استخدام نقاط النهاية الخاصة بـ Azure App Configuration

يمكنك استخدام نقاط النهاية الخاصة لـ Azure App Configuration للسماح للعملاء على شبكة ظاهرية (VNet) بالوصول الآمن إلى البيانات عبر رابطٍ خاصٍ. تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان VNet لمخزن App Configuration خاصتك. تمر نسبة استخدام الشبكة بين العملاء على VNet ومخزن App Configuration عبر VNet باستخدام رابط خاص على شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام.

يتيح لك استخدام نقاط النهاية الخاصة لمخزن App Configuration ما يلي:

• تأمين تفاصيل تكوين تطبيقك عن طريق تكوين جدار الحماية لحظر جميع الاتصالات بـ App Configuration على نقطة النهاية العامة.
• زيادة الأمان للشبكة الظاهرية (VNet) لضمان عدم تسرب البيانات من شبكة VNet.
• الاتصال بأمان بمخزن App Configuration من الشبكات المحلية التي تتصل بـ VNet باستخدام VPN أو ExpressRoutes مع تناظر خاص.

نظرة عامة منطقية

نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في الشبكة الظاهرية (VNet). عند إنشاء نقطة نهاية خاصة لمخزن App Configuration الخاص بك، فإنها توفر اتصالاً آمنًا بين العملاء على الشبكة الظاهرية ومخزن التكوين الخاص بك. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عناوين IP الخاص بشبكة VNet لديك. يستخدم الاتصال بين نقطة النهاية الخاصة ومخزن التكوين رابطًا خاصًا آمنًا.

يمكن للتطبيقات الموجودة في الشبكة الظاهرية الاتصال بمخزن التكوين عبر نقطة النهاية الخاصة باستخدام نفس سلاسل الاتصال وآليات التخويل التي قد يستخدمونها بطريقة أخرى. يمكن استخدام نقاط النهاية الخاصة مع جميع البروتوكولات التي يدعمها مخزن App Configuration.

بينما لا يدعم App Configuration نقاط نهاية الخدمة، يمكن إنشاء نقاط نهاية خاصة في الشبكات الفرعية التي تستخدم نقاط نهاية الخدمة. ومن ثم يمكن للعملاء في الشبكة الفرعية الاتصال بمخزن App Configuration بشكل آمن باستخدام نقطة نهاية خاصة، مع استخدام نقاط نهاية الخدمة للوصول إلى الآخرين.

عند إنشاء نقطة نهاية خاصة لخدمة في الشبكة الظاهرية، يتم إرسال طلب موافقة للموافقة عليه إلى مالك حساب الخدمة. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة هو أيضًا مالكًا للحساب، يتم قبول طلب الموافقة هذا تلقائيًا.

يمكن لمالكي حساب الخدمة إدارة طلبات الموافقة ونقاط النهاية الخاصة من خلال علامة التبويب ⁧Private Endpoints ⁩لمخزن App Configuration في ⁧⁩مدخل Microsoft Azure⁧⁩.

نقاط النهاية الخاصة لـ App Configuration

عند إنشاء نقطة نهاية خاصة، يجب عليك تحديد مخزن App Configuration الذي تتصل به. إذا قمت بتمكين النسخ المتماثل الجغرافي لمتجر App Configuration، يمكنك الاتصال بجميع النسخ المتماثلة للمتجر باستخدام نفس نقطة النهاية الخاصة. إذا كان لديك العديد من مخازن App Configuration، فأنت بحاجة إلى نقطة نهاية خاصة منفصلة لكل مخزن.

الاتصال بنقاط النهاية الخاصة

يعتمد Azure على تحليل DNS لتوجيه الاتصالات من VNet إلى مخزن التكوين عبر رابطٍ خاصٍ. يمكنك العثور بسرعة على سلاسل الاتصالات في مدخل Azure عن طريق تحديد مخزن App Configuration، ثم تحديد Settings>Access Keys.

هام

استخدم نفس سلسلة الاتصال للاتصال بمخزن App Configuration الخاص بك باستخدام نقاط النهاية الخاصة كما يمكنك استخدامها لنقطة نهاية عامة. لا تتصل بالمخزن باستخدام عنوان URL للمجال الفرعي الخاص به privatelink.

إشعار

بشكل افتراضي، عند إضافة نقطة نهاية خاصة إلى مخزن App Configuration، يتم رفض جميع طلبات بيانات App Configuration عبر الشبكة العامة. يمكنك أيضًا تمكين الوصول إلى الشبكة العامة باستخدام أمر Azure CLI التالي. من المهم مراعاة الآثار الأمنية لتمكين الوصول إلى الشبكة العامة في هذا السيناريو.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

تغييرات DNS لنقاط النهاية الخاصة

عند إنشاء نقطة نهاية خاصة، يُحدَّث سجل مورد DNS CNAME لمخزن التكوين إلى اسم مستعار في مجال فرعي بالبادئة privatelink. يُنشئ Azure أيضاً منطقة DNS خاصة تتوافق مع المجال الفرعي privatelink مع سجلات موارد DNS A لنقاط النهاية الخاصة. يؤدي تمكين النسخ المتماثل الجغرافي إلى إنشاء سجلات DNS منفصلة لكل نسخة متماثلة بعناوين IP فريدة في منطقة DNS الخاصة.

عندما تباشر بحل عنوان URL لنقطة النهاية من داخل VNet الذي يستضيف نقطة النهاية الخاصة، فإنه يتحول إلى نقطة النهاية الخاصة بالمخزن. عند حله من خارج VNet، يتحول عنوان URL لنقطة النهاية إلى نقطة النهاية العامة. عندما تنشئ نقطة نهاية خاصة، تُعطَّل نقطة النهاية العامة.

إذا كنت تستخدم خادم DNS مخصصا على شبكتك، فستحتاج إلى تكوينه لتفويض المجال الفرعي إلى privatelink منطقة DNS الخاصة للشبكة الظاهرية. بدلا من ذلك، يمكنك تكوين سجلات A لعناوين URL للارتباط الخاص بمتجرك، والتي تكون إما [Your-store-name].privatelink.azconfig.io أو [Your-store-name]-[replica-name].privatelink.azconfig.io إذا تم تمكين النسخ المتماثل الجغرافي، مع عناوين IP خاصة فريدة من نقطة النهاية الخاصة.

التسعير

يتطلب تمكين نقاط النهاية الخاصة مخزن App Configuration المستوى القياسي. للتعرف على تفاصيل أسعار الارتباط الخاص، راجع أسعار Azure Private Link.

الخطوات التالية

تعرف على المزيد حول إنشاء نقطة نهاية خاصة لمخزن App Configuration، راجع المقالات التالية:

• إنشاء نقطة نهاية خاصة باستخدام مركز الارتباط الخاص في مدخل Microsoft Azure
• إنشاء نقطة نهاية خاصة باستخدام Azure CLI
• إنشاء نقطة نهاية خاصة باستخدام Azure PowerShell

تعرف على تكوين خادم DNS الخاص بك باستخدام نقاط النهاية الخاصة:

• تحليل الاسم للموارد في الشبكات الظاهرية لـ Azure
• تكوين DNS لنقاط النهاية الخاصة