https://thedotnetblog.com/pl/tags/networking/Articles, tutorials and insights from the .NET community.Hugopl@thedotnetblog (The .NET Blog)@thedotnetblogTue, 19 May 2026 00:00:00 +0000https://thedotnetblog.com/pl/news/emiliano-montesdeoca/aspire-azure-enterprise-networking-private-endpoints/Tue, 19 May 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/pl/news/emiliano-montesdeoca/aspire-azure-enterprise-networking-private-endpoints/Nowa obsługa sieci korporacyjnych Azure w Aspire pozwala modelować VNety, prywatne punkty końcowe, bramy NAT, NSG i obwody bezpieczeństwa sieci bezpośrednio w AppHost — bez dryfu infrastruktury.<p>Widziałem ten scenariusz zbyt wiele razy. Aplikacja jest gotowa. Demo wygląda świetnie. Następnie pojawia się lista kontrolna bezpieczeństwa: wynieść storage z publicznego internetu, uruchomić w VNecie, dostarczyć wychodzące IP do listy dozwolonych partnera, udowodnić, że tylko właściwe podsieci komunikują się z właściwymi usługami.</p> <p>W tym momencie model aplikacji i model infrastruktury zaczynają się rozchodzić w sposób, który jest bolesny w utrzymaniu.</p> <p>Nowa obsługa sieci korporacyjnych Azure w Aspire rozwiązuje to bezpośrednio. Opisujesz kształt sieci w AppHost obok zasobów, które jej używają.</p> <h2 id="elementy-składowe">Elementy składowe</h2> <p>Do czego służy każda koncepcja sieciowa Azure, w skrócie:</p> <table> <thead> <tr> <th>Funkcja</th> <th>Kiedy używać</th> <th>Dlaczego jest ważna</th> </tr> </thead> <tbody> <tr> <td>Sieć wirtualna</td> <td>Gdy potrzebujesz prywatnej przestrzeni adresowej</td> <td>Granica sieci dla podsieci, prywatnych punktów końcowych i routingu</td> </tr> <tr> <td>Podsieć</td> <td>Gdy musisz oddzielić obciążenia w VNecie</td> <td>Każda część systemu dostaje własny zakres adresów i powierzchnię polityki</td> </tr> <tr> <td>Podsieć delegowana</td> <td>Gdy usługa platformy (np. ACA) musi zarządzać podsiecią</td> <td>Pozwala usłudze bezpiecznie umieścić zarządzaną infrastrukturę w Twoim VNecie</td> </tr> <tr> <td>Brama NAT</td> <td>Gdy potrzebujesz przewidywalnych wychodzących publicznych IP</td> <td>Stabilny adres dla list dozwolonych i audytów</td> </tr> <tr> <td>Prywatny punkt końcowy</td> <td>Gdy chcesz prywatnego dostępu do zasobu PaaS</td> <td>Umieszcza prywatne IP tej usługi w Twoim VNecie, usuwa publiczną ekspozycję</td> </tr> <tr> <td>NSG</td> <td>Gdy potrzebujesz reguł ruchu na poziomie podsieci</td> <td>Jawne zezwolenie/odmowa dla ruchu przychodzącego i wychodzącego dla każdej podsieci</td> </tr> </tbody> </table> <h2 id="opisywanie-w-apphost">Opisywanie w AppHost</h2> <p>Kluczowa zmiana polega na tym, że modelujesz sieć <em>razem</em> z zasobami, które jej używają, a nie w osobnym pliku Bicep, który z czasem rozchodzi się z modelem aplikacji.</p> <p>Z AppHost możesz:</p> <ul> <li>Tworzyć VNety i podsieci za pomocą <code>AddVirtualNetwork()</code> i <code>AddSubnet()</code></li> <li>Dołączać bramę NAT do podsieci dla stabilnych wychodzących IP</li> <li>Tworzyć prywatne punkty końcowe dla storage, Key Vault, SQL i innych usług PaaS</li> <li>Definiować NSG z regułami bezpieczeństwa przychodzącymi i wychodzącymi</li> <li>Konfigurować obwody bezpieczeństwa sieci dla polityk między zasobami</li> </ul> <p>Efektem jest to, że gdy uruchamiasz <code>azd up</code>, infrastruktura odpowiada temu, co model aplikacji mówi, że potrzebuje. Nie temu, co mówi ręcznie utrzymywany szablon.</p> <h2 id="dlaczego-to-ważne-dla-prawdziwych-aplikacji">Dlaczego to ważne dla prawdziwych aplikacji</h2> <p>Kilka rzeczy, które stają się znacznie łatwiejsze, gdy sieć jest zamodelowana w Aspire:</p> <p><strong>Prywatne punkty końcowe dla Key Vault i storage</strong> — opisujesz <code>WithPrivateEndpoint()</code> na tych zasobach, a Aspire zajmuje się konfiguracją strefy DNS i dołączaniem punktu końcowego. Aplikacja nigdy się nie zmienia.</p> <p><strong>Spójne wychodzące IP</strong> — dodaj bramę NAT do odpowiedniej podsieci, a każde wychodzące żądanie z Twojej aplikacji przechodzi przez znany, stabilny adres IP. Partnerzy mogą go dodać do listy dozwolonych. Audytorzy mogą go śledzić.</p> <p><strong>Reguły NSG z kodu</strong> — zamiast klikać w portalu lub utrzymywać fragment Bicep, reguły bezpieczeństwa mieszkają w AppHost obok zasobów, które chronią.</p> <p>To jest rodzaj integracji, który nie sprawia, że dema są ekscytujące, ale sprawia, że systemy produkcyjne są łatwe w utrzymaniu.</p> <h2 id="podsumowanie">Podsumowanie</h2> <p>Bezpieczeństwo sieciowe pojawiające się późno w cyklu życia projektu jest rozwiązanym problemem, jeśli modelujesz je razem z aplikacją od początku. Obsługa sieci korporacyjnych Aspire sprawia, że jest to możliwe bez potrzeby osobnej ścieżki infrastruktury.</p> <p>Pełne szczegóły w oryginalnym wpisie: <a href="https://devblogs.microsoft.com/aspire/aspire-azure-enterprise-networking/">Securing Azure apps with Aspire enterprise networking</a></p>