Zugreifen auf einen Schlüsseltresor in einem privaten Netzwerk über freigegebene private Endpunkte

Azure Web PubSub kann über freigegebene private Endpunktverbindungen auf einen Schlüsseltresor in einem privaten Netzwerk zugreifen. In diesem Artikel erfahren Sie, wie Sie Ihre Web PubSub-Ressource so konfigurieren, dass ausgehende Anrufe an einen Schlüsseltresor über einen freigegebenen privaten Endpunkt statt über ein öffentliches Netzwerk weitergeleitet werden.

Private Endpunkte geschützter Ressourcen, die über Azure Web PubSub-APIs erstellt wurden, werden freigegebene private Verbindungsressourcen genannt. Sie geben den Zugriff auf eine Ressource frei, z. B. eine Instanz von Azure Key Vault, die mit Azure Private Link integriert ist. Diese privaten Endpunkte werden in der Web PubSub-Ausführungsumgebung erstellt und sind für Sie nicht direkt sichtbar.

Hinweis

In den Beispielen in diesem Artikel werden die folgenden Ressourcen-IDs verwendet:

• Die Ressourcen-ID dieser Azure Web PubSub-Instanz ist _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub.
• Die Ressourcen-ID der Azure Key Vault-Instanz ist /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Um die Schritte in den folgenden Beispielen zu verwenden, ersetzen Sie diese Werte durch Ihre eigene Abonnement-ID, den Namen Ihrer Web PubSub-Ressource und den Namen Ihrer Azure Key Vault-Ressource.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
• Die Azure CLI 2.25.0 oder höher (wenn Sie die Azure CLI verwenden)
• Eine Azure Web PubSub-Instanz mit Mindesttarif „Standard“
• Eine Azure Key Vault-Ressource

Erstellen einer freigegebenen privaten Endpunktressource im Schlüsseltresor

Azure portal

1. Navigieren Sie im Azure-Portal zu Ihrer Azure Web PubSub-Ressource.

2. Wählen Sie im linken Menü Netzwerk aus.

3. Wählen Sie die Registerkarte Privater Zugriff aus.

4. Wählen Sie Freigegebenen privaten Endpunkt hinzufügen aus.

   

5. Geben Sie für Name einen Namen ein, der für den freigegebenen privaten Endpunkt verwendet werden soll.

6. Führen Sie einen der folgenden Schritte aus, um Ihre Schlüsseltresorressource auszuwählen:

   • Wählen Sie Aus Ihren Ressourcen auswählen aus, und wählen Sie Ihre Ressource aus den Listen aus.
   • Wählen Sie Ressourcen-ID angeben aus, und geben Sie Ihre Schlüsseltresorressourcen-ID ein.

7. Geben Sie als Anforderungsnachricht den Text Bitte genehmigen ein.

8. Wählen Sie Hinzufügen.

   

Die Ressource für den freigegebenen privaten Endpunkt hat den Bereitstellungsstatus Erfolg. Der Verbindungsstatus ist Ausstehend und wartet auf die Genehmigung für die Zielressource.

Azure-Befehlszeilenschnittstelle

Sie können den folgenden API-Aufruf mit der Azure CLI ausführen, um eine freigegebene private Verbindungsressource zu erstellen. Ersetzen Sie den Wert uri durch den URI für Ihr Szenario.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Der Inhalt der Datei create-pe.json stellt den Anforderungstext für die API dar:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Der Prozess der Erstellung eines ausgehenden privaten Endpunkts ist ein zeitintensiver (asynchroner) Vorgang. Wie bei allen asynchronen Azure-Vorgängen gibt der PUT-Aufruf einen Azure-AsyncOperation-Headerwert zurück, der wie im folgenden Beispiel aussieht:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Sie können diesen URI in regelmäßigen Abständen abrufen, um den Status des Vorgangs zu erhalten. Warten Sie, bis der Status in „Erfolg“ geändert wurde, bevor Sie mit dem nächsten Abschnitt fortfahren.

Um den Status abzurufen, fragen Sie den Azure-AsyncOperationHeader-Wert manuell ab:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

Genehmigen der privaten Endpunktverbindung für den Schlüsseltresor

Nachdem die private Endpunktverbindung erstellt wurde, muss die Verbindungsanforderung von Web PubSub in Ihrer Key Vault-Ressource genehmigt werden.

Azure portal

1. Gehen Sie im Azure-Portal zu Ihrer Schlüsseltresorressource.

2. Wählen Sie im linken Menü Netzwerk aus.

3. Wählen Sie Private Endpunktverbindungen aus.

   

4. Wählen Sie den privaten Endpunkt aus, den Web PubSub erstellt hat.

5. Wählen Sie Genehmigen und dann Ja aus, um den Vorgang zu bestätigen.

   Es kann einige Minuten dauern, bis der Verbindungsstatus des privaten Endpunkts in Genehmigt geändert wurde.

   

Azure-Befehlszeilenschnittstelle

1. Listen Sie Verbindungen mit privaten Endpunkten auf:

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Suchen Sie nach einer ausstehenden privaten Endpunktverbindung. Notieren Sie sich die Verbindungs-ID.

   [
       {
           "id": "<ID>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Genehmigen der Verbindung mit einem privaten Endpunkt:

   az network private-endpoint-connection approve --id <private-endpoint-connection-ID>
   

Abfragen des Status der freigegebenen Private Link-Ressource

Es dauert einige Minuten, bis die Genehmigung an den Azure Web PubSub-Dienst weitergegeben wird. Sie können den Status mithilfe des Azure-Portals oder der Azure CLI überprüfen. Der freigegebene private Endpunkt zwischen dem Azure Web PubSub-Dienst und Azure Key Vault ist aktiv, wenn der Containerstatus „Genehmigt“ lautet.

Azure portal

1. Navigieren Sie im Azure-Portal zu Ihrer Azure Web PubSub-Ressource.

2. Wählen Sie im linken Menü Netzwerk aus.

3. Wählen Sie Freigegebene private Verbindungsressource aus.

   

Azure-Befehlszeilenschnittstelle

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Dieser Befehl gibt JSON zurück. Der Verbindungszustand wird in status unter properties angegeben.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Wenn properties.provisioningState gleich Succeeded und properties.status (Verbindungsstatus) gleich Approvedist, ist die freigegebene private Verbindungsressource funktionsfähig, und Web PubSub kann über den privaten Endpunkt kommunizieren.

Jetzt können Sie Features wie eine benutzerdefinierte Domäne wie üblich konfigurieren. Sie müssen keine spezielle Domäne für Ihren Schlüsseltresor verwenden. Web PubSub verarbeitet die DNS-Auflösung (Domain Name System) automatisch.

Zugehöriger Inhalt

• Was ist ein privater Endpunkt?
• Konfigurieren einer benutzerdefinierten Domäne