Condividi tramite


Utilizzo di endpoint privati per Configurazione app di Azure

È possibile usare endpoint privati affinché Configurazione app di Azure consenta ai client in una rete virtuale (VNet) di accedere in modo sicuro ai dati da un collegamento privato. L'endpoint privato usa un indirizzo IP dallo spazio indirizzi della rete virtuale per l'archivio di Configurazione app. Il traffico di rete tra i client nella rete virtuale e l'archivio di Configurazione app passa attraverso la rete virtuale usando un collegamento privato sulla rete backbone di Microsoft, eliminando l'esposizione alla rete Internet pubblica.

L'uso di endpoint privati per l'archivio di Configurazione app consente di:

  • Proteggere i dettagli di configurazione dell'applicazione configurando il firewall per bloccare tutte le connessioni a Configurazione app nell'endpoint pubblico.
  • Aumentare la sicurezza per la rete virtuale (VNet) assicurando che i dati non escano dalla rete virtuale.
  • Connettersi in modo sicuro all'archivio di Configurazione app da reti locali che si connettono alla rete virtuale tramite una VPN o ExpressRoute con il peering privato.

Panoramica dei concetti

Un endpoint privato è un'interfaccia di rete speciale per un servizio di Azure nella rete virtuale (VNet). Quando si crea un endpoint privato per il proprio archivio di Configurazione app, questo fornisce una connettività sicura tra i client della rete virtuale e l'archivio di configurazione. All'endpoint privato viene assegnato un indirizzo IP dall'intervallo di indirizzi IP della rete virtuale. La connessione tra l'endpoint privato e l'archivio di configurazione usa un collegamento privato sicuro.

Le applicazioni nella rete virtuale possono connettersi all'archivio di configurazione tramite l'endpoint privato usando le stesse stringhe di connessione e gli stessi meccanismi di autorizzazione usati normalmente. Gli endpoint privati possono essere usati con tutti i protocolli supportati dall'archivio di Configurazione app.

Anche se Configurazione app non supporta gli endpoint di servizio, gli endpoint privati possono essere creati in subnet che usano endpoint di servizio. I client in una subnet possono connettersi in modo sicuro a un archivio di Configurazione app tramite l'endpoint privato usando gli endpoint di servizio per accedere alle altre risorse.

Quando si crea un endpoint privato per un servizio nella rete virtuale, viene inviata una richiesta di consenso che il proprietario dell'account del servizio dovrà approvare. Se l'utente che richiede la creazione dell'endpoint privato è anche un proprietario dell'account, questa richiesta di consenso viene approvata automaticamente.

I proprietari dell'account del servizio possono gestire le richieste di consenso e gli endpoint privati tramite la scheda Private Endpoints dell'archivio di Configurazione app nel portale di Azure.

Endpoint privati per Configurazione app

Quando si crea un endpoint privato, è necessario specificare l'archivio di Configurazione app a cui si connette. Se si abilita la replica geografica per un archivio di Configurazione app, è possibile connettersi a tutte le repliche dell'archivio usando lo stesso endpoint privato. Se sono presenti più archivi di Configurazione app, è necessario un endpoint privato separato per ogni archivio.

Connessione agli endpoint privati

Azure si basa sulla risoluzione DNS per instradare le connessioni dalla rete virtuale all'archivio di configurazione tramite un collegamento privato. È possibile trovare rapidamente le stringhe di connessione nel portale di Azure selezionando l'archivio di Configurazione app e quindi selezionando Impostazioni>Chiavi di accesso.

Importante

Usare la stessa stringa di connessione per connettersi all'archivio di Configurazione app utilizzando gli stessi endpoint privati usati per un endpoint pubblico. Non connettersi all'archivio usando il relativo URL privatelink del sottodominio.

Nota

Per impostazione predefinita, quando un endpoint privato viene aggiunto all'archivio di Configurazione app, tutte le richieste per i dati di Configurazione app sulla rete pubblica vengono negate. È possibile abilitare l'accesso alla rete pubblica usando il comando seguente dell'interfaccia della riga di comando di Azure. È importante considerare le implicazioni che l'abilitazione dell'accesso alla rete pubblica ha sulla sicurezza in questo scenario.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

Modifiche al DNS per gli endpoint privati

Quando si crea un endpoint privato, il record di risorsa DNS CNAME per l'archivio della configurazione viene aggiornato a un alias in un sottodominio con il prefisso privatelink. Azure crea anche una zona DNS privato corrispondente al sottodominio privatelink, con i record di risorse DNS A per gli endpoint privati. L'abilitazione della replica geografica crea record DNS separati per ogni replica con indirizzi IP univoci nella zona DNS privata.

Quando si risolve l'URL dell'endpoint dalla rete virtuale che ospita l'endpoint privato, viene restituito l'endpoint privato dell'archivio. Quando lo si risolve dall'esterno della rete virtuale, l'URL dell'endpoint restituisce l'endpoint pubblico. Quando si crea un endpoint privato, l'endpoint pubblico è disabilitato.

Se si usa un server DNS personalizzato nella rete, è necessario configurarlo per delegare il sottodominio privatelink alla zona DNS privata per la rete virtuale. In alternativa, è possibile configurare i record A per gli URL di collegamento privato dell'archivio, che sono [Your-store-name].privatelink.azconfig.io o [Your-store-name]-[replica-name].privatelink.azconfig.io se la replica geografica è abilitata, con indirizzi IP privati univoci dell'endpoint privato.

Prezzi

L'abilitazione degli endpoint privati richiede un archivio di Configurazione app di livello Standard o Premium. Per informazioni sui dettagli dei prezzi del collegamento privato, vedere Prezzi del Collegamento privato di Azure.

Passaggi successivi

Per altre informazioni sulla creazione di un endpoint privato per l'archivio di Configurazione app, vedere gli articoli seguenti:

Informazioni su come configurare il server DNS con endpoint privati: