استخدام نقاط النهاية الخاصة لتكوين تطبيق Azure

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يمكنك استخدام نقاط النهاية الخاصة لتكوين تطبيق Azure للسماح للعملاء على شبكة ظاهرية (VNet) بالوصول الآمن إلى البيانات عبر ارتباط خاص. تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان VNet لمخزن App Configuration خاصتك. تمر نسبة استخدام الشبكة بين العملاء على VNet ومخزن App Configuration عبر VNet باستخدام رابط خاص على شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام.

يتيح لك استخدام نقاط النهاية الخاصة لمخزن App Configuration ما يلي:

• تأمين تفاصيل تكوين تطبيقك عن طريق تكوين جدار الحماية لحظر جميع الاتصالات بـ App Configuration على نقطة النهاية العامة.
• زيادة الأمان للشبكة الظاهرية (VNet) لضمان عدم تسرب البيانات من شبكة VNet.
• اتصل بأمان بمتجر تكوين التطبيقات من الشبكات المحلية التي تتصل ب VNet باستخدام VPN أو ExpressRoutes مع نظير خاص.

نظرة عامة منطقية

نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في الشبكة الظاهرية (VNet). عند إنشاء نقطة نهاية خاصة لمتجر تكوين التطبيقات، فإنها توفر اتصالا آمنا بين العملاء على VNet ومتجر التكوين. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عناوين IP الخاص بشبكة VNet لديك. يستخدم الاتصال بين نقطة النهاية الخاصة ومخزن التكوين رابطا خاصا آمنا.

يمكن للتطبيقات الموجودة في VNet الاتصال بمخزن التكوين عبر نقطة النهاية الخاصة باستخدام نفس سلاسل الاتصال وآليات التفويض التي قد تستخدمها بخلاف ذلك. يمكن استخدام نقاط النهاية الخاصة مع جميع البروتوكولات التي يدعمها متجر تكوين التطبيقات.

على الرغم من أن تكوين التطبيق لا يدعم نقاط نهاية الخدمة، إلا أنه يمكن إنشاء نقاط نهاية خاصة في الشبكات الفرعية التي تستخدم نقاط نهاية الخدمة. يمكن للعملاء في شبكة فرعية الاتصال بأمان بمتجر تكوين التطبيقات باستخدام نقطة النهاية الخاصة أثناء استخدام نقاط نهاية الخدمة للوصول إلى الآخرين.

عند إنشاء نقطة نهاية خاصة لخدمة في VNet، يتم إرسال طلب موافقة للموافقة عليه إلى مالك حساب الخدمة. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة مالكا للحساب أيضا، تتم الموافقة على طلب الموافقة هذا تلقائيا.

يمكن لمالكي حسابات الخدمة إدارة طلبات الموافقة ونقاط النهاية الخاصة من خلال Private Endpoints علامة التبويب في متجر تكوين التطبيقات في مدخل Azure.

نقاط النهاية الخاصة لـ App Configuration

عند إنشاء نقطة نهاية خاصة، يجب عليك تحديد مخزن App Configuration الذي تتصل به. إذا كان لديك العديد من مخازن App Configuration، فأنت بحاجة إلى نقطة نهاية خاصة منفصلة لكل مخزن.

الاتصال بنقاط النهاية الخاصة

يعتمد Azure على تحليل DNS لتوجيه الاتصالات من VNet إلى مخزن التكوين عبر رابطٍ خاصٍ. يمكنك العثور بسرعة على سلاسل الاتصالات في مدخل Microsoft Azure عن طريق تحديد مخزن App Configuration، ثم تحديد SettingsAccess Keys.

هام

استخدم سلسلة الاتصال نفسها للاتصال بمتجر تكوين التطبيقات باستخدام نقاط النهاية الخاصة كما تستخدمها لنقطة نهاية عامة. لا تتصل بالمتجر باستخدام عنوان URL للنطاق الفرعي الخاص به privatelink .

ملاحظة

بشكل افتراضي، عند إضافة نقطة نهاية خاصة إلى متجر "تكوين التطبيقات"، يتم رفض جميع طلبات بيانات تكوين التطبيق عبر الشبكة العامة. يمكنك تمكين الوصول إلى الشبكة العامة باستخدام أمر Azure CLI التالي. من المهم مراعاة الآثار الأمنية لتمكين الوصول إلى الشبكة العامة في هذا السيناريو.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

تغييرات DNS لنقاط النهاية الخاصة

عند إنشاء نقطة نهاية خاصة، يُحدَّث سجل مورد DNS CNAME لمخزن التكوين إلى اسم مستعار في مجال فرعي بالبادئة privatelink. يُنشئ Azure أيضاً منطقة DNS خاصة تتوافق مع المجال الفرعي مع سجلات موارد DNS A لنقاط النهاية الخاصة.

عندما تباشر بحل عنوان URL لنقطة النهاية من داخل VNet الذي يستضيف نقطة النهاية الخاصة، فإنه يتحول إلى نقطة النهاية الخاصة بالمخزن. عند حله من خارج VNet، يتحول عنوان URL لنقطة النهاية إلى نقطة النهاية العامة. عندما تنشئ نقطة نهاية خاصة، تُعطَّل نقطة النهاية العامة.

إذا كنت تستخدم خادم DNS مخصص على شبكتك، فيجب أن يتمكن العملاء من حل اسم المجال المؤهل بالكامل (FQDN) لنقطة نهاية الخدمة إلى عنوان IP الخاص بنقطة النهاية. يجب تكوين خادم DNS الخاص بك لتفويض المجال الفرعي للارتباط الخاص إلى منطقة DNS الخاصة لشبكة VNet أو تكوين سجلات A لـ [Your-store-name].privatelink.azconfig.io باستخدام عنوان IP الخاص بنقطة النهاية.

تلميح

عند استخدام خادم DNS مخصص أو محلي، يجب تكوين خادم DNS لحل اسم المتجر في privatelink المجال الفرعي إلى عنوان IP الخاص بنقطة النهاية. يمكنك القيام بذلك عن طريق تفويض privatelink النطاق الفرعي إلى منطقة DNS الخاصة في VNet، أو تكوين منطقة DNS على خادم DNS وإضافة سجلات DNS A.

التسعير

يتطلب تمكين نقاط النهاية الخاصة متجرا قياسيا لتكوين التطبيقات من الطبقة . للتعرف على تفاصيل تسعير الروابط الخاصة، راجع تسعير Azure Private Link.

الخطوات التالية

تعرف على المزيد حول إنشاء نقطة نهاية خاصة لمتجر "تكوين التطبيقات"، راجع المقالات التالية:

• إنشاء نقطة نهاية خاصة باستخدام "مركز الارتباط الخاص" في مدخل Azure
• إنشاء نقطة نهاية خاصة باستخدام Azure CLI
• إنشاء Private Endpoint باستخدام Azure PowerShell

تعرف على كيفية تكوين خادم DNS باستخدام نقاط نهاية خاصة:

• تحليل الاسم للموارد في الشبكات الظاهرية لـ Azure
• تكوين DNS لنقاط النهاية الخاصة