Acceso a un almacén de claves en una red privada a través de puntos de conexión privados compartidos

Azure Web PubSub puede acceder a un almacén de claves en una red privada a través de conexiones de punto de conexión privadas compartidas. Este artículo le muestra cómo configurar su recurso de Web PubSub para enrutar las llamadas salientes a un almacén de claves a través de un punto de conexión privado compartido en lugar de a través de una red pública.

Los puntos de conexión privados de los recursos seguros creados a través de las API de Azure Web PubSub se denominan Recursos compartidos de vínculo privado. Usted "comparte" el acceso a un recurso, como una instancia de Azure Key Vault, que está integrada con Azure Private Link. Estos puntos de conexión privados se crean dentro del entorno de ejecución de Web PubSub y no son visibles directamente.

Nota:

Los ejemplos de este artículo usan los siguientes id. de recursos:

• El id. de recurso de esta instancia de Azure Web PubSub es _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub.
• El id. de recurso de la instancia de Azure Key Vault es /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Para usar los pasos descritos en los siguientes ejemplos, reemplace estos valores por su propio identificador de suscripción, el nombre del recurso de Web PubSub y el nombre del recurso de Azure Key Vault.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
• La CLI de Azure 2.25.0 o posterior (si usa la CLI de Azure).
• Una instancia de Azure Web PubSub en un plan de tarifa estándar mínimo.
• Un recurso de Azure Key Vault.

Creación de un recurso compartido de punto de conexión privado al almacén de claves

Azure Portal

1. En Azure Portal, vaya al recurso de Azure Web PubSub.

2. En el menú de la izquierda, seleccione Redes.

3. Seleccione la pestaña Acceso privado.

4. Seleccione Add shared private endpoint (Agregar punto de conexión privado compartido).

   

5. En Nombre, escriba un nombre usando para el punto de conexión privado compartido.

6. Para seleccionar el recurso del almacén de claves, complete uno de los pasos siguientes:

   • Elija Seleccionar entre sus recursos y seleccione su recurso de las listas.
   • Seleccione Especificar id. de recurso y escriba su id. de recurso del almacén de claves.

7. Para Mensaje de solicitud, Escriba Por favor, aprobar.

8. Seleccione Agregar.

   

El recurso de punto de conexión privado compartido estará en el estado de aprovisionamiento Correcto. El estado de la conexión es Pendiente y a la espera de aprobación para el recurso de destino.

CLI de Azure

Puede realizar la siguiente llamada API con la CLI de Azure para crear un recurso de vínculo privado compartido. Reemplace el valor uri por el URI en su escenario.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

El contenido del archivo create-pe.json representa el cuerpo de la solicitud a la API:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

El proceso de creación de un punto de conexión privado de salida es una operación de larga duración (asincrónica), Como en todas las operaciones asincrónicas de Azure, la llamada PUT devuelve un valor de encabezado Azure-AsyncOperation similar al siguiente ejemplo:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Este identificador URI se puede sondear periódicamente para obtener el estado de la operación. Espere a que el estado cambie a "Correcto" antes de continuar con la sección siguiente.

Para sondear el estado, consulte manualmente el valor de Azure-AsyncOperationHeader :

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

Aprobación de la conexión de punto de conexión privado para el almacén de claves

Una vez creada la conexión de punto de conexión privado, la solicitud de conexión de Web PubSub debe aprobarse en el recurso de Key Vault.

Azure Portal

1. En Azure Portal, vaya al recurso de Key Vault.

2. En el menú de la izquierda, seleccione Redes.

3. Seleccione Conexiones de punto de conexión privado.

   

4. Seleccione el punto de conexión privado que creó Web PubSub.

5. Seleccione Aprobar y, a continuación, seleccione Sí para confirmar.

   Puede que el estado de la conexión del punto de conexión privado tarde unos minutos en cambiar a Aprobado.

   

CLI de Azure

1. Enumeración de conexiones de punto de conexión privado:

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Compruebe si hay una conexión de punto de conexión privado pendiente. Anote el identificador de conexión.

   [
       {
           "id": "<ID>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Aprobación de la conexión del punto de conexión privado:

   az network private-endpoint-connection approve --id <private-endpoint-connection-ID>
   

Consultar el estado del recurso de vínculo privado compartido

La aprobación tarda unos minutos en propagarse al servicio Azure Web PubSub. Puede comprobar el estado mediante Azure Portal o la CLI de Azure. El punto de conexión privado compartido entre el servicio de Azure Web PubSub y Azure Key Vault se activa cuando se aprueba el estado del contenedor.

Azure Portal

1. En Azure Portal, vaya al recurso de Azure Web PubSub.

2. En el menú de la izquierda, seleccione Redes.

3. Seleccione Recursos compartidos de vínculo privado.

   

CLI de Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Este comando devuelve JSON. El estado de conexión se indica en status en properties.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Cuando properties.provisioningState es Succeeded y properties.status (estado de conexión) es Approved, el recurso de vínculo privado compartido es funcional y Web PubSub puede comunicarse a través del punto de conexión privado.

Ahora puede configurar características como un dominio personalizado como lo haría normalmente. No tiene que usar un dominio especial para su almacén de claves. Web PubSub controla automáticamente la resolución del sistema de nombres de dominio (DNS).

Contenido relacionado

• ¿Qué es un punto de conexión privado?
• Configuración de un dominio personalizado