Použití privátních koncových bodů pro řízení přístupu
Privátní koncové body pro prostředek Azure Web PubSub můžete použít k tomu, aby klienti ve virtuální síti (VNet) mohli bezpečně přistupovat k datům přes privátní propojení. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro prostředek Web PubSub. Síťový provoz mezi klienty ve virtuální síti a prostředkem Web PubSub prochází privátním propojením v síti Microsoftu, čímž se eliminuje vystavení na veřejném internetu.
Použití privátních koncových bodů pro prostředek Web PubSub vám pomůže:
- Zabezpečte prostředek Web PubSub pomocí řízení přístupu k síti a zablokujte všechna připojení na veřejném koncovém bodu pro Web PubSub.
- Zvyšte zabezpečení virtuální sítě tím, že povolíte blokovat exfiltraci dat z virtuální sítě.
- Bezpečně se připojte k web pubSub z místních sítí, které se připojují k virtuální síti pomocí sítě VPN nebo Azure ExpressRoute s privátním partnerským vztahem.
Použití privátních koncových bodů ve virtuální síti
Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti. Když pro prostředek Web PubSub vytvoříte privátní koncový bod, poskytuje zabezpečené připojení mezi klienty ve vaší virtuální síti a vaší službou. Privátní koncový bod má přiřazenou IP adresu z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a web pubSub používá zabezpečené privátní propojení.
Aplikace ve virtuální síti se můžou bezproblémově připojit k prostředkům Web PubSub pomocí privátního koncového bodu. Aplikace používají stejné připojovací řetězec a mechanismy autorizace, které by jinak používaly.
Privátní koncové body je možné použít se všemi protokoly, které prostředek Web PubSub podporuje, včetně rozhraní REST API.
Když ve virtuální síti vytvoříte privátní koncový bod pro prostředek Web PubSub, odešle se žádost o souhlas ke schválení vlastníkovi prostředku Web PubSub. Pokud je uživatel, který požaduje privátní koncový bod, také vlastníkem prostředku Web PubSub, bude tato žádost o souhlas automaticky schválena.
Žádosti o souhlas a privátní koncové body pro prostředek Web PubSub můžete spravovat na kartě Privátní koncové body na webu Azure Portal.
Tip
Pokud chcete omezit přístup k prostředku Web PubSub pouze prostřednictvím privátního koncového bodu, nastavte řízení přístupu k síti tak, aby odepřel nebo řídil přístup prostřednictvím veřejného koncového bodu.
Připojení k privátnímu koncovému bodu
Klienti ve virtuální síti, která používá privátní koncový bod, by měli používat stejný připojovací řetězec pro prostředek Web PubSub, který se klienti připojují přes veřejný koncový bod. K automatickému směrování připojení z virtuální sítě do podsítě web pubSub přes privátní propojení spoléháme na překlad DNS (Domain Name System).
Důležité
Stejný připojovací řetězec použijte pro připojení k podsítě Web PubSub pomocí privátních koncových bodů, jako byste použili pro veřejný koncový bod. Pomocí adresy privatelink URL subdomény se nepřipojujte k podsítě Web PubSub.
Ve výchozím nastavení vytvoříme privátní zónu DNS připojenou k virtuální síti s potřebnými aktualizacemi privátních koncových bodů. Pokud používáte vlastní server DNS, možná budete muset provést další změny konfigurace DNS. Další část popisuje aktualizace potřebné pro privátní koncové body.
Změny DNS pro privátní koncové body
Když vytvoříte privátní koncový bod, záznam prostředku DNS CNAME pro váš prostředek Web PubSub se aktualizuje na alias v subdoméně, který má předponu privatelink. Ve výchozím nastavení vytvoříme také privátní zónu DNS, která odpovídá privatelink subdoméně, se záznamy prostředků DNS A pro privátní koncové body.
Když přeložíte název domény prostředku Web PubSub mimo virtuální síť s privátním koncovým bodem, přeloží se na veřejný koncový bod prostředku Web PubSub. Při překladu z virtuální sítě hostující privátní koncový bod se název domény přeloží na IP adresu privátního koncového bodu.
V předchozím příkladu znázorňuje záznamy prostředků DNS pro prostředek sample Web PubSub, když se přeloží mimo virtuální síť hostující privátní koncový bod:
| Name | Typ | Hodnota |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | <Veřejná IP adresa web pubSub> |
Přístup klientů mimo virtuální síť můžete zakázat nebo řídit prostřednictvím veřejného koncového bodu pomocí řízení přístupu k síti.
Záznamy prostředků DNS pro prostředek sample Web PubSub při jeho překladu klientem ve virtuální síti, který je hostitelem privátního koncového bodu, je podobný tomuto příkladu:
| Name | Typ | Hodnota |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Tento přístup poskytuje přístup k podsítě web pomocí stejného připojovací řetězec pro klienty ve virtuální síti, která je hostitelem privátního koncového bodu a klientům mimo virtuální síť.
Pokud ve své síti používáte vlastní server DNS, klienti musí být schopni přeložit plně kvalifikovaný název domény (FQDN) koncového bodu prostředku Web PubSub na IP adresu privátního koncového bodu. Server DNS byste měli nakonfigurovat tak, aby delegovali subdoménu privátního propojení do privátní zóny DNS pro virtuální síť nebo nakonfigurovali záznamy A tak, sample.privatelink.webpubsub.azure.com aby používaly IP adresu privátního koncového bodu.
Tip
Pokud používáte vlastní nebo místní server DNS, měli byste nakonfigurovat server DNS tak, aby přeložil název prostředku Web PubSub v privatelink subdoméně na IP adresu privátního koncového bodu. Můžete to provést tak, že delegujete privatelink subdoménu do privátní zóny DNS virtuální sítě nebo nakonfigurujete zónu DNS na serveru DNS a pak přidáte záznamy DNS A.
Doporučujeme použít privatelink.webpubsub.azure.com název zóny DNS pro privátní koncové body v prostředku Web PubSub.
Další informace o konfiguraci vlastního serveru DNS pro podporu privátních koncových bodů najdete v následujících článcích:
Vytvoření privátního koncového bodu
Následující části popisují, jak vytvořit privátní koncový bod a novou instanci web pubSub a jak vytvořit privátní koncový bod pro existující instanci Web PubSub.
Vytvoření privátního koncového bodu v nové instanci web pubSub
Na webu Azure Portal vytvořte novou instanci podsítě Azure Web PubSub. Na kartě Sítě vyberte pro metodu připojení privátní koncový bod.
Vyberte Přidat. Vyberte nebo zadejte předplatné, název skupiny prostředků, oblast Azure a název nového privátního koncového bodu. Zvolte virtuální síť a podsíť, které chcete použít.
Vyberte Zkontrolovat a vytvořit.
Vytvoření privátního koncového bodu pro existující prostředek Web PubSub
Na webu Azure Portal přejděte k prostředku Web PubSub.
V nabídce vlevo v části Nastavení vyberte připojení privátního koncového bodu.
Vyberte privátní koncový bod.
Vyberte nebo zadejte hodnoty pro předplatné, skupinu prostředků, název prostředku a oblast pro nový privátní koncový bod.
Vyberte cílový prostředek Web PubSub.
Vyberte cílovou virtuální síť.
Vyberte Zkontrolovat a vytvořit.
Ceny
Podrobnosti o cenách najdete v tématu s cenami služby Azure Private Link.
Známé problémy
Mějte na paměti následující známé problémy s používáním privátních koncových bodů v podsítě Web PubSub.
Omezení úrovně Free
Instance Azure Web PubSub vytvořená pomocí úrovně Free se nemůže integrovat s privátním koncovým bodem.
Omezení přístupu pro klienty ve virtuálních sítích s privátními koncovými body
Klienti ve virtuálních sítích, které mají existující privátní koncové body, mají omezení, když přistupují k jiným instancím Web PubSub, které mají privátní koncové body. Například virtuální síť N1 má privátní koncový bod pro instanci Web PubSub W1. Pokud má instance Web PubSub W2 privátní koncový bod ve virtuální síti N2, klienti ve virtuální síti N1 musí také přistupovat k instanci Web PubSub W2 pomocí privátního koncového bodu.
Pokud instance Web PubSub W2 nemá žádné privátní koncové body, můžou klienti ve virtuální síti N1 přistupovat k prostředku Web PubSub v tomto účtu bez použití privátního koncového bodu. Toto omezení je výsledkem změn DNS provedených při vytvoření privátního koncového bodu instance Web PubSub W2.