Utilisation de points de terminaison privés pour Azure App ConfigurationUsing private endpoints for Azure App Configuration

Vous pouvez utiliser des points de terminaison privés pour Azure App Configuration afin de permettre aux clients d’un réseau virtuel (VNet) d’accéder en toute sécurité aux données via une liaison privée.You can use private endpoints for Azure App Configuration to allow clients on a virtual network (VNet) to securely access data over a private link. Le point de terminaison privé utilise une adresse IP de l’espace d’adressage du réseau virtuel pour votre magasin App Configuration.The private endpoint uses an IP address from the VNet address space for your App Configuration store. Le trafic réseau entre les clients sur le réseau virtuel et le magasin App Configuration traverse le réseau virtuel en utilisant une liaison privée sur le réseau principal de Microsoft, ce qui élimine l’exposition à l’Internet public.Network traffic between the clients on the VNet and the App Configuration store traverses over the VNet using a private link on the Microsoft backbone network, eliminating exposure to the public internet.

L’utilisation de points de terminaison privés pour votre magasin App Configuration vous permet d’effectuer les opérations suivantes :Using private endpoints for your App Configuration store enables you to:

  • Sécuriser les détails de configuration de votre application en configurant le pare-feu pour bloquer toutes les connexions à App Configuration sur le point de terminaison public.Secure your application configuration details by configuring the firewall to block all connections to App Configuration on the public endpoint.
  • Améliorer la sécurité du réseau virtuel (VNet), en veillant à ce que les données n’échappent pas su réseau virtuel.Increase security for the virtual network (VNet) ensuring data doesn't escape from the VNet.
  • Vous connecter en toute sécurité au magasin App Configuration à partir de réseaux locaux qui se connectent au réseau virtuel à l’aide de VPN ou d’ExpressRoutes avec un peering privé.Securely connect to the App Configuration store from on-premises networks that connect to the VNet using VPN or ExpressRoutes with private-peering.

Vue d'ensemble conceptuelleConceptual overview

Un point de terminaison privé est une interface réseau spéciale pour un service Azure dans votre réseau virtuel.A private endpoint is a special network interface for an Azure service in your Virtual Network (VNet). Lorsque vous créez un point de terminaison privé pour votre magasin App Configuration, il offre une connectivité sécurisée entre les clients sur votre réseau virtuel et votre magasin de configuration.When you create a private endpoint for your App Config store, it provides secure connectivity between clients on your VNet and your configuration store. Une adresse IP est attribuée au point de terminaison privé à partir de la plage d’adresses IP de votre réseau virtuel.The private endpoint is assigned an IP address from the IP address range of your VNet. La connexion entre le point de terminaison privé et le magasin de configuration utilise une liaison privée sécurisée.The connection between the private endpoint and the configuration store uses a secure private link.

Les applications du réseau virtuel peuvent se connecter au magasin de configuration sur le point de terminaison privé, en utilisant les mêmes chaînes de connexion et mécanismes d’autorisation que d’habitude.Applications in the VNet can connect to the configuration store over the private endpoint using the same connection strings and authorization mechanisms that they would use otherwise. Les points de terminaison privés peuvent être utilisés avec tous les protocoles pris en charge par le magasin App Configuration.Private endpoints can be used with all protocols supported by the App Configuration store.

Bien qu’App Configuration ne prenne pas en charge les points de terminaison de service, des points de terminaison privés peuvent être créés dans des sous-réseaux qui utilisent des points de terminaison de service.While App Configuration doesn't support service endpoints, private endpoints can be created in subnets that use Service Endpoints. Des clients dans un sous-réseau peuvent connecter en toute sécurité à un magasin App Configuration en utilisant le point de terminaison privé, tout en utilisant des points de terminaison de service pour accéder à d’autres.Clients in a subnet can connect securely to an App Configuration store using the private endpoint while using service endpoints to access others.

Quand vous créez un point de terminaison privé pour un service dans votre réseau virtuel, une demande de consentement est envoyée pour approbation au propriétaire du compte de service.When you create a private endpoint for a service in your VNet, a consent request is sent for approval to the service account owner. Si l’utilisateur qui demande la création du point de terminaison privé est également propriétaire du compte, cette demande de consentement est automatiquement approuvée.If the user requesting the creation of the private endpoint is also an owner of the account, this consent request is automatically approved.

Les propriétaires de comptes de service peuvent gérer les demandes de consentement et les points de terminaison privés via l’onglet Private Endpoints du magasin de configuration dans le portail Azure.Service account owners can manage consent requests and private endpoints through the Private Endpoints tab of the config store in the Azure portal.

Points de terminaison privés pour App ConfigurationPrivate endpoints for App Configuration

Lorsque vous créez un point de terminaison privé, vous devez spécifier le magasin App Configuration auquel il se connecte.When creating a private endpoint, you must specify the App Configuration store to which it connects. Si vous avez plusieurs instances App Configuration dans un compte, vous avez besoin d’un point de terminaison privé distinct pour chaque magasin.If you have multiple App Configuration instances within an account, you need a separate private endpoint for each store.

Connexion à des points de terminaison privésConnecting to private endpoints

Azure s’appuie sur la résolution DNS pour router les connexions du réseau virtuel au magasin de configuration via une liaison privée.Azure relies upon DNS resolution to route connections from the VNet to the configuration store over a private link. Vous pouvez rechercher rapidement des chaînes de connexion dans le portail Azure en sélectionnant votre magasin App Configuration, puis Paramètres > Clés d’accès.You can quickly find connections strings in the Azure portal by selecting your App Configuration store, then selecting Settings > Access Keys.

Important

Pour vous connecter à votre magasin App Configuration à l’aide de points de terminaison privés, utilisez la chaîne de connexion que vous utiliseriez pour un point de terminaison public.Use the same connection string to connect to your App Configuration store using private endpoints as you would use for a public endpoint. Ne vous connectez pas au magasin à l’aide de son URL de sous-domaine privatelink.Don't connect to the store using its privatelink subdomain URL.

Modifications DNS pour les points de terminaison privésDNS changes for private endpoints

Quand vous créez un point de terminaison privé, l’enregistrement de ressource CNAME DNS pour le magasin de configuration est remplacé par un alias dans un sous-domaine avec le préfixe privatelink.When you create a private endpoint, the DNS CNAME resource record for the configuration store is updated to an alias in a subdomain with the prefix privatelink. Azure crée également une zone DNS privée correspondant au sous-domaine privatelink, avec les enregistrements de ressources DNS A pour les points de terminaison privés.Azure also creates a private DNS zone corresponding to the privatelink subdomain, with the DNS A resource records for the private endpoints.

Quand vous résolvez l’URL du point de terminaison à partir du réseau virtuel hébergeant le point de terminaison privé, elle correspond au point de terminaison privé du magasin.When you resolve the endpoint URL from within the VNet hosting the private endpoint, it resolves to the private endpoint of the store. En cas de résolution depuis l’extérieur du réseau virtuel, l’URL du point de terminaison correspond au point de terminaison public.When resolved from outside the VNet, the endpoint URL resolves to the public endpoint. Quand vous créez un point de terminaison privé, le point de terminaison public est désactivé.When you create a private endpoint, the public endpoint is disabled.

Si vous utilisez un serveur DNS personnalisé sur votre réseau, les clients doivent pouvoir résoudre le nom de domaine complet (FQDN) du point de terminaison de service en l’adresse IP du point de terminaison privé.If you are using a custom DNS server on your network, clients must be able to resolve the fully qualified domain name (FQDN) for the service endpoint to the private endpoint IP address. Configurez votre serveur DNS pour déléguer votre sous-domaine de liaison privée à la zone DNS privée du réseau virtuel, ou configurer les enregistrements A pour AppConfigInstanceA.privatelink.azconfig.io avec l’adresse IP du point de terminaison privé.Configure your DNS server to delegate your private link subdomain to the private DNS zone for the VNet, or configure the A records for AppConfigInstanceA.privatelink.azconfig.io with the private endpoint IP address.

Conseil

Lorsque vous utilisez un serveur DNS personnalisé ou local, vous devez configurer votre serveur DNS pour résoudre le nom du magasin dans le sous-domaine privatelink en l’adresse IP du point de terminaison privé.When using a custom or on-premises DNS server, you should configure your DNS server to resolve the store name in the privatelink subdomain to the private endpoint IP address. Pour ce faire, vous pouvez déléguer le sous-domaine privatelink à la zone DNS privée du réseau virtuel, ou configurer la zone DNS sur votre serveur DNS et ajouter les enregistrements A DNS.You can do this by delegating the privatelink subdomain to the private DNS zone of the VNet, or configuring the DNS zone on your DNS server and adding the DNS A records.

TarifsPricing

L’activation des points de terminaison privés requiert un magasin App Configuration de niveau standard.Enabling private endpoints requires a Standard tier App Configuration store. Pour des détails sur la tarification des liaisons privées, consultez Tarification des liaisons privées Azure.To learn about private link pricing details, see Azure Private Link pricing.

Étapes suivantesNext steps

Apprenez-en davantage sur la création d’un point de terminaison privé pour votre magasin App Configuration en consultant les articles suivants :Learn more about creating a private endpoint for your App Configuration store, refer to the following articles:

Apprenez à configurer votre serveur DNS avec des points de terminaison privés :Learn to configure your DNS server with private endpoints: