Uso di endpoint privati per la configurazione di app Azure

  • Articolo

È possibile usare endpoint privati per app Azure Configurazione per consentire ai client in una rete virtuale di accedere in modo sicuro ai dati tramite un collegamento privato. L'endpoint privato usa un indirizzo IP dallo spazio indirizzi della rete virtuale per l'archivio di Configurazione app. Il traffico di rete tra i client nella rete virtuale e l'archivio di Configurazione app passa attraverso la rete virtuale usando un collegamento privato sulla rete backbone di Microsoft, eliminando l'esposizione alla rete Internet pubblica.

L'uso di endpoint privati per l'archivio di Configurazione app consente di:

  • Proteggere i dettagli di configurazione dell'applicazione configurando il firewall per bloccare tutte le connessioni a Configurazione app nell'endpoint pubblico.
  • Aumentare la sicurezza per la rete virtuale (VNet) assicurando che i dati non escano dalla rete virtuale.
  • Connettersi in modo sicuro all'archivio Configurazione app da reti locali che si connettono alla rete virtuale tramite VPN o ExpressRoutes con peering privato.

Panoramica dei concetti

Un endpoint privato è un'interfaccia di rete speciale per un servizio di Azure nella Rete virtuale (VNet). Quando si crea un endpoint privato per l'archivio Configurazione app, offre connettività sicura tra i client nella rete virtuale e l'archivio di configurazione. All'endpoint privato viene assegnato un indirizzo IP dall'intervallo di indirizzi IP della rete virtuale. La connessione tra l'endpoint privato e l'archivio di configurazione usa un collegamento privato sicuro.

Le applicazioni nella rete virtuale possono connettersi all'archivio di configurazione tramite l'endpoint privato usando gli stessi meccanismi di autorizzazione e stringa di connessione usati in altro modo. Gli endpoint privati possono essere usati con tutti i protocolli supportati dall'archivio Configurazione app.

Anche se Configurazione app non supporta gli endpoint di servizio, gli endpoint privati possono essere creati in subnet che usano endpoint di servizio. I client in una subnet possono connettersi in modo sicuro a un archivio Configurazione app usando l'endpoint privato usando gli endpoint di servizio per accedere ad altri utenti.

Quando si crea un endpoint privato per un servizio nella rete virtuale, viene inviata una richiesta di consenso per l'approvazione al proprietario dell'account del servizio. Se l'utente che richiede la creazione dell'endpoint privato è anche un proprietario dell'account, questa richiesta di consenso viene approvata automaticamente.

I proprietari dell'account di servizio possono gestire le richieste di consenso e gli endpoint privati tramite la Private Endpoints scheda dell'archivio Configurazione app nel portale di Azure.

Endpoint privati per Configurazione app

Quando si crea un endpoint privato, è necessario specificare l'archivio di Configurazione app a cui si connette. Se si abilita la replica geografica per un archivio Configurazione app, è possibile connettersi a tutte le repliche dell'archivio usando lo stesso endpoint privato. Se sono presenti più archivi di Configurazione app, è necessario un endpoint privato separato per ogni archivio.

Connessione ing agli endpoint privati

Azure si basa sulla risoluzione DNS per instradare le connessioni dalla rete virtuale all'archivio di configurazione tramite un collegamento privato. È possibile trovare rapidamente le stringhe di connessione nel portale di Azure selezionando l'archivio di Configurazione app e quindi selezionando Impostazioni>Chiavi di accesso.

Importante

Usare la stessa stringa di connessione per connettersi all'archivio Configurazione app usando endpoint privati usati per un endpoint pubblico. Non connettersi all'archivio usando l'URL privatelink del sottodominio.

Nota

Per impostazione predefinita, quando un endpoint privato viene aggiunto all'archivio Configurazione app, tutte le richieste per i dati Configurazione app sulla rete pubblica vengono negate. È possibile abilitare l'accesso alla rete pubblica usando il comando seguente dell'interfaccia della riga di comando di Azure. È importante considerare le implicazioni che l'abilitazione dell'accesso alla rete pubblica ha sulla sicurezza in questo scenario.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

Modifiche al DNS per gli endpoint privati

Quando si crea un endpoint privato, il record di risorsa DNS CNAME per l'archivio della configurazione viene aggiornato a un alias in un sottodominio con il prefisso privatelink. Azure crea anche una zona DNS privato corrispondente al sottodominio privatelink, con i record di risorse DNS A per gli endpoint privati. L'abilitazione della replica geografica crea record DNS separati per ogni replica con indirizzi IP univoci nella zona DNS privata.

Quando si risolve l'URL dell'endpoint dalla rete virtuale che ospita l'endpoint privato, viene restituito l'endpoint privato dell'archivio. Quando lo si risolve dall'esterno della rete virtuale, l'URL dell'endpoint restituisce l'endpoint pubblico. Quando si crea un endpoint privato, l'endpoint pubblico è disabilitato.

Se si usa un server DNS personalizzato nella rete, è necessario configurarlo per delegare il privatelink sottodominio alla zona DNS privata per la rete virtuale. In alternativa, è possibile configurare i record A per gli URL di collegamento privato dell'archivio, che sono [Your-store-name].privatelink.azconfig.io o [Your-store-name]-[replica-name].privatelink.azconfig.io se la replica geografica è abilitata, con indirizzi IP privati univoci dell'endpoint privato.

Prezzo

L'abilitazione degli endpoint privati richiede un archivio Configurazione app di livello Standard. Per informazioni sui dettagli sui prezzi dei collegamenti privati, vedere collegamento privato di Azure prezzi.

Passaggi successivi

Per altre informazioni sulla creazione di un endpoint privato per l'archivio Configurazione app, vedere gli articoli seguenti:

Informazioni su come configurare il server DNS con endpoint privati: