Privétoegang instellen in Azure-app-configuratie

In dit artikel leert u hoe u privétoegang instelt voor uw Azure-app Configuration-archief door een privé-eindpunt te maken met Azure Private Link. Privé-eindpunten bieden toegang tot uw App Configuration-archief met behulp van een privé-IP-adres vanuit een virtueel netwerk.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken
• We gaan ervan uit dat u al een App Configuration-archief hebt. Als u er een wilt maken, gaat u naar een App Configuration-archief.

Aanmelden bij Azure

U moet zich eerst aanmelden bij Azure om toegang te krijgen tot de App Configuration-service.

Portal

Meld u met uw Azure-account aan bij de Azure-portal op https://portal.azure.com/.

Azure-CLI

Meld u aan bij Azure met behulp van de az login opdracht in de Azure CLI.

az login

Met deze opdracht wordt uw webbrowser gevraagd om een Azure-aanmeldingspagina te starten en te laden. Als de browser niet kan worden geopend, gebruikt u de apparaatcodestroom met az login --use-device-code. Ga naar aanmelden met de Azure CLI voor meer aanmeldingsopties.

Een privé-eindpunt maken

Portal

1. Selecteer Netwerken in uw App Configuration-archief onder Instellingen.

2. Selecteer het tabblad Privétoegang en vervolgens Maken om een nieuw privé-eindpunt in te stellen.

   

3. Vul het formulier in met de volgende gegevens:

   Parameter	Description	Voorbeeld
   Abonnement	Selecteer een Azure-abonnement. Uw privé-eindpunt moet zich in hetzelfde abonnement bevinden als uw virtuele netwerk. Verderop in deze instructiegids selecteert u een virtueel netwerk.	MyAzureSubscription
   Resourcegroep	Selecteer een Resourcegroep of maak een nieuwe.	MyResourceGroup
   Naam	Voer een unieke naam in voor het nieuwe privé-eindpunt voor uw App Configuration-archief. Wanneer u Azure Portal gebruikt, is de naam van de privé-eindpuntverbinding hetzelfde als de naam van het privé-eindpunt. App Configuration-archieven moeten unieke verbindingsnamen voor privé-eindpunten hebben.	MyPrivateEndpoint
   Netwerkinterfacenaam	Dit veld wordt automatisch voltooid. U kunt desgewenst de naam van de netwerkinterface bewerken.	MyPrivateEndpoint-nic
   Regio	Selecteer een regio. Uw privé-eindpunt moet zich in dezelfde regio bevinden als uw virtuele netwerk.	US - centraal

   

4. Selecteer Volgende: Resource >. Private Link biedt opties voor het maken van privé-eindpunten voor verschillende typen Azure-resources, zoals SQL-servers, Azure-opslagaccounts of App Configuration-archieven. Het huidige App Configuration-archief wordt automatisch ingevuld in het veld Resource , omdat dit de resource is waarmee het privé-eindpunt verbinding maakt.

   1. Het resourcetype Microsoft.AppConfiguration/configurationStores en de doelsubresource configurationStores geven aan dat u een eindpunt voor een App Configuration-archief maakt.

   2. De naam van het configuratiearchief wordt vermeld onder Resource.

   

5. Selecteer Volgende: Virtueel netwerk >.

   1. Selecteer een bestaand virtueel netwerk om het privé-eindpunt te implementeren. Als u geen virtueel netwerk hebt, maakt u een virtueel netwerk.

   2. Selecteer een subnet in de lijst.

   3. Laat het selectievakje Netwerkbeleid inschakelen voor alle privé-eindpunten in dit subnet ingeschakeld.

   4. Selecteer onder Privé-IP-configuratie de optie voor het dynamisch toewijzen van IP-adressen. Raadpleeg privé-IP-adressen voor meer informatie.

   5. U kunt eventueel een toepassingsbeveiligingsgroep selecteren of maken. Met toepassingsbeveiligingsgroepen kunt u virtuele machines groeperen en netwerkbeveiligingsbeleid definiëren op basis van deze groepen.

   

6. Selecteer Volgende: DNS > om een DNS-record te configureren. Als u geen wijzigingen wilt aanbrengen in de standaardinstellingen, kunt u doorgaan naar het volgende tabblad.

   1. Voor Integreren met privé-DNS-zone selecteert u Ja om uw privé-eindpunt te integreren met een privé-DNS-zone. U kunt ook uw eigen DNS-servers gebruiken of DNS-records maken met behulp van de hostbestanden op uw virtuele machines.

   2. Een abonnement en resourcegroep voor uw privé-DNS-zone worden vooraf geselecteerd. U kunt ze desgewenst wijzigen.

   

   Voor meer informatie over DNS-configuratie gaat u naar Naamomzetting voor resources in virtuele Azure-netwerken en DNS-configuratie voor privé-eindpunten.

7. Selecteer Volgende: Tags > en eventueel tags maken. Tags zijn naam/waarde-paren waarmee u resources kunt categoriseren en een geconsolideerde facturering kunt weergeven. Hiervoor past u dezelfde tag toe op meerdere resources en resourcegroepen.

   

8. Selecteer Volgende: Beoordelen en maken > om informatie over uw App Configuration-archief, privé-eindpunt, virtueel netwerk en DNS te controleren. U kunt ook Een sjabloon voor automatisering downloaden selecteren om later JSON-gegevens opnieuw te gebruiken vanuit dit formulier.

   

9. Selecteer Maken.

Zodra de implementatie is voltooid, krijgt u een melding dat uw eindpunt is gemaakt. Als deze automatisch is goedgekeurd, kunt u privé toegang krijgen tot uw app-configuratiearchief, anders moet u wachten op goedkeuring.

Azure-CLI

1. Als u uw privé-eindpunt wilt instellen, hebt u een virtueel netwerk nodig. Als u er nog geen hebt, maakt u een virtueel netwerk met az network vnet create. Vervang de tekst <vnet-name><rg-name>van de tijdelijke aanduiding en <subnet-name> door een naam voor uw nieuwe virtuele netwerk, een resourcegroepnaam en een subnetnaam.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Plaatsaanduiding	Omschrijving	Voorbeeld
   <vnet-name>	Voer een naam in voor uw nieuwe virtuele netwerk. Met een virtueel netwerk kunnen Azure-resources privé communiceren met elkaar en met internet.	MyVNet
   <rg-name>	Voer de naam in van een bestaande resourcegroep voor uw virtuele netwerk.	MyResourceGroup
   <subnet-name>	Voer een naam in voor uw nieuwe subnet. Een subnet is een netwerk in een netwerk. Hier wordt het privé-IP-adres toegewezen.	MySubnet
   <vnet-location>	Voer een Azure-regio in. Uw virtuele netwerk moet zich in dezelfde regio bevinden als uw privé-eindpunt.	centralus

2. Voer de opdracht az appconfig show uit om de eigenschappen van het App Configuration-archief op te halen waarvoor u persoonlijke toegang wilt instellen. Vervang de tijdelijke aanduiding name door de naam of het App Configuration-archief.

   az appconfig show --name <name>
   

   Met deze opdracht wordt een uitvoer gegenereerd met informatie over uw App Configuration-archief. Noteer de id-waarde . Bijvoorbeeld: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Voer de opdracht az network private-endpoint create uit om een privé-eindpunt te maken voor uw App Configuration-archief. Vervang de tijdelijke aanduidingen , <resource-group>, <vnet-name><private-endpoint-name>, <private-connection-resource-id>en <connection-name><location> door uw eigen informatie.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Plaatsaanduiding	Omschrijving	Voorbeeld
   <resource-group>	Voer de naam in van een bestaande resourcegroep voor uw privé-eindpunt.	MyResourceGroup
   <private-endpoint-name>	Voer een naam in voor uw nieuwe privé-eindpunt.	MyPrivateEndpoint
   <vnet-name>	Voer de naam van een bestaand vnet in.	Myvnet
   <private-connection-resource-id>	Voer de resource-id van de privéverbinding van uw App Configuration-archief in. Dit is de id die u hebt opgeslagen uit de uitvoer van de vorige stap.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Voer een verbindingsnaam in. App Configuration-archieven moeten unieke verbindingsnamen voor privé-eindpunten hebben.	MyConnection
   <location>	Voer een Azure-regio in. Uw privé-eindpunt moet zich in dezelfde regio bevinden als uw virtuele netwerk.	centralus

Verbinding met private link beheren

Portal

Ga naar Persoonlijke netwerktoegang> in uw App Configuration-archief voor toegang tot de privé-eindpunten die zijn gekoppeld aan uw App Configuration-archief.

1. Controleer de verbindingsstatus van uw private link-verbinding. Wanneer u een privé-eindpunt maakt, moet de verbinding worden goedgekeurd. Als de resource waarvoor u een privé-eindpunt maakt zich in uw directory bevindt en u over voldoende machtigingen beschikt, wordt de verbindingsaanvraag automatisch goedgekeurd. Anders moet u wachten tot de eigenaar van die resource uw verbindingsaanvraag goedkeurt. Ga naar Privé-eindpunten van Azure beheren voor meer informatie over de goedkeuringsmodellen voor verbindingen.

2. Als u een verbinding handmatig wilt goedkeuren, weigeren of verwijderen, schakelt u het selectievakje in naast het eindpunt dat u wilt bewerken en selecteert u een actie-item in het bovenste menu.

   

3. Selecteer de naam van het privé-eindpunt om de privé-eindpuntresource te openen en toegang te krijgen tot meer informatie of om het privé-eindpunt te bewerken.

Azure-CLI

Details van privé-eindpuntverbinding bekijken

Voer de opdracht az network private-endpoint-connection list uit om alle privé-eindpuntverbindingen te controleren die zijn gekoppeld aan uw App Configuration-archief en hun verbindingsstatus te controleren. Vervang de tijdelijke aanduidingen door resource-group <app-config-store-name> de naam van de resourcegroep en de naam van de winkel.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Als u de details van een specifiek privé-eindpunt wilt ophalen, gebruikt u de opdracht az network private-endpoint-connection show . Vervang de tijdelijke aanduidingen door resource-group app-config-store-name de naam van de resourcegroep en de naam van de winkel.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Goedkeuring van verbinding ophalen

Wanneer u een privé-eindpunt maakt, moet de verbinding worden goedgekeurd. Als de resource waarvoor u een privé-eindpunt maakt zich in uw directory bevindt en u over voldoende machtigingen beschikt, wordt de verbindingsaanvraag automatisch goedgekeurd. Anders moet u wachten tot de eigenaar van die resource uw verbindingsaanvraag goedkeurt.

Als u een privé-eindpuntverbinding wilt goedkeuren, gebruikt u de opdracht az network private-endpoint-connection goedkeuren . Vervang de tijdelijke aanduidingteksten resource-groupprivate-endpointen <app-config-store-name> door de naam van de resourcegroep, de naam van het privé-eindpunt en de naam van het archief.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Ga naar Privé-eindpunten van Azure beheren voor meer informatie over de goedkeuringsmodellen voor verbindingen.

Een privé-eindpuntverbinding verwijderen

Als u een privé-eindpuntverbinding wilt verwijderen, gebruikt u de opdracht az network private-endpoint-connection delete . Vervang de tijdelijke aanduidingen en resource-group private-endpoint door de naam van de resourcegroep en de naam van het privé-eindpunt.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Voor meer CLI-opdrachten gaat u naar az network private-endpoint-connection

Als u problemen ondervindt met een privé-eindpunt, raadpleegt u de volgende handleiding: Verbindingsproblemen met azure-privé-eindpunten oplossen.

Volgende stappen

Privé-eindpunten gebruiken voor Azure-app-configuratie

Openbare toegang uitschakelen in Azure-app-configuratie