通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用专用终结点进行 Azure 应用配置

可以使用 Azure 应用配置的 专用终结点 允许虚拟网络中的客户端通过 专用链接访问数据。 专用终结点为应用配置存储使用虚拟网络地址空间中的 IP 地址。 虚拟网络上的客户端与应用配置存储之间的网络流量通过使用Microsoft主干网络上的专用链接遍历虚拟网络。 这种安排消除了对公共互联网的曝光。

为应用程序配置存储区使用专用终结点时,你可以:

  • 通过将防火墙配置为阻止公共终结点上到应用配置的所有连接来帮助保护你的应用程序配置详细信息。
  • 提高虚拟网络的安全性,确保数据不会从虚拟网络中泄露。
  • 提高应用配置存储区和本地网络之间的连接安全性,这些网络使用 Azure VPN 网关或具有专用对等互连的 Azure ExpressRoute 连接到虚拟网络。

专用终结点的可用性取决于应用配置层:

专用终结点的最大数目
免费 0
开发人员 1
标准 10
高级 40

有关定价的详细信息,请参阅 Azure 应用配置定价

概念性概述

专用终结点是 Azure 虚拟网络中 Azure 服务的特殊网络接口。 为应用配置存储创建专用终结点时,它有助于在虚拟网络上的客户端和配置存储之间提供安全连接。 从虚拟网络的 IP 地址范围为专用终结点分配 IP 地址。 专用终结点与配置存储之间的连接使用专用链接来优化安全性。

虚拟网络中的应用程序可以使用 其他方式使用的相同连接字符串和授权机制,通过专用终结点连接到配置存储。 可以将专用终结点用于应用配置存储支持的所有协议。

应用配置不支持服务终结点,但可以在使用 服务终结点的子网中创建专用终结点。 子网中的客户端可以使用专用终结点连接到应用配置存储,同时使用服务终结点访问其他服务。

在虚拟网络中为服务创建专用终结点时,会向服务帐户所有者发送同意请求以供审批。 如果请求创建专用终结点的用户还是帐户的所有者,则此许可请求会自动获得批准。

服务帐户所有者可以在 Azure 门户中管理同意请求和专用终结点。 可以通过转到应用配置存储区、选择 “设置>网络”,然后转到“ 专用访问 ”选项卡来查找专用终结点设置。

用于应用配置的专用终结点

创建专用终结点时,必须指定它连接到的应用配置存储区。 如果为应用程序配置存储区启用异地复制,则可以使用相同的专用终结点连接到存储区的所有副本。 如果有多个应用程序配置存储,则每个存储都需要一个单独的专用终结点。

异地复制的应用配置存储的相关注意事项

为应用配置存储启用异地复制后,可以使用单个专用终结点连接到所有副本。 但是,专用终结点是区域资源。 因此,此方法可能无法确保在发生区域性服务中断期间建立连接。

为了增强复原能力,除了为原始存储区创建一个专用终结点之外,还可以考虑为异地复制存储区的每个副本创建一个专用终结点。 如果一个区域不可用,客户端可以通过在副本所在的同一区域中预配的专用终结点访问存储。 使用此设置时,需要更改域名系统(DNS)。 具体而言,每个副本的终结点应解析为该副本区域中专用终结点的相关 IP 地址。

专用终结点连接

Azure 依赖于 DNS 解析通过专用链接将连接从虚拟网络路由到配置存储。 可以在 Azure 门户中选择应用配置存储,然后选择 “设置”>访问设置,找到连接字符串。

重要说明

使用专用终结点连接到应用配置存储区时,请使用用于公共终结点的相同连接字符串。 请勿使用其privatelink子域 URL 连接到商店。

注意

默认情况下,当您向应用配置存储中添加专用终结点时,所有通过公共网络对应用配置数据的请求都会被拒绝。 可以使用以下 Azure CLI 命令启用公用网络访问。 在这种情况下,请务必考虑启用公用网络访问的安全隐患。

az appconfig update --resource-group <resource-group-name> --name <App-Configuration-store-name> --enable-public-network true

专用终结点的 DNS 更改

创建专用终结点时,配置存储的 DNS CNAME 资源记录将更新为具有前缀 privatelink 的子域中的别名。 Azure 还会创建对应于子域的privatelink。 专用 DNS 区域包含专用终结点的 DNS A 资源记录。 启用异地复制时,Azure 会为每个副本创建单独的 DNS 记录。 每个记录在专用 DNS 区域中都有唯一的 IP 地址。

在托管专用终结点的虚拟网络中解析终结点 URL 时,该终结点 URL 将解析为存储区的专用终结点。 当从虚拟网络外部解析端点 URL 时,该 URL 将解析为公共端点。 创建专用终结点时,会禁用公共终结点。

如果在网络上使用自定义 DNS 服务器,则需要将其配置为将子域委托 privatelink 给虚拟网络的专用 DNS 区域。 或者,可以为商店的专用链接 URL 配置 A 记录。 这些 A 记录使用以下格式:

  • <App-Configuration-store-name>.privatelink.azconfig.io,用于原始存储区。
  • <App-Configuration-store-name>-<replica-name>.privatelink.azconfig.io 如果启用了异地复制,则为每个副本。 每个专用终结点都有唯一的专用 IP 地址。

定价

启用专用终结点需要具有开发人员、标准或高级层的应用程序配置存储区。 有关专用链接定价的详细信息,请参阅 Azure 专用链接定价

排查资源提供程序注册错误

如果将专用终结点连接到未注册应用配置资源提供程序的订阅中的应用配置存储区,将显示以下消息:

“专用终结点的订阅‘aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e’未注册,无法使用资源提供程序‘Microsoft.AppConfiguration’”。

当专用终结点和应用程序配置存储位于不同的订阅中时,通常会显示此消息。 若要解决此问题,请执行以下步骤:

  1. 在专用终结点的订阅中注册 Microsoft.AppConfiguration 资源提供程序。
  2. 将专用终结点重新连接到应用程序配置存储区。

有关向资源提供程序注册订阅的详细信息,请参阅 “注册资源提供程序”。

后续步骤

若要了解如何为应用配置存储区创建专用终结点,请参阅以下文章:

若要了解如何使用专用终结点配置 DNS 服务器,请参阅以下文章: