Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure nätverkssäkerhetsperimeter (NSP) kan du definiera en gräns för logisk nätverksisolering för PaaS-resurser, till exempel ett appkonfigurationsarkiv, som distribueras utanför ett virtuellt nätverk. Som standard begränsar en nätverkssäkerhetsperimeter åtkomsten till PaaS-resurser inom perimetern. Du kan dock konfigurera explicita åtkomstregler för inkommande och utgående trafik.
När du associerar ett appkonfigurationsarkiv med en nätverkssäkerhetsperimeter kan du styra inkommande och utgående trafik med åtkomstregler, dela en gemensam uppsättning regler över flera PaaS-resurser med hjälp av perimeterprofiler och övervaka nätverkstrafik via diagnostikloggar. Mer information finns i Varför använda en nätverkssäkerhetsperimeter?.
Övergå till en nätverkssäkerhetsperimeter
En resursassociation med en nätverkssäkerhetsperimeter stöder två åtkomstlägen: Övergång och Framtvingad. Övergångsläget är avsett som ett tillfälligt, mellanliggande steg som gör att du kan använda en nätverkssäkerhetsperimeter utan att störa den befintliga anslutningen genom att återgå till App Configuration Store:s befintliga regler för nätverksåtkomst när ingen perimeterregel matchar. Se Transition till en nätverkssäkerhetsperimeter i Azure för att lära dig hur du använder övergångsläge för en smidig implementering av NSP.
Åtkomstläge och åtkomst till offentligt nätverk
När ett appkonfigurationsarkiv är associerat med en NSP beror de regler för nätverksåtkomst som tillämpas på App Configuration Store på kombinationen av två inställningar: associationens åtkomstläge (övergång eller framtvingad) och appkonfigurationsarkivets inställning för offentlig nätverksåtkomst (Aktiverad, Inaktiverad eller Skyddad av perimeter). Tillsammans avgör dessa inställningar om inkommande och utgående trafik utvärderas enligt perimeterns åtkomstregler, App Configuration-lagrets inställning för offentlig nätverksåtkomst eller båda.
En fullständig uppdelning av hur de här inställningarna interagerar finns i Flytta nya resurser till nätverkssäkerhetsperimeter.
Överväganden för kundhanterad nyckelkryptering
Om appkonfigurationsarkivet använder anpassad nyckelkryptering kommunicerar appkonfigurationstjänsten med en Azure Key Vault resurs för att få åtkomst till krypteringsnyckeln. När butikens utgående begäranden omfattas av NSP-regler (offentlig nätverksåtkomst skyddas av perimeter or NSP-associationen är i framtvingat läge), måste perimeterns åtkomstregler tillåta utgående kommunikation till den Azure Key Vault resursen. För att säkerställa att App Configuration-tjänsten kan fortsätta att komma åt krypteringsnyckeln måste du konfigurera nätverkssäkerhetsperimetern på något av följande sätt:
- Samma perimeter: Placera Azure Key Vault i samma nätverkssäkerhetsgräns som ditt App Configuration-lager. När båda resurserna är inom samma perimeter tillåts kommunikation mellan dem automatiskt.
-
Utgående åtkomstregel baserad på FQDN: Lägg till en FQDN-baserad regel för utgående åtkomst i nätverkssäkerhetsperimeterprofilen som är kopplad till ditt App Configuration-lager. Regeln måste visa slutpunkten för Key Vault som innehåller den kundhanterade nyckeln (till exempel
mykeyvault.vault.azure.net).
Om inget av villkoren uppfylls, kan App Configuration-lagret inte komma åt krypteringsnyckeln, och begäranden till lagret misslyckas.
Överväganden för övervakning
Om App Configuration-lagringsplatsen har övervakning aktiverad via diagnostikinställningarna måste loggmål (till exempel Log Analytics-arbetsytor, lagringskonton och händelsehubbar) finnas inom samma nätverkssäkerhetsperimeter som App Configuration-lagringsplatsen. FQDN-baserade regler för utgående åtkomst gäller inte för övervakningsmål, så alla mål utanför perimetern får inte diagnostikdata.
Limitations
- Vissa funktioner för nätverkssäkerhetsperimeter, till exempel prenumerationsbaserade regler för inkommande åtkomst, fungerar inte med åtkomstnyckelautentisering. Använd Microsoft Entra ID-autentisering för fullständiga NSP-funktioner.
- För närvarande kan ett appkonfigurationsarkiv i en nätverkssäkerhetsperimeter inte skicka händelser till Azure Event Grid. Om ett App Configuration-lager har en Azure App Configuration-händelseprenumeration konfigurerad kan du inte koppla lagret till en nätverkssäkerhetsperimeter. På samma sätt kan du inte aktivera en händelseprenumeration för butiken om ett arkiv är associerat med en nätverkssäkerhetsperimeter.
- Prenumerationsbaserade och IP-baserade regler för inkommande åtkomst gäller inte för den ursprungliga anroparen för dataplansbegäranden som görs via distributionsverktyg till exempel ARM-mallar, Bicep eller Terraform. Eftersom dessa begäranden vidarebefordras till App Configuration Store av Azure Resource Manager skickas inte den ursprungliga anroparens prenumeration och IP-adress till perimetern för utvärdering.
Troubleshooting
Fel vid RP-registrering
Om du associerar ett App Configuration-lager med en nätverkssäkerhetsperimeter i en annan prenumeration än lagret måste du se till att nätverkssäkerhetsperimeterns prenumeration har resursprovidern Microsoft.AppConfiguration registrerad. Om resursprovidern inte är registrerad får du följande fel när du utför associationen:
Prenumerationen för nätverkssäkerhetsperimetern 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e' är inte registrerad för att använda resursprovidern 'Microsoft.AppConfiguration'. Se https://aka.ms/registerrp för anvisningar om hur du registrerar en resursleverantör.
Lös det här felet genom att utföra följande steg:
- Registrera resursprovidern
Microsoft.AppConfigurationi nätverkssäkerhetsperimeterns prenumeration. - Försök igen associationen mellan App Configuration Store och nätverkssäkerhetsperimetern.
Mer information om hur du registrerar en prenumeration på en resursprovider finns i Registrera resursprovider.
Kundhanterade nyckelåtkomstfel
Om App Configuration-arkivet använder kryptering med kundhanterade nycklar, kan du få följande fel när du associerar arkivet med en nätverkssäkerhetsperimeter:
Den begärda nätverkssäkerhetsperimeterassociationen kan inte tillämpas eftersom den blockerar åtkomsten till konfigurationsarkivets kundhanterade nyckel. Se https://aka.ms/appconfig/NSPTroubleshooting för vägledning om hur du konfigurerar en NSP för konfigurationslager som använder en kundhanterad nyckel.
Det här felet uppstår när nätverkssäkerhetsperimeterns konfiguration hindrar App Configuration Store från att nå Azure Key Vault som innehåller dess kundhanterade nyckel. Lös det här felet genom att konfigurera nätverkssäkerhetsperimetern så att den tillåter åtkomst till Key Vault enligt beskrivningen i Considerations för kundhanterad nyckelkryptering och försök sedan koppla igen.