Konfigurowanie prywatnego punktu końcowego w usłudze Azure Static Web Apps
Możesz użyć prywatnego punktu końcowego (nazywanego również linkiem prywatnym), aby ograniczyć dostęp do statycznej aplikacji internetowej, aby był dostępny tylko z sieci prywatnej.
Jak to działa
Sieć wirtualna platformy Azure to sieć, podobnie jak w tradycyjnym centrum danych, ale zasoby w sieci wirtualnej komunikują się ze sobą bezpiecznie w sieci szkieletowej firmy Microsoft.
Konfigurowanie usługi Static Web Apps z prywatnym punktem końcowym umożliwia używanie prywatnego adresu IP z sieci wirtualnej. Po utworzeniu tego linku statyczna aplikacja internetowa zostanie zintegrowana z siecią wirtualną. W związku z tym statyczna aplikacja internetowa nie jest już dostępna dla publicznego Internetu i jest dostępna tylko z maszyn w sieci wirtualnej platformy Azure.
Uwaga
Umieszczenie aplikacji za prywatnym punktem końcowym oznacza, że aplikacja jest dostępna tylko w regionie, w którym znajduje się Twoja sieć wirtualna. W związku z tym aplikacja nie jest już dostępna w wielu punktach obecności.
Jeśli aplikacja ma włączony prywatny punkt końcowy, serwer odpowiada kodem 403
stanu, jeśli żądanie pochodzi z publicznego adresu IP. To zachowanie dotyczy zarówno środowiska produkcyjnego, jak i wszystkich środowisk przejściowych. Jedynym sposobem dotarcia do aplikacji jest użycie prywatnego punktu końcowego wdrożonego w sieci wirtualnej.
Domyślne rozpoznawanie nazw DNS statycznej aplikacji internetowej nadal istnieje i kieruje do publicznego adresu IP. Prywatny punkt końcowy uwidacznia 2 adresy IP w sieci wirtualnej, jeden dla środowiska produkcyjnego i jeden dla wszystkich środowisk przejściowych. Aby upewnić się, że klient jest w stanie prawidłowo nawiązać połączenie z aplikacją, upewnij się, że klient rozpozna nazwę hosta aplikacji na odpowiedni adres IP prywatnego punktu końcowego. Jest to wymagane dla domyślnej nazwy hosta, a także wszystkich domen niestandardowych skonfigurowanych dla statycznej aplikacji internetowej. To rozwiązanie jest wykonywane automatycznie w przypadku wybrania prywatnej strefy DNS podczas tworzenia prywatnego punktu końcowego (zobacz przykład poniżej) i jest zalecanym rozwiązaniem.
Jeśli łączysz się ze środowiska lokalnego lub nie chcesz używać prywatnej strefy DNS, ręcznie skonfiguruj rekordy DNS dla aplikacji, aby żądania zostały kierowane do odpowiedniego adresu IP prywatnego punktu końcowego. Więcej informacji na temat rozpoznawania nazw DNS prywatnego punktu końcowego można znaleźć tutaj.
Uwaga
Prywatne punkty końcowe ograniczają ruch przychodzący do witryny internetowej do określonej sieci wirtualnej. Nie mają one zastosowania do wdrożeń nowych zasobów lokacji.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją.
- Sieć wirtualna platformy Azure.
- Aplikacja wdrożona w usłudze Azure Static Web Apps korzystająca z planu hostingu w warstwie Standardowa.
Tworzenie prywatnego punktu końcowego
W tej sekcji utworzysz prywatny punkt końcowy dla statycznej aplikacji internetowej.
Ważne
Aby korzystać z prywatnych punktów końcowych, należy wdrożyć statyczną aplikację internetową w planie hostingu w warstwie Standardowa. Plan hostingu można zmienić z opcji Plan hostingu w menu bocznym.
W portalu otwórz statyczną aplikację internetową.
Wybierz opcję Prywatne punkty końcowe z menu bocznego.
Wybierz Dodaj.
W oknie dialogowym "Dodawanie prywatnego punktu końcowego" wprowadź następujące informacje:
Ustawienie Wartość Nazwisko Wprowadź wartość myPrivateEndpoint. Subskrypcja Wybierz subskrypcję. Virtual Network Wybierz sieć wirtualną. Podsieć Wybierz podsieć. Integruj z prywatną strefą DNS Pozostaw wartość domyślną Tak. Wybierz OK
Uwaga
Nazwa prywatnej strefy DNS zależy od domyślnego sufiksu nazwy domeny statycznej aplikacji internetowej. Jeśli na przykład domyślny sufiks domeny aplikacji to 3.azurestaticapps.net
, nazwa prywatnej strefy DNS to privatelink.3.azurestaticapps.net
. Po utworzeniu nowej statycznej aplikacji internetowej domyślny sufiks domeny może się różnić od domyślnych sufiksów domeny poprzednich statycznych aplikacji internetowych. Jeśli używasz zautomatyzowanego procesu wdrażania do utworzenia prywatnej strefy DNS, możesz użyć DefaultHostname
właściwości w aplikacji, aby programowo wyodrębnić sufiks domeny. Wartość DefaultHostname
właściwości przypomina <STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX>.<PARTITION_ID>.azurestaticapps.net
wartość lub STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX.azurestaticapps.net
. Domyślny sufiks domeny przypomina <PARTITION_ID>.azurestaticapps.net
lub azurestaticapps.net
.
Testowanie prywatnego punktu końcowego
Ponieważ aplikacja nie jest już publicznie dostępna, jedynym sposobem uzyskiwania do niej dostępu jest dostęp z sieci wirtualnej. Aby przetestować, skonfiguruj maszynę wirtualną w sieci wirtualnej i przejdź do lokacji.