在 Azure 應用程式組態中設定私人存取
本文內容
在本文中,您將了解如何使用 Azure Private Link 建立私人端點 ,為 Azure 應用程式組態存放區設定私人存取。 私人端點可讓您使用虛擬網路中的私人 IP 位址來存取您的應用程式組態存放區。
必要條件
登入 Azure
您必須先登入 Azure,才能存取應用程式組態服務。
在 Azure CLI 中使用 az login
命令來登入 Azure。
az login
此命令會提示您的網頁瀏覽器啟動並載入 Azure 登入頁面。 如果瀏覽器無法開啟,請以 az login --use-device-code
使用裝置程式碼流程。 如需更多登入選項,請移至使用 Azure CLI 登入 。
建立私人端點
在您的應用程式組態存放區中,選取 [設定] 底下的 [網路] 。
選取 [私人存取] 索引標籤,然後選取 [建立] 以開始設定新的私人端點。
在表單中填寫以下資訊:
參數
描述
範例
訂用帳戶
選取 Azure 訂用帳戶。 您的私人端點必須與虛擬網路位於相同的訂用帳戶中。 您稍後會在本操作指南中選取虛擬網路。
MyAzureSubscription
資源群組
選取資源群組或建立新的資源群組。
MyResourceGroup
名稱
對於應用程式組態存放區的新私人端點輸入唯一名稱。 使用 Azure 入口網站時,私人端點連線名稱會與私人端點名稱相同。 應用程式組態存放區必須具有唯一的私人端點連線名稱。
MyPrivateEndpoint
網路介面名稱
此欄位會自動完成。 選擇性地編輯網路介面的名稱。
MyPrivateEndpoint-nic
區域
選取區域。 您的私人端點必須與虛擬網路位於相同的區域中。
Central US
選取 [下一步:資源 >] 。 Private Link 提供選項來為不同類型的 Azure 資源建立私人端點,例如 SQL Server、Azure 儲存體帳戶或應用程式組態存放區。 目前的應用程式組態存放區會自動填 [資源] 欄位中,因為這是私人端點所連線的資源。
資源類型 Microsoft.AppConfiguration/configurationStores 和目標子資源 configurationStores 表示您要為應用程式組態存放區建立端點。
組態存放區的名稱列在 [資源] 底下。
選取 [下一步: 虛擬網路 >] 。
選取要部署私人端點的現有 [虛擬網路] 。 如果您沒有虛擬網路,請建立虛擬網路 。
從清單中選取 [子網路] 。
讓 [啟用此子網路中所有私人端點的網路原則] 方塊保持已核取狀態。
在 [私人 IP 組態] 之下,選取用以動態配置 IP 位址的選項。 如需詳細資訊,請參閱私人 IP 位址 。
您可以選擇性地選取或建立 [應用程式安全性群組] 。 應用程式安全性群組可讓您將虛擬機器分組,並根據這些群組定義網路安全性原則。
選取 [下一步:DNS >] 以設定 DNS 記錄。 如果您不想變更預設設定,可往前移至下一個索引標籤。
針對 [與私人 DNS 區域整合] ,選取 [是] 可將您的私人端點與私人 DNS 區域整合。 您也可以使用自己的 DNS 伺服器,或使用虛擬機器上的主機檔案來建立 DNS 記錄。
系統會預先選取私人 DNS 區域的訂用帳戶和資源群組。 您可以選擇性加以變更。
若要深入了解 DNS 設定,請移至 Azure 虛擬網路中資源的名稱解析 ,以及私人端點的 DNS 設定 。
選取 [下一步:標籤 >] 並選擇性地建立標籤。 籤標籤為成對的名稱和數值,可讓您透過將相同標籤套用至多個資源與資源群組,進而分類資源並檢視合併的帳單。
選取 [下一步:檢閱 + 建立 >] ,以檢閱應用程式組態存放區、私人端點、虛擬網路和 DNS 的相關資訊。 您也可以選取 [下載範本以進行自動化] ,以便稍後重複使用此表單的 JSON 資料。
選取 建立 。
部署完成後,您會收到已建立端點的通知。 若已自動核准,您可以開始私下存取應用程式組態存放區,否則必須等候核准。
若要設定私人端點,您需要虛擬網路。 如果還沒有虛擬網路,請使用 az network vnet create 加以建立。 以新虛擬網路的名稱、資源群組名稱和子網路名稱,取代預留位置文字 <vnet-name>
、<rg-name>
和 <subnet-name>
。
az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
預留位置
描述:
範例
<vnet-name>
輸入新虛擬網路的名稱。 虛擬網路可讓 Azure 資源彼此以及與網際網路進行私密通訊。
MyVNet
<rg-name>
輸入虛擬網路的現有資源群組名稱。
MyResourceGroup
<subnet-name>
輸入新子網路的名稱。 子網路是網路內的網路。 這是指派私人 IP 位址的位置。
MySubnet
<vnet-location>
輸入 Azure 區域。 您的虛擬網路必須與私人端點位於相同的區域中。
centralus
執行 az appconfig show 命令,以針對您想要設定私人存取的應用程式組態存放區,擷取其屬性。 以名稱或應用程式組態存放區,取代預留位置 name
。
az appconfig show --name <name>
此命令會產生輸出,其中包含應用程式組態存放區的相關資訊。 記下 id 值。 例如:/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore 。
執行 az network private-endpoint create 命令,為您的應用程式組態存放區建立私人端點。 以您自己的資訊,取代預留位置文字 <resource-group>
、<private-endpoint-name>
、<vnet-name>
、<private-connection-resource-id>
、<connection-name>
和 <location>
。
az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
預留位置
描述:
範例
<resource-group>
輸入私人端點的現有資源群組名稱。
MyResourceGroup
<private-endpoint-name>
輸入新的私人端點名稱。
MyPrivateEndpoint
<vnet-name>
輸入現有 VNet 的名稱。
Myvnet
<private-connection-resource-id>
輸入應用程式組態存放區的私人連線資源識別碼。 這是您在上一個步驟的輸出中儲存的識別碼。
/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
<connection-name>
輸入連線名稱。 應用程式組態存放區必須具有唯一的私人端點連線名稱。
MyConnection
<location>
輸入 Azure 區域。 您的私人端點必須與虛擬網路位於相同的區域中。
centralus
管理私人連結連線
移至應用程式組態存放區中的 [網路] >[私人存取] ,以存取連結至應用程式組態存放區的私人端點。
檢查私人連結連線的連線狀態。 當您建立私人端點時,必須核准連線。 如果您要建立私人端點的資源位於您的目錄中,而且您有足夠的權限 ,就會自動核准連線要求。 否則,您必須等待該資源的擁有者核准您的連線要求。 如需連線核准模型的詳細資訊,請前往管理 Azure 私人端點 。
若要手動核准、拒絕或移除連線,請選取您要編輯的端點旁的核取方塊,並從頂端功能表中選取動作項目。
選取私人端點的名稱以開啟私人端點資源,並存取更多資訊或編輯私人端點。
檢閱私人端點連線詳細資料
執行 az network private-endpoint-connection list 命令,以檢閱連結至應用程式組態存放區的所有私人端點連線,並檢查其連線狀態。 以資源群組的名稱和存放區的名稱,取代預留位置文字 resource-group
和 <app-config-store-name>
。
az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores
或者,若要取得特定私人端點的詳細資料,請使用 az network private-endpoint-connection show 命令。 以資源群組的名稱和存放區的名稱,取代預留位置文字 resource-group
和 app-config-store-name
。
az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores
取得連線核准
當您建立私人端點時,必須核准連線。 如果您要建立私人端點的資源位於您的目錄中,而且您有足夠的權限 ,就會自動核准連線要求。 否則,您必須等待該資源的擁有者核准您的連線要求。
若要核准私人端點連線,請使用 az network private-endpoint-connection approve 命令。 以資源群組的名稱、私人端點的名稱及存放區的名稱,取代預留位置文字 resource-group
、private-endpoint
和 <app-config-store-name>
。
az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>
如需連線核准模型的詳細資訊,請前往管理 Azure 私人端點 。
刪除私人端點連線
若要刪除私人端點連線,請使用 az network private-endpoint-connection delete 命令。 以資源群組的名稱和私人端點的名稱,取代預留位置文字 resource-group
和 private-endpoint
。
az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>
如需更多 CLI 命令,請移至 az network private-endpoint-connection
如果您有私人端點的問題,請查看下列指南:針對 Azure 私人端點連線問題進行疑難排解 。
下一步