Menggunakan titik akhir privat untuk Azure App Configuration

Anda dapat menggunakan titik akhir privat untuk Azure App Configuration Anda untuk memungkinkan klien di jaringan virtual (VNet) mengakses data dengan aman melalui tautan privat. Titik akhir privat menggunakan alamat IP dari ruang alamat VNet untuk penyimpanan App Configuration Anda. Lalu lintas jaringan antara klien di VNet dan penyimpanan App Configuration melintasi VNet menggunakan tautan privat di jaringan backbone Microsoft, menghilangkan paparan ke internet publik.

Menggunakan titik akhir privat untuk penyimpanan App Configuration memungkinkan Anda untuk:

• Mengamankan detail konfigurasi aplikasi Anda dengan mengonfigurasi firewall untuk memblokir semua koneksi ke App Configuration di titik akhir publik.
• Meningkatkan keamanan untuk jaringan virtual (VNet) memastikan data tidak keluar dari VNet.
• Menyambungkan dengan aman ke penyimpanan App Configuration dari jaringan lokal yang tersambung ke VNet menggunakan VPN atau ExpressRoutes dengan peering privat.

Ringkasan konseptual

Titik akhir privat adalah antarmuka jaringan khusus untuk layanan Azure di Virtual Network (VNet) Anda. Saat Anda membuat titik akhir privat untuk penyimpanan App Configuration Anda, ini menyediakan konektivitas yang aman antara klien di VNet dan penyimpanan konfigurasi Anda. Titik akhir privat akan diberi alamat IP dari rentang alamat IP VNet Anda. Koneksi antara titik akhir privat dan penyimpanan konfigurasi menggunakan tautan privat yang aman.

Aplikasi di VNet dapat tersambung ke penyimpanan konfigurasi melalui titik akhir privat menggunakan string koneksi dan mekanisme otorisasi yang sama yang akan digunakan sebaliknya. Titik akhir privat dapat digunakan dengan semua protokol yang didukung oleh penyimpanan App Configuration.

Meskipun App Configuration tidak mendukung titik akhir layanan, titik akhir privat dapat dibuat di subnet yang menggunakan Titik Akhir Layanan. Klien dalam subnet dapat tersambung dengan aman ke penyimpanan App Configuration menggunakan titik akhir privat saat menggunakan titik akhir layanan untuk mengakses yang lain.

Saat Anda membuat titik akhir privat untuk layanan penyimpanan di VNet Anda, permintaan persetujuan dikirim untuk persetujuan kepada pemilik akun layanan. Jika pengguna yang meminta pembuatan titik akhir privat juga merupakan pemilik akun, permintaan izin ini akan disetujui secara otomatis.

Pemilik akun layanan dapat mengelola permintaan persetujuan dan titik akhir privat melalui tab Private Endpoints penyimpanan App Configuration di portal Microsoft Azure.

Titik akhir privat untuk App Configuration

Saat membuat titik akhir privat, Anda harus menentukan penyimpanan App Configuration tempat titik tersebut tersambung. Jika Anda mengaktifkan replikasi geografis untuk penyimpanan App Configuration, Anda dapat terhubung ke semua replika penyimpanan menggunakan titik akhir privat yang sama. Jika Anda memiliki beberapa penyimpanan App Configuration, Anda memerlukan titik akhir privat terpisah untuk setiap penyimpanan.

Menyambungkan ke titik akhir privat

Azure mengandalkan resolusi DNS untuk merutekan koneksi dari VNet ke penyimpanan konfigurasi melalui tautan privat. Anda dapat dengan cepat menemukan string koneksi di portal Microsoft Azure dengan memilih penyimpanan App Configuration, lalu memilih Pengaturan>Kunci Akses.

Penting

Gunakan string koneksi yang sama untuk menyambungkan ke penyimpanan App Configuration Anda menggunakan titik akhir privat seperti yang akan Anda gunakan untuk titik akhir publik. Jangan sambungkan ke penyimpanan menggunakan URL subdomain privatelink-nya.

Catatan

Secara default, saat titik akhir privat ditambahkan ke penyimpanan App Configuration Anda, semua permintaan untuk data App Configuration Anda melalui jaringan publik ditolak. Anda dapat mengaktifkan akses jaringan publik menggunakan perintah Azure CLI berikut. Penting untuk mempertimbangkan implikasi keamanan dari mengaktifkan akses jaringan publik dalam skenario ini.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

Perubahan DNS untuk titik akhir privat

Saat Anda membuat titik akhir privat, rekaman sumber daya DNS CNAME untuk penyimpanan konfigurasi diperbarui ke alias dalam subdomain dengan prefiksprivatelink. Azure juga membuat zona DNS privat yang sesuai dengan subdomain privatelink, dengan catatan sumber daya DNS A untuk titik akhir privat. Mengaktifkan replikasi geografis membuat catatan DNS terpisah untuk setiap replika dengan alamat IP unik di zona DNS privat.

Saat Anda menyelesaikan URL titik akhir dari dalam VNet yang menghosting titik akhir privat, ini akan diselesaikan ke titik akhir privat penyimpanan. Saat diselesaikan dari luar VNet, URL titik akhir diselesaikan ke titik akhir publik. Saat Anda membuat titik akhir privat, titik akhir publik dinonaktifkan.

Jika Anda menggunakan server DNS kustom di jaringan, Anda perlu mengonfigurasinya untuk mendelegasikan subdomain Anda privatelink ke zona DNS privat untuk VNet. Atau, Anda dapat mengonfigurasi rekaman A untuk URL tautan privat toko Anda, yang merupakan [Your-store-name].privatelink.azconfig.io atau [Your-store-name]-[replica-name].privatelink.azconfig.io jika replikasi geografis diaktifkan, dengan alamat IP privat unik dari titik akhir privat.

Harga

Mengaktifkan titik akhir privat memerlukan penyimpanan App Configuration Tingkat standar. Untuk mempelajari tentang detail harga tautan privat, lihat Harga Azure Private Link.

Langkah berikutnya

Pelajari selengkapnya tentang membuat titik akhir privat untuk penyimpanan App Configuration Anda, lihat artikel berikut ini:

• Membuat titik akhir privat menggunakan Private Link Center di portal Microsoft Azure
• Membuat titik akhir privat menggunakan portal Azure
• Membuat titik akhir privat menggunakan Azure PowerShell

Pelajari cara mengonfigurasi server DNS Anda dengan titik akhir privat:

• Resolusi nama untuk sumber daya di jaringan virtual Azure
• Konfigurasi DNS untuk Titik Akhir Privat