在 Azure 应用程序配置中设置专用访问
本文内容
本文介绍如何通过使用 Azure 专用链接创建专用终结点 ,来为 Azure 应用程序配置存储设置专用访问。 专用终结点允许使用虚拟网络中的专用 IP 地址访问应用程序配置存储。
先决条件
登录 Azure
需要先登录到 Azure,然后才能访问应用程序配置服务。
在 Azure CLI 中使用 az login 命令登录到 Azure。
az cloud set -n AzureChinaCloud
az login
# az cloud set -n AzureCloud //means return to Public Azure.
此命令将提示 Web 浏览器启动和加载 Azure 登录页。 如果浏览器未能打开,请运行 az login --use-device-code 命令以使用设备代码流。 有关更多登录选项,请转到使用 Azure CLI 登录 。
创建专用终结点
在应用配置存储中的“设置”下,选择“网络”。
选择“专用访问”选项卡,然后选择“创建”开始设置新的专用终结点。
使用以下信息填写窗体:
参数
说明
示例
订阅
选择 Azure 订阅。 专用终结点必须与虚拟网络位于同一订阅中。 稍后你将在本操作指南中选择虚拟网络。
MyAzureSubscription
资源组
选择一个资源组或新建一个资源组。
MyResourceGroup
名称
输入应用程序配置存储的新专用终结点的唯一名称。 使用 Azure 门户时,专用终结点连接名称与专用终结点名称相同。 应用配置存储必须具有唯一的专用终结点连接名称。
MyPrivateEndpoint
网络接口名称
此字段会自动填写。 (可选)编辑网络接口的名称。
MyPrivateEndpoint-nic
区域
选择区域。 专用终结点必须与虚拟网络位于同一区域中。
中国北部
选择“下一步: 资源 >”。 专用链接提供用于为不同类型的 Azure 资源(例如 SQL 服务器、Azure 存储帐户或应用程序配置存储)创建专用终结点的选项。 当前应用程序配置存储会自动填充到“资源”字段中,因为它是专用终结点要连接到的资源。
资源类型“Microsoft.AppConfiguration/configurationStores”和目标子资源“configurationStores”表示正在为应用程序配置存储创建终结点。
配置存储的名称列在“资源”下。
选择“下一步: 虚拟网络 >”。
选择要将专用终结点部署到的现有虚拟网络。 如果你没有虚拟网络,请创建一个虚拟网络 。
从列表中选择一个子网。
将“为此子网中的所有专用终结点启用网络策略”复选框保持选中状态。
在“专用 IP 配置”下,选择用于动态分配 IP 地址的选项。 有关详细信息,请参阅专用 IP 地址 。
(可选)可以选择或创建一个应用程序安全组。 使用应用程序安全组,可以对虚拟机进行分组,并根据这些组定义网络安全策略。
选择“下一步: DNS >”配置 DNS 记录。 如果你不想要更改默认设置,可以转到下一个选项卡。
为“与专用 DNS 区域集成”选择“是”,以将专用终结点与专用 DNS 区域集成。 你也可使用自己的 DNS 服务器,或使用虚拟机上的主机文件来创建 DNS 记录。
专用 DNS 区域的订阅和资源组已预先选择。 可以视需要更改它们。
若要详细了解 DNS 配置,请转到 Azure 虚拟网络中资源的名称解析 和专用终结点的 DNS 配置 。
选择“下一步: 标记 >”并创建标记(可选)。 标记是名称/值对,可让你通过将相同的标记应用到多个资源和资源组,对资源进行分类并查看合并的账单。
选择“下一步: 查看 + 创建 >”以查看有关应用程序配置存储、专用终结点、虚拟网络和 DNS 的信息。 还可以选择“下载自动化模板”,以便稍后重用此表单中的 JSON 数据。
选择“创建”。
部署完成后,你会收到一条通知,指出已创建终结点。 如果部署已自动获得批准,则你可以开始以私密方式访问应用程序配置存储,否则必须等待批准。
若要设置专用终结点,需要一个虚拟网络。 如果你没有虚拟网络,请使用 az network vnet create 创建一个。 将占位符文本 <vnet-name>、<rg-name> 和 <subnet-name> 替换为新虚拟网络的名称、资源组名称和子网名称。
az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
占位符
说明
示例
<vnet-name>输入新虚拟网络的名称。 虚拟网络使 Azure 资源能够以私密方式相互通信以及与 Internet 通信。
MyVNet
<rg-name>输入虚拟网络的现有资源组的名称。
MyResourceGroup
<subnet-name>输入新子网的名称。 子网是网络内部的网络。 它是分配专用 IP 地址的位置。
MySubnet
<vnet-location>输入 Azure 区域。 虚拟网络必须与专用终结点位于同一区域。
chinaeast
运行命令 az appconfig show 检索要为其设置专用访问的应用程序配置存储的属性。 将占位符 name 替换为应用程序配置存储区的名称。
az appconfig show --name <name>
此命令生成一个输出,其中包含有关应用程序配置存储的信息。 记下 id 值。 例如:/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore。
运行命令 az network private-endpoint create 为应用程序配置存储创建专用终结点。 将占位符文本 <resource-group>、<private-endpoint-name>、<vnet-name>、<private-connection-resource-id>、<connection-name> 和 <location> 替换为你自己的信息。
az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
占位符
说明
示例
<resource-group>输入专用终结点的现有资源组的名称。
MyResourceGroup
<private-endpoint-name>输入新专用终结点的名称。
MyPrivateEndpoint
<vnet-name>输入现有 VNet 的名称。
Myvnet
<private-connection-resource-id>输入应用程序配置存储的专用连接资源 ID。 这是从上一步骤的输出中保存的 ID。
/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
<connection-name>输入连接名称。 应用配置存储必须具有唯一的专用终结点连接名称。
MyConnection
<location>输入 Azure 区域。 专用终结点必须与虚拟网络位于同一区域中。
chinaeast
管理专用链接连接
转到应用程序配置存储中的“网络”>“专用访问”,以访问链接到应用程序配置存储的专用终结点。
检查专用链接连接的状态。 创建专用终结点时,必须批准连接。 如果要为其创建专用终结点的资源位于你的目录中,并且你拥有足够的权限 ,则连接请求将自动获得批准。 否则,必须等待该资源的所有者批准你的连接请求。 有关连接批准模型的详细信息,请转到管理 Azure 专用终结点 。
若要手动批准、拒绝或删除连接,请选中要编辑的终结点旁边的复选框,然后从顶部菜单中选择一个操作项。
选择专用终结点的名称以打开专用终结点资源,并访问详细信息或编辑专用终结点。
查看专用终结点连接详细信息
运行 az network private-endpoint-connection list 命令以查看链接到应用程序配置存储的所有专用终结点连接,并检查其连接状态。 将占位符文本 resource-group 和 <app-config-store-name> 替换为资源组名称和存储名称。
az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores
(可选)若要获取特定专用终结点的详细信息,请使用 az network private-endpoint-connection show 命令。 将占位符文本 resource-group 和 app-config-store-name 替换为资源组名称和存储名称。
az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores
获得连接批准
创建专用终结点时,必须批准连接。 如果要为其创建专用终结点的资源位于你的目录中,并且你拥有足够的权限 ,则连接请求将自动获得批准。 否则,必须等待该资源的所有者批准你的连接请求。
若要批准专用终结点连接,请使用 az network private-endpoint-connection approve 命令。 将占位符文本 resource-group、private-endpoint 和 <app-config-store-name> 替换为资源组名称、专用终结点名称和存储名称。
az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>
有关连接批准模型的详细信息,请转到管理 Azure 专用终结点 。
删除专用终结点连接
若要删除专用终结点连接,请使用 az network private-endpoint-connection delete 命令。 将占位符文本 resource-group 和 private-endpoint 替换为资源组名称和专用终结点名称。
az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>
有关更多 CLI 命令,请转到 az network private-endpoint-connection
如果遇到专用终结点问题,请查看以下指南:排查 Azure 专用终结点连接问题 。
后续步骤
