Udostępnij za pośrednictwem


Konfigurowanie prywatnego punktu końcowego w usłudze Azure Static Web Apps

Możesz użyć prywatnego punktu końcowego (nazywanego również linkiem prywatnym), aby ograniczyć dostęp do statycznej aplikacji internetowej, aby był dostępny tylko z sieci prywatnej.

Jak to działa

Sieć wirtualna platformy Azure to sieć, podobnie jak w tradycyjnym centrum danych, ale zasoby w sieci wirtualnej komunikują się ze sobą bezpiecznie w sieci szkieletowej firmy Microsoft.

Konfigurowanie usługi Static Web Apps z prywatnym punktem końcowym umożliwia używanie prywatnego adresu IP z sieci wirtualnej. Po utworzeniu tego linku statyczna aplikacja internetowa zostanie zintegrowana z siecią wirtualną. W związku z tym statyczna aplikacja internetowa nie jest już dostępna dla publicznego Internetu i jest dostępna tylko z maszyn w sieci wirtualnej platformy Azure.

Uwaga

Umieszczenie aplikacji za prywatnym punktem końcowym oznacza, że aplikacja jest dostępna tylko w regionie, w którym znajduje się Twoja sieć wirtualna. W związku z tym aplikacja nie jest już dostępna w wielu punktach obecności.

Jeśli aplikacja ma włączony prywatny punkt końcowy, serwer odpowiada kodem 403 stanu, jeśli żądanie pochodzi z publicznego adresu IP. To zachowanie dotyczy zarówno środowiska produkcyjnego, jak i wszystkich środowisk przejściowych. Jedynym sposobem dotarcia do aplikacji jest użycie prywatnego punktu końcowego wdrożonego w sieci wirtualnej.

Domyślne rozpoznawanie nazw DNS statycznej aplikacji internetowej nadal istnieje i kieruje do publicznego adresu IP. Prywatny punkt końcowy uwidacznia 2 adresy IP w sieci wirtualnej, jeden dla środowiska produkcyjnego i jeden dla wszystkich środowisk przejściowych. Aby upewnić się, że klient jest w stanie prawidłowo nawiązać połączenie z aplikacją, upewnij się, że klient rozpozna nazwę hosta aplikacji na odpowiedni adres IP prywatnego punktu końcowego. Jest to wymagane dla domyślnej nazwy hosta, a także wszystkich domen niestandardowych skonfigurowanych dla statycznej aplikacji internetowej. To rozwiązanie jest wykonywane automatycznie w przypadku wybrania prywatnej strefy DNS podczas tworzenia prywatnego punktu końcowego (zobacz przykład poniżej) i jest zalecanym rozwiązaniem.

Jeśli łączysz się ze środowiska lokalnego lub nie chcesz używać prywatnej strefy DNS, ręcznie skonfiguruj rekordy DNS dla aplikacji, aby żądania zostały kierowane do odpowiedniego adresu IP prywatnego punktu końcowego. Więcej informacji na temat rozpoznawania nazw DNS prywatnego punktu końcowego można znaleźć tutaj.

Uwaga

Prywatne punkty końcowe ograniczają ruch przychodzący do witryny internetowej do określonej sieci wirtualnej. Nie mają one zastosowania do wdrożeń nowych zasobów lokacji.

Wymagania wstępne

Tworzenie prywatnego punktu końcowego

W tej sekcji utworzysz prywatny punkt końcowy dla statycznej aplikacji internetowej.

Ważne

Aby korzystać z prywatnych punktów końcowych, należy wdrożyć statyczną aplikację internetową w planie hostingu w warstwie Standardowa. Plan hostingu można zmienić z opcji Plan hostingu w menu bocznym.

  1. W portalu otwórz statyczną aplikację internetową.

  2. Wybierz opcję Prywatne punkty końcowe z menu bocznego.

  3. Wybierz Dodaj.

  4. W oknie dialogowym "Dodawanie prywatnego punktu końcowego" wprowadź następujące informacje:

    Ustawienie Wartość
    Nazwisko Wprowadź wartość myPrivateEndpoint.
    Subskrypcja Wybierz subskrypcję.
    Virtual Network Wybierz sieć wirtualną.
    Podsieć Wybierz podsieć.
    Integruj z prywatną strefą DNS Pozostaw wartość domyślną Tak.

    Zrzut ekranu przedstawiający okno dialogowe Dodawanie prywatnego punktu końcowego w witrynie Azure Portal.

  5. Wybierz OK

Uwaga

Nazwa prywatnej strefy DNS zależy od domyślnego sufiksu nazwy domeny statycznej aplikacji internetowej. Jeśli na przykład domyślny sufiks domeny aplikacji to 3.azurestaticapps.net, nazwa prywatnej strefy DNS to privatelink.3.azurestaticapps.net. Po utworzeniu nowej statycznej aplikacji internetowej domyślny sufiks domeny może się różnić od domyślnych sufiksów domeny poprzednich statycznych aplikacji internetowych. Jeśli używasz zautomatyzowanego procesu wdrażania do utworzenia prywatnej strefy DNS, możesz użyć DefaultHostname właściwości w aplikacji, aby programowo wyodrębnić sufiks domeny. Wartość DefaultHostname właściwości przypomina <STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX>.<PARTITION_ID>.azurestaticapps.net wartość lub STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX.azurestaticapps.net. Domyślny sufiks domeny przypomina <PARTITION_ID>.azurestaticapps.net lub azurestaticapps.net.

Testowanie prywatnego punktu końcowego

Ponieważ aplikacja nie jest już publicznie dostępna, jedynym sposobem uzyskiwania do niej dostępu jest dostęp z sieci wirtualnej. Aby przetestować, skonfiguruj maszynę wirtualną w sieci wirtualnej i przejdź do lokacji.

Następne kroki