Privé-eindpunten gebruiken voor toegangsbeheer
U kunt privé-eindpunten voor uw Azure Web PubSub-resource gebruiken om clients in een virtueel netwerk (VNet) veilig toegang te geven tot gegevens via een privékoppeling. Het privé-eindpunt maakt gebruik van een IP-adres uit de VNet-adresruimte voor uw Web PubSub-resource. Netwerkverkeer tussen de clients op het VNet en uw Web PubSub-resource doorkruist een privékoppeling in het Microsoft-netwerk, waardoor blootstelling op het openbare internet wordt geëlimineerd.
Als u privé-eindpunten gebruikt voor uw Web PubSub-resource, kunt u het volgende doen:
- Beveilig uw Web PubSub-resource met behulp van netwerktoegangsbeheer om alle verbindingen op het openbare eindpunt voor Web PubSub te blokkeren.
- Verhoog de beveiliging voor het VNet door exfiltratie van gegevens uit het VNet te blokkeren.
- Maak veilig verbinding met Web PubSub vanuit on-premises netwerken die verbinding maken met het VNet met behulp van een VPN of Azure ExpressRoute met persoonlijke peering.
Privé-eindpunten gebruiken in een virtueel netwerk
Een privé-eindpunt is een speciale netwerkinterface voor een Azure-service in uw VNet. Wanneer u een privé-eindpunt voor uw Web PubSub-resource maakt, biedt het beveiligde connectiviteit tussen clients op uw VNet en uw service. Aan het privé-eindpunt wordt een IP-adres toegewezen uit het IP-adresbereik van uw VNet. De verbinding tussen het privé-eindpunt en Web PubSub maakt gebruik van een beveiligde privékoppeling.
Toepassingen in het VNet kunnen naadloos verbinding maken met Web PubSub-resources met behulp van het privé-eindpunt. De toepassingen gebruiken dezelfde verbindingsreeks s en autorisatiemechanismen die ze anders zouden gebruiken.
Privé-eindpunten kunnen worden gebruikt met alle protocollen die door de Web PubSub-resource worden ondersteund, inclusief REST API.
Wanneer u een privé-eindpunt maakt voor een Web PubSub-resource in uw VNet, wordt er een toestemmingsaanvraag verzonden voor goedkeuring aan de eigenaar van de Web PubSub-resource. Als de gebruiker die het privé-eindpunt aanvraagt ook eigenaar is van de Web PubSub-resource, wordt deze toestemmingsaanvraag automatisch goedgekeurd.
U kunt toestemmingsaanvragen en privé-eindpunten voor uw Web PubSub-resource beheren op het tabblad Privé-eindpunten in Azure Portal.
Tip
Als u de toegang tot uw Web PubSub-resource alleen via het privé-eindpunt wilt beperken, stelt u netwerktoegangsbeheer in om de toegang via het openbare eindpunt te weigeren of te beheren.
Verbinding maken met een privé-eindpunt
Clients in een VNet dat gebruikmaakt van een privé-eindpunt, moeten dezelfde verbindingsreeks gebruiken voor de Web PubSub-resource die clients die verbinding maken via een openbaar eindpuntgebruik. We vertrouwen op DNS-omzetting (Domain Name System) om de verbindingen van het VNet naar Web PubSub automatisch te routeren via een privékoppeling.
Belangrijk
Gebruik dezelfde verbindingsreeks om verbinding te maken met Web PubSub met behulp van privé-eindpunten zoals u zou gebruiken voor een openbaar eindpunt. Maak geen verbinding met Web PubSub met behulp van de URL van het privatelink subdomein.
We maken standaard een privé-DNS-zone die is gekoppeld aan het VNet met de benodigde updates voor de privé-eindpunten. Als u uw eigen DNS-server gebruikt, moet u mogelijk andere wijzigingen aanbrengen in uw DNS-configuratie. In de volgende sectie worden de updates beschreven die vereist zijn voor privé-eindpunten.
DNS-wijzigingen voor privé-eindpunten
Wanneer u een privé-eindpunt maakt, wordt de DNS CNAME-resourcerecord voor uw Web PubSub-resource bijgewerkt naar een alias in een subdomein met het voorvoegsel privatelink. Standaard maken we ook een privé-DNS-zone die overeenkomt met het privatelink subdomein, met de DNS A-bronrecords voor de privé-eindpunten.
Wanneer u de domeinnaam van uw Web PubSub-resource van buiten het VNet met het privé-eindpunt oplost, wordt deze omgezet in het openbare eindpunt van de Web PubSub-resource. Wanneer deze is omgezet vanuit het VNet dat als host fungeert voor het privé-eindpunt, wordt de domeinnaam omgezet in het IP-adres van het privé-eindpunt.
In het voorgaande voorbeeld ziet u de DNS-bronrecords voor de Web PubSub-resource sample wanneer deze wordt omgezet van buiten het VNet dat als host fungeert voor het privé-eindpunt:
| Name | Type | Weergegeven als |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | <Openbaar IP-adres van Web PubSub> |
U kunt de toegang voor clients buiten het VNet weigeren of beheren via het openbare eindpunt met behulp van netwerktoegangsbeheer.
De DNS-resourcerecords voor de Web PubSub-resource sample wanneer deze worden omgezet door een client in het VNet dat als host fungeert voor het privé-eindpunt, is vergelijkbaar met dit voorbeeld:
| Name | Type | Weergegeven als |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Deze methode biedt toegang tot Web PubSub met behulp van dezelfde verbindingsreeks voor clients in het VNet die als host fungeert voor het privé-eindpunt en voor clients buiten het VNet.
Als u een aangepaste DNS-server in uw netwerk gebruikt, moeten clients de FQDN (Fully Qualified Domain Name) voor het Eindpunt van de Web PubSub-resource kunnen omzetten in het IP-adres van het privé-eindpunt. U moet uw DNS-server configureren om uw private link-subdomein te delegeren aan de privé-DNS-zone voor het VNet of de A-records configureren voor sample.privatelink.webpubsub.azure.com het gebruik van het IP-adres van het privé-eindpunt.
Tip
Als u een aangepaste of on-premises DNS-server gebruikt, moet u uw DNS-server configureren om de naam van de Web PubSub-resource in het privatelink subdomein om te zetten in het IP-adres van het privé-eindpunt. U kunt dit doen door het privatelink subdomein te delegeren aan de privé-DNS-zone van het VNet of door de DNS-zone op uw DNS-server te configureren en vervolgens de DNS A-records toe te voegen.
U wordt aangeraden voor de dns-zonenaam voor privé-eindpunten in een Web PubSub-resource te gebruiken privatelink.webpubsub.azure.com .
Zie de volgende artikelen voor meer informatie over het configureren van uw eigen DNS-server ter ondersteuning van privé-eindpunten:
Een privé-eindpunt maken
In de volgende secties wordt beschreven hoe u een privé-eindpunt en een nieuw exemplaar van Web PubSub maakt en hoe u een privé-eindpunt maakt voor een bestaand exemplaar van Web PubSub.
Een privé-eindpunt maken in een nieuw exemplaar van Web PubSub
Maak in Azure Portal een nieuw exemplaar van Azure Web PubSub. Selecteer op het tabblad Netwerken voor connectiviteitsmethode het privé-eindpunt.
Selecteer Toevoegen. Selecteer of voer het abonnement, de naam van de resourcegroep, de Azure-regio en een naam in voor het nieuwe privé-eindpunt. Kies een virtueel netwerk en subnet dat u wilt gebruiken.
Selecteer Controleren + maken.
Een privé-eindpunt maken voor een bestaande Web PubSub-resource
Ga in Azure Portal naar uw Web PubSub-resource.
Selecteer privé-eindpuntverbindingen in het linkermenu onder Instellingen.
Selecteer Privé-eindpunt.
Selecteer of voer waarden in voor het abonnement, de resourcegroep, de resourcenaam en de regio voor het nieuwe privé-eindpunt.
Selecteer de doel-Web PubSub-resource.
Selecteer het virtuele doelnetwerk.
Selecteer Controleren + maken.
Prijzen
Zie prijzen van Azure Private Link voor meer informatie over prijzen.
Bekende problemen
Houd rekening met de volgende bekende problemen bij het gebruik van privé-eindpunten in Web PubSub.
Beperkingen voor de gratis laag
Een Azure Web PubSub-exemplaar dat is gemaakt met behulp van de gratis laag, kan niet worden geïntegreerd met een privé-eindpunt.
Toegangsbeperkingen voor clients in VNets met privé-eindpunten
Clients in VNets met bestaande privé-eindpunten hebben beperkingen wanneer ze toegang hebben tot andere Web PubSub-exemplaren met privé-eindpunten. Een VNet N1 heeft bijvoorbeeld een privé-eindpunt voor een Web PubSub-exemplaar W1. Als het Web PubSub-exemplaar W2 een privé-eindpunt in een VNet N2 heeft, moeten clients in VNet N1 ook toegang hebben tot Web PubSub-exemplaar W2 met behulp van een privé-eindpunt.
Als Web PubSub-exemplaar W2 geen privé-eindpunten heeft, hebben clients in VNet N1 toegang tot de Web PubSub-resource in dat account zonder een privé-eindpunt te gebruiken. Deze beperking is het resultaat van de DNS-wijzigingen die zijn aangebracht wanneer het Web PubSub-exemplaar W2 een privé-eindpunt maakt.