Configurar ponto de extremidade privado em Aplicativos Web Estáticos do Azure
Você pode usar um ponto de extremidade privado (também chamado de link privado) para restringir o acesso ao seu aplicativo Web estático para que ele só seja acessível a partir da sua rede privada.
Como funciona
Uma Rede Virtual do Azure (VNet) é uma rede como você pode ter em um data center tradicional, mas os recursos dentro da VNet conversam entre si com segurança na rede de backbone da Microsoft.
Configurar aplicativos Web estáticos com um ponto de extremidade privado permite que você use um endereço IP privado de sua rede virtual. Depois que esse link é criado, seu aplicativo Web estático é integrado à sua rede virtual. Como resultado, seu aplicativo Web estático não está mais disponível para a Internet pública e só é acessível a partir de máquinas dentro de sua VNet do Azure.
Nota
Colocar seu aplicativo atrás de um ponto de extremidade privado significa que seu aplicativo só está disponível na região onde sua rede virtual está localizada. Como resultado, seu aplicativo não está mais disponível em vários pontos de presença.
Se seu aplicativo tiver um ponto de extremidade privado habilitado, o servidor responderá com um 403
código de status se a solicitação vier de um endereço IP público. Esse comportamento se aplica ao ambiente de produção, bem como a quaisquer ambientes de preparação. A única maneira de acessar o aplicativo é usar o ponto de extremidade privado implantado em sua rede virtual.
A resolução DNS padrão do aplicativo Web estático ainda existe e é encaminhada para um endereço IP público. O ponto de extremidade privado expõe 2 endereços IP em sua rede virtual, um para o ambiente de produção e outro para qualquer ambiente de preparação. Para garantir que seu cliente seja capaz de acessar o aplicativo corretamente, certifique-se de que seu cliente resolva o nome do host do aplicativo para o endereço IP apropriado do ponto de extremidade privado. Isso é necessário para o nome de host padrão, bem como para quaisquer domínios personalizados configurados para o aplicativo Web estático. Essa resolução é feita automaticamente se você selecionar uma zona DNS privada ao criar o ponto de extremidade privado (veja o exemplo abaixo) e é a solução recomendada.
Se você estiver se conectando no local ou não desejar usar uma zona DNS privada, configure manualmente os registros DNS do seu aplicativo para que as solicitações sejam roteadas para o endereço IP apropriado do ponto de extremidade privado. Você pode encontrar mais informações sobre a resolução de DNS de ponto final privado aqui.
Nota
Os pontos de extremidade privados restringem o tráfego de entrada que vai para o site para uma rede virtual específica. Eles não se aplicam a implantações de novos ativos de site.
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa.
- Uma VNet do Azure.
- Um aplicativo implantado com os Aplicativos Web Estáticos do Azure que usa o plano de hospedagem Padrão.
Criar um ponto final privado
Nesta seção, você cria um ponto de extremidade privado para seu aplicativo Web estático.
Importante
Seu aplicativo Web estático deve ser implantado no plano de hospedagem padrão para usar pontos de extremidade privados. Você pode alterar o plano de hospedagem a partir da opção Plano de hospedagem no menu lateral.
No portal, abra seu aplicativo Web estático.
Selecione a opção Pontos de extremidade privados no menu lateral.
Selecione Adicionar.
Na caixa de diálogo "Adicionar ponto de extremidade privado", insira estas informações:
Definição Valor Nome Insira myPrivateEndpoint. Subscrição Selecione a sua subscrição. Rede Virtual Selecione sua rede virtual. Sub-rede Selecione sua sub-rede. Integrar com zona DNS privada Deixe o padrão de Sim. Selecione OK.
Nota
O nome da zona DNS privada depende do sufixo de nome de domínio padrão do aplicativo Web estático. Por exemplo, se o sufixo de domínio padrão do aplicativo for 3.azurestaticapps.net
, o nome da zona DNS privada será privatelink.3.azurestaticapps.net
. Quando um novo aplicativo Web estático é criado, o sufixo de domínio padrão pode ser diferente do(s) sufixo(s) de domínio padrão de aplicativos Web estáticos anteriores. Se você estiver usando um processo de implantação automatizado para criar a zona DNS privada, poderá usar a DefaultHostname
propriedade em seu aplicativo para extrair programaticamente o sufixo de domínio. O DefaultHostname
valor da propriedade é semelhante ou <STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX>.<PARTITION_ID>.azurestaticapps.net
STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX.azurestaticapps.net
. O sufixo de domínio padrão é semelhante ou <PARTITION_ID>.azurestaticapps.net
azurestaticapps.net
.
Testando seu endpoint privado
Como seu aplicativo não está mais disponível publicamente, a única maneira de acessá-lo é de dentro de sua rede virtual. Para testar, configure uma máquina virtual dentro da sua rede virtual e vá para o seu site.