace réservé name par le nom ou le magasin App Configuration.

   az appconfig show --name <name>
   

   Cette commande génère une sortie avec des informations sur votre magasin App Configuration. Notez la valeur ID. Par exemple : /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Exécutez la commande az network private-endpoint create pour créer un point de terminaison privé pour votre magasin App Configuration. Remplacez le texte d’espace réservé <resource-group>, <private-endpoint-name>, <vnet-name>, <private-connection-resource-id>, <connection-name>, et <location> par vos propres informations.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Espace réservé	Description	Exemple
   <resource-group>	Entrez le nom d’un groupe de ressources existant pour votre point de terminaison privé.	MyResourceGroup
   <private-endpoint-name>	Entrez un nom pour votre point de terminaison privé.	MyPrivateEndpoint
   <vnet-name>	Entrez le nom d'un réseau virtuel existant.	Myvnet
   <private-connection-resource-id>	Entrez l’ID de ressource de connexion privée de votre magasin App Configuration. C’est l’ID que vous avez enregistré à partir de la sortie de l’étape précédente.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Entrez un nom de connexion. Les magasins App Configuration doivent avoir des noms uniques de connexion de point de terminaison privé.	MyConnection
   <location>	Entrez une région Azure. Le point de terminaison privé doit être déployé dans la même région que le réseau virtuel.	centralus

Gérer une connexion à liaison privée

Portail

Accédez à Réseau>Accès privé dans votre magasin App Configuration pour accéder aux points de terminaison privés liés à votre magasin App Configuration.

1. Vérifiez l’état de connexion de votre connexion de liaison privée. Quand vous créez un point de terminaison privé, la connexion doit être approuvée. Si la ressource pour laquelle vous créez un point de terminaison privé se trouve dans votre répertoire et que vous avez les autorisations suffisantes, la demande de connexion sera automatiquement approuvée. Sinon, vous devez attendre que le propriétaire de cette ressource approuve votre demande de connexion. Pour plus d’informations sur les modèles d’approbation de connexion, accédez à Gérer les points de terminaison privés Azure.

2. Pour approuver manuellement, rejeter ou supprimer une connexion, cochez la case en regard du point de terminaison que vous souhaitez modifier et sélectionnez un élément d’action dans le menu supérieur.

   

3. Sélectionnez le nom du point de terminaison privé pour ouvrir la ressource de point de terminaison privé et accédez à plus d’informations ou pour modifier le point de terminaison privé.

Azure CLI

Passer en revue les détails des connexions de point de terminaison privé

Exécutez la commande az network private-endpoint-connection list pour passer en revue toutes les connexions de point de terminaison privé liées à votre magasin App Configuration et vérifier leur état de connexion. Remplacez les textes d’espace réservé resource-group et <app-config-store-name> par le nom du groupe de ressources et le nom du magasin.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Si vous le souhaitez, pour obtenir les détails d’un point de terminaison privé spécifique, utilisez la commande az network private-endpoint-connection-connection show. Remplacez les textes d’espace réservé resource-group et app-config-store-name par le nom du groupe de ressources et le nom du magasin.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Obtenir l’approbation de la connexion

Quand vous créez un point de terminaison privé, la connexion doit être approuvée. Si la ressource pour laquelle vous créez un point de terminaison privé se trouve dans votre répertoire et que vous avez les autorisations suffisantes, la demande de connexion sera automatiquement approuvée. Sinon, vous devez attendre que le propriétaire de cette ressource approuve votre demande de connexion.

Utilisez la commande az network private-endpoint-connection approve pour approuver une connexion de point de terminaison privé. Remplacez les textes d’espace réservé resource-group, private-endpoint et <app-config-store-name> par le nom du groupe de ressources, le nom du point de terminaison privé et le nom du magasin.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Pour plus d’informations sur les modèles d’approbation de connexion, accédez à Gérer les points de terminaison privés Azure.

Supprime une connexion de point de terminaison privé

Utilisez la commande az network private-endpoint-connection delete pour supprimer une connexion de point de terminaison privé. Remplacez les textes d’espace réservé resource-group et private-endpoint par le nom du groupe de ressources et le nom du point de terminaison privé.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Pour plus de commandes CLI, accédez à az network private-endpoint-connection

Si vous rencontrez des problèmes avec un point de terminaison privé, consultez le guide suivant : Résoudre les problèmes de connectivité de point de terminaison privé Azure.

Étapes suivantes

Utiliser des points de terminaison privés pour Azure App Configuration

Désactiver l’accès public dans Azure App Configuration