Toegang tot een sleutelkluis in een privénetwerk via gedeelde privé-eindpunten

Azure Web PubSub heeft toegang tot een sleutelkluis in een privénetwerk via gedeelde privé-eindpuntverbindingen. In dit artikel leest u hoe u uw Web PubSub-resource configureert om uitgaande aanroepen naar een sleutelkluis te routeren via een gedeeld privé-eindpunt in plaats van via een openbaar netwerk.

Privé-eindpunten van beveiligde resources die zijn gemaakt via Azure Web PubSub-API's, worden gedeelde private link-resources genoemd. U 'deelt' toegang tot een resource, zoals een exemplaar van Azure Key Vault, dat is geïntegreerd met Azure Private Link. Deze privé-eindpunten worden gemaakt in de Web PubSub-uitvoeringsomgeving en zijn niet direct zichtbaar voor u.

Notitie

In de voorbeelden in dit artikel worden de volgende resource-id's gebruikt:

• De resource-id van dit Azure Web PubSub-exemplaar is _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub.
• De resource-id van het Azure Key Vault-exemplaar is /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Als u de stappen in de volgende voorbeelden wilt gebruiken, vervangt u deze waarden door uw eigen abonnements-id, de naam van uw Web PubSub-resource en de naam van uw Azure Key Vault-resource.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken
• De Azure CLI 2.25.0 of hoger (als u de Azure CLI gebruikt).
• Een Azure Web PubSub-exemplaar in een minimumprijscategorie Standard.
• Een Azure Key Vault-resource.

Een gedeelde privé-eindpuntresource maken in de sleutelkluis

Azure-portal

1. Ga in Azure Portal naar uw Azure Web PubSub-resource.

2. Selecteer Netwerken in het linkermenu.

3. Selecteer het tabblad Persoonlijke toegang .

4. Selecteer Gedeeld privé-eindpunt toevoegen.

   

5. Voer bij Naam een naam in die moet worden gebruikt voor het gedeelde privé-eindpunt.

6. Voer een van de volgende stappen uit om uw key vault-resource te selecteren:

   • Kies Selecteren in uw resources en selecteer uw resource in de lijsten.
   • Selecteer Resource-id opgeven en voer de resource-id van de sleutelkluis in.

7. Voer voor aanvraagbericht de tekst Goedkeuren in.

8. Selecteer Toevoegen.

   

De inrichtingsstatus van de gedeelde privé-eindpuntresource is geslaagd. De verbindingsstatus is in behandeling en wacht op goedkeuring voor de doelresource.

Azure-CLI

U kunt de volgende API-aanroep uitvoeren met de Azure CLI om een gedeelde private link-resource te maken. Vervang de waarde uri door de URI in uw scenario.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

De inhoud van het create-pe.json-bestand vertegenwoordigt de aanvraagbody voor de API:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Het proces voor het maken van een uitgaand privé-eindpunt is een langdurige (asynchrone) bewerking. Net als bij alle asynchrone Azure-bewerkingen retourneert de PUT-aanroep een Azure-AsyncOperation headerwaarde die eruitziet als in het volgende voorbeeld:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

U kunt deze URI periodiek peilen om de status van de bewerking op te halen. Wacht totdat de status is gewijzigd in Geslaagd voordat u verdergaat met de volgende sectie.

Als u wilt peilen naar de status, voert u handmatig een query uit op de Azure-AsyncOperationHeader waarde:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

De privé-eindpuntverbinding voor de sleutelkluis goedkeuren

Nadat de verbinding met het privé-eindpunt is gemaakt, moet de verbindingsaanvraag van Web PubSub worden goedgekeurd in uw Key Vault-resource.

Azure-portal

1. Ga naar de sleutelkluisresource in het Azure Portal.

2. Selecteer Netwerken in het linkermenu.

3. Selecteer Privé-eindpuntverbindingen.

   

4. Selecteer het privé-eindpunt dat Web PubSub heeft gemaakt.

5. Selecteer Goedkeuren en selecteer vervolgens Ja om te bevestigen.

   Het kan enkele minuten duren voordat de verbindingsstatus van het privé-eindpunt is gewijzigd in Goedgekeurd.

   

Azure-CLI

1. Privé-eindpuntverbindingen weergeven:

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Controleer of er een privé-eindpuntverbinding in behandeling is. Noteer de verbindings-id.

   [
       {
           "id": "<ID>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. De privé-eindpuntverbinding goedkeuren:

   az network private-endpoint-connection approve --id <private-endpoint-connection-ID>
   

De status van de gedeelde private link-resource opvragen

Het duurt enkele minuten voordat de goedkeuring is doorgegeven aan de Azure Web PubSub-service. U kunt de status controleren met behulp van Azure Portal of Azure CLI. Het gedeelde privé-eindpunt tussen Azure Web PubSub Service en Azure Key Vault is actief wanneer de containerstatus wordt goedgekeurd.

Azure-portal

1. Ga in Azure Portal naar uw Azure Web PubSub-resource.

2. Selecteer Netwerken in het linkermenu.

3. Selecteer Gedeelde privékoppelingsbronnen.

   

Azure-CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Met deze opdracht wordt JSON geretourneerd. De verbindingsstatus wordt aangegeven status onder properties.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Wanneer properties.provisioningState is Succeeded en properties.status (verbindingsstatus) is Approvedde gedeelde private link-resource functioneel en kan Web PubSub communiceren via het privé-eindpunt.

Nu kunt u functies zoals een aangepast domein configureren zoals u dat gewoonlijk zou doen. U hoeft geen speciaal domein te gebruiken voor uw sleutelkluis. Web PubSub verwerkt automatisch DNS-omzetting (Domain Name System).

Gerelateerde inhoud

• Wat is een privé-eindpunt?
• Een aangepast domein configureren