Configurar o acesso privado na Configuração do Aplicativo do Azure

Neste artigo, você aprenderá como configurar o acesso privado para sua loja de Configuração de Aplicativo do Azure, criando um ponto de extremidade privado com o Azure Private Link. Os pontos de extremidade privados permitem o acesso à sua loja de configuração de aplicativos usando um endereço IP privado de uma rede virtual.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
• Assumimos que já tem uma loja de Configuração de Aplicações. Se você quiser criar um, vá para criar uma loja de configuração de aplicativo.

Iniciar sessão no Azure

Você precisará entrar no Azure primeiro para acessar o serviço de Configuração de Aplicativo.

Portal

Inicie sessão no portal do Azure em https://portal.azure.com/ com a sua conta do Azure.

CLI do Azure

Entre no Azure usando o az login comando na CLI do Azure.

az login

Este comando solicitará que seu navegador da Web inicie e carregue uma página de entrada do Azure. Se o navegador não abrir, use o fluxo de código do dispositivo com az login --use-device-code. Para obter mais opções de entrada, vá para entrar com a CLI do Azure.

Criar um ponto final privado

Portal

1. Na sua loja de Configuração de Aplicações, em Definições, selecione Rede.

2. Selecione a guia Acesso privado e, em seguida, Criar para iniciar a configuração de um novo ponto de extremidade privado.

   

3. Preencha o formulário com as informações seguintes:

   Parâmetro	Description	Exemplo
   Subscrição	Selecione uma subscrição do Azure. Seu ponto de extremidade privado deve estar na mesma assinatura que sua rede virtual. Você selecionará uma rede virtual mais adiante neste guia de instruções.	MyAzureSubscription
   Grupo de recursos	Selecione um grupo de recursos ou crie um novo.	MyResourceGroup
   Nome	Introduza um nome exclusivo para o novo ponto de extremidade privado da sua loja de Configuração de Aplicações. Ao usar o portal do Azure, o nome da conexão do ponto de extremidade privado será o mesmo que o nome do ponto de extremidade privado. As lojas de configuração de aplicativos devem ter nomes de conexão de ponto de extremidade privados exclusivos.	MyPrivateEndpoint
   Nome da interface de rede	Este campo é preenchido automaticamente. Opcionalmente, edite o nome da interface de rede.	MyPrivateEndpoint-nic
   País/Região	Selecione uma região. Seu ponto de extremidade privado deve estar na mesma região que sua rede virtual.	E.U.A. Central

   

4. Selecione Avançar : Recurso >. O Private Link oferece opções para criar pontos de extremidade privados para diferentes tipos de recursos do Azure, como servidores SQL, contas de armazenamento do Azure ou repositórios de Configuração de Aplicativos. A loja de Configuração de Aplicativo atual é preenchida automaticamente no campo Recurso , pois esse é o recurso ao qual o ponto de extremidade privado está se conectando.

   1. O tipo de recurso Microsoft.AppConfiguration/configurationStores e o subrecurso de destino configurationStores indicam que você está criando um ponto de extremidade para uma loja de Configuração de Aplicativos.

   2. O nome do seu repositório de configuração está listado em Recurso.

   

5. Selecione Next : Virtual Network >.

   1. Selecione uma rede virtual existente para implantar o ponto de extremidade privado. Se você não tiver uma rede virtual, crie uma rede virtual.

   2. Selecione uma Sub-rede na lista.

   3. Deixe marcada a caixa Ativar políticas de rede para todos os pontos de extremidade privados nesta sub-rede .

   4. Em Configuração de IP privado, selecione a opção para alocar endereços IP dinamicamente. Para obter mais informações, consulte Endereços IP privados.

   5. Opcionalmente, você pode selecionar ou criar um grupo de segurança Aplicativo. Os grupos de segurança de aplicativos permitem agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos.

   

6. Selecione Avançar : DNS > para configurar um registro DNS. Se não quiser fazer alterações nas configurações padrão, você pode avançar para a próxima guia.

   1. Em Integrar com zona DNS privada, selecione Sim para integrar seu ponto de extremidade privado com uma zona DNS privada. Você também pode usar seus próprios servidores DNS ou criar registros DNS usando os arquivos host em suas máquinas virtuais.

   2. Uma subscrição e um grupo de recursos para a sua zona DNS privada estão pré-selecionados. Você pode alterá-los opcionalmente.

   

   Para saber mais sobre a configuração de DNS, vá para Resolução de nomes para recursos em redes virtuais do Azure e Configuração de DNS para Pontos de extremidade privados.

7. Selecione Next : Tags > e, opcionalmente, crie tags. As etiquetas são pares nome/valor que permitem categorizar recursos e ver faturação consolidada aplicando a mesma etiqueta a múltiplos recursos e grupos de recursos.

   

8. Selecione Seguinte : Rever + criar > para rever informações sobre a sua loja de Configuração de Aplicações, ponto de extremidade privado, rede virtual e DNS. Você também pode selecionar Baixar um modelo para automação para reutilizar dados JSON deste formulário mais tarde.

   

9. Selecione Criar.

Quando a implantação estiver concluída, você receberá uma notificação de que seu ponto de extremidade foi criado. Se for aprovado automaticamente, pode começar a aceder à sua loja de configuração de aplicações de forma privada, caso contrário terá de aguardar pela aprovação.

CLI do Azure

1. Para configurar seu ponto de extremidade privado, você precisa de uma rede virtual. Se você ainda não tem uma, crie uma rede virtual com az network vnet create. Substitua os textos <vnet-name>de espaço reservado , <rg-name>e <subnet-name> por um nome para sua nova rede virtual, um nome de grupo de recursos e um nome de sub-rede.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Marcador de Posição	Descrição	Exemplo
   <vnet-name>	Introduza um nome para a sua nova rede virtual. Uma rede virtual permite que os recursos do Azure se comuniquem de forma privada entre si e com a Internet.	MyVNet
   <rg-name>	Insira o nome de um grupo de recursos existente para sua rede virtual.	MyResourceGroup
   <subnet-name>	Introduza um nome para a sua nova sub-rede. Uma sub-rede é uma rede dentro de uma rede. É aqui que o endereço IP privado é atribuído.	MySubnet
   <vnet-location>	Insira uma região do Azure. Sua rede virtual deve estar na mesma região que seu ponto de extremidade privado.	centralus

2. Execute o comando az appconfig show para recuperar as propriedades da App Configuration store, para a qual você deseja configurar o acesso privado. Substitua o espaço reservado name pelo nome ou pela App Configuration store.

   az appconfig show --name <name>
   

   Este comando gera uma saída com informações sobre a sua loja de Configuração de Aplicações. Anote o valor id . Por exemplo: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Execute o comando az network private-endpoint create para criar um ponto de extremidade privado para sua loja de configuração de aplicativos. Substitua os textos <resource-group>de espaço reservado , <private-endpoint-name>, <vnet-name>, <private-connection-resource-id>, <connection-name>e <location> por suas próprias informações.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Marcador de Posição	Descrição	Exemplo
   <resource-group>	Insira o nome de um grupo de recursos existente para seu ponto de extremidade privado.	MyResourceGroup
   <private-endpoint-name>	Insira um nome para seu novo ponto de extremidade privado.	MyPrivateEndpoint
   <vnet-name>	Digite o nome de uma rede virtual existente.	Myvnet
   <private-connection-resource-id>	Introduza o ID do recurso de ligação privada da sua loja de Configuração de Aplicações. Este é o ID que você salvou da saída da etapa anterior.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Insira um nome de conexão. As lojas de configuração de aplicativos devem ter nomes de conexão de ponto de extremidade privados exclusivos.	MyConnection
   <location>	Insira uma região do Azure. Seu ponto de extremidade privado deve estar na mesma região que sua rede virtual.	centralus

Gerenciar conexão de link privado

Portal

Aceda a Acesso Privado de Rede>na sua Loja de Configuração de Aplicações para aceder aos pontos de extremidade privados associados à sua Loja de Configuração de Aplicações.

1. Verifique o estado da conexão da sua conexão de link privado. Quando você cria um ponto de extremidade privado, a conexão deve ser aprovada. Se o recurso para o qual você está criando um ponto de extremidade privado estiver em seu diretório e você tiver permissões suficientes, a solicitação de conexão será aprovada automaticamente. Caso contrário, você deve aguardar que o proprietário desse recurso aprove sua solicitação de conexão. Para obter mais informações sobre os modelos de aprovação de conexão, vá para Gerenciar pontos de extremidade privados do Azure.

2. Para aprovar, rejeitar ou remover manualmente uma conexão, marque a caixa de seleção ao lado do ponto de extremidade que você deseja editar e selecione um item de ação no menu superior.

   

3. Selecione o nome do ponto de extremidade privado para abrir o recurso de ponto de extremidade privado e acessar mais informações ou para editar o ponto de extremidade privado.

CLI do Azure

Rever os detalhes da ligação ao ponto final privado

Execute o comando az network private-endpoint-connection list para revisar todas as conexões de ponto de extremidade privadas vinculadas à sua loja de configuração de aplicativos e verificar seu estado de conexão. Substitua os textos resource-group de espaço reservado pelo <app-config-store-name> nome do grupo de recursos e pelo nome do armazenamento.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Opcionalmente, para obter os detalhes de um ponto de extremidade privado específico, use o comando az network private-endpoint-connection show . Substitua os textos resource-group de espaço reservado pelo app-config-store-name nome do grupo de recursos e pelo nome do armazenamento.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Obter aprovação de conexão

Quando você cria um ponto de extremidade privado, a conexão deve ser aprovada. Se o recurso para o qual você está criando um ponto de extremidade privado estiver em seu diretório e você tiver permissões suficientes, a solicitação de conexão será aprovada automaticamente. Caso contrário, você deve aguardar que o proprietário desse recurso aprove sua solicitação de conexão.

Para aprovar uma conexão de ponto de extremidade privada, use o comando az network private-endpoint-connection approve . Substitua os textos resource-groupde espaço reservado , private-endpointe <app-config-store-name> pelo nome do grupo de recursos, o nome do ponto de extremidade privado e o nome do armazenamento.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Para obter mais informações sobre os modelos de aprovação de conexão, vá para Gerenciar pontos de extremidade privados do Azure.

Excluir uma conexão de ponto de extremidade privada

Para excluir uma conexão de ponto de extremidade privada, use o comando az network private-endpoint-connection delete . Substitua os textos resource-group de espaço reservado pelo private-endpoint nome do grupo de recursos e pelo nome do ponto de extremidade privado.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Para obter mais comandos da CLI, vá para az network private-endpoint-connection

Se você tiver problemas com um ponto de extremidade privado, verifique o seguinte guia: Solucionar problemas de conectividade do Ponto de Extremidade Privado do Azure.

Próximos passos

Usar pontos de extremidade privados para a Configuração do Aplicativo do Azure

Desabilitar o acesso público na Configuração do Aplicativo do Azure