공유 프라이빗 엔드포인트를 통해 개인 네트워크의 Key Vault에 액세스

Azure SignalR Service는 공유 프라이빗 엔드포인트를 통해 개인 네트워크의 Key Vault에 액세스할 수 있습니다. 이렇게 하면 Key Vault가 공용 네트워크에 노출되지 않습니다.

Azure Private Link 서비스와 통합된 리소스에 대한 공유 액세스를 위해 Azure SignalR Service API를 통해 프라이빗 엔드포인트를 만들 수 있습니다. 공유 프라이빗 링크 리소스라고 하는 이러한 엔드포인트는 SignalR 실행 환경 내부에서 만들어지며 이 환경 외부에서는 액세스할 수 없습니다.

이 문서에서는 Key Vault에 대한 공유 프라이빗 엔드포인트를 만드는 방법을 알아봅니다.

필수 조건

이 문서를 완료하려면 다음 리소스가 필요합니다.

• Azure 리소스 그룹.
• Azure SignalR Service 인스턴스.
• Azure Key Vault 인스턴스.

이 문서의 예에서는 다음과 같은 명명 규칙을 사용하지만 대신 고유한 이름을 사용할 수 있습니다.

• 이 Azure SignalR Service의 리소스 ID는 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr입니다.
• Azure Key Vault의 리소스 ID는 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv입니다.
• 나머지 예에서는 Key Vault에 대한 아웃바운드 호출이 공용 네트워크가 아닌 프라이빗 엔드포인트를 통과하도록 contoso-signalr 서비스를 구성하는 방법을 보여 줍니다.

Key Vault에 대한 공유 프라이빗 링크 리소스 만들기

Azure Portal

1. Azure Portal에서 Azure SignalR Service 리소스로 이동합니다.

2. 네트워킹을 선택합니다.

3. 프라이빗 액세스 탭을 선택합니다.

4. 공유 프라이빗 엔드포인트 섹션에서 공유 프라이빗 엔드포인트 추가를 선택합니다.

   

   다음 정보를 입력합니다.

   필드	설명
   이름	공유 프라이빗 엔드포인트의 이름입니다.
   Type	Microsoft.KeyVault/vaults를 선택합니다.
   구독	Key Vault가 포함된 구독입니다.
   리소스	Key Vault 리소스의 이름을 입력합니다.
   요청 메시지	"승인해 주세요"를 입력합니다.

5. 추가를 선택합니다.

   

프라이빗 엔드포인트를 성공적으로 추가하면 프로비전 상태가 성공이 됩니다. Key Vault 측에서 엔드포인트를 승인할 때까지 연결 상태는 보류 중입니다.

Azure CLI

Azure CLI로 다음 API 호출을 수행하여 공유 프라이빗 링크 리소스를 만듭니다.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json

API에 대한 요청 본문을 나타내는 create-pe.js 파일의 내용은 다음과 같습니다.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

아웃바운드 프라이빗 엔드포인트를 만드는 프로세스는 장기 실행(비동기) 작업입니다. 모든 비동기 Azure 작업과 마찬가지로 PUT 호출은 다음 텍스트와 같은 Azure-AsyncOperation 헤더 값을 반환합니다.

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

이 URI를 주기적으로 폴링하여 작업 상태를 가져올 수 있습니다.

Azure-AsyncOperationHeader 값을 수동으로 쿼리하면 상태를 폴링할 수 있습니다.

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

다음 단계를 진행하기 전에 상태가 성공으로 변경될 때까지 기다리세요.

Key Vault에 대한 프라이빗 엔드포인트 연결 승인

Azure Portal

1. Key Vault 리소스로 이동

2. 네트워킹을 선택합니다.

3. 프라이빗 엔드포인트 연결 탭을 선택합니다. 비동기 작업이 성공한 후 이전 API 호출의 요청 메시지와 함께 프라이빗 엔드포인트 연결에 대한 요청이 있어야 합니다.

4. SignalR Service가 만든 프라이빗 엔드포인트를 선택한 다음 승인을 선택합니다.

5. 예를 선택하여 연결을 승인합니다.

   

Azure CLI

1. 프라이빗 엔드포인트 연결을 나열합니다.

   az network private-endpoint-connection list -n <key-vault-resource-name>  -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   보류 중인 프라이빗 엔드포인트 연결이 있어야 합니다. 해당 ID를 기록해 둡니다.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. 프라이빗 엔드포인트 연결 승인:

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

공유 프라이빗 엔드포인트가 작동하는지 확인

몇 분 후 승인이 SignalR Service로 전파되고 연결 상태가 승인됨으로 설정됩니다. Azure Portal 또는 Azure CLI를 사용하여 상태를 확인할 수 있습니다.

Azure Portal

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

이 명령은 연결 상태가 "속성" 섹션에서 "상태"로 표시되는 JSON 개체를 반환합니다.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

리소스의 "프로비전 상태"(properties.provisioningState)가 Succeeded이고 "연결 상태"(properties.status)가 Approved이면 공유 프라이빗 링크 리소스가 작동하고 SignalR Service가 프라이빗 엔드포인트를 통해 통신할 수 있습니다.

SignalR Service와 Azure Key Vault 간의 프라이빗 엔드포인트가 작동하면 프로비전 상태 값은 Succeeded이고 연결 상태는 Approved입니다.

정리

이 문서에서 만든 리소스를 사용할 계획이 없다면 리소스 그룹을 삭제할 수 있습니다.

주의

리소스 그룹을 삭제하면 그 안에 포함된 모든 리소스가 삭제됩니다. 지정된 리소스 그룹에 이 문서의 범위에 속하지 않는 리소스가 포함된 경우에도 해당 리소스가 삭제됩니다.

다음 단계

• 프라이빗 엔드포인트란 무엇인가요?
• 사용자 지정 도메인 구성