Uzyskiwanie dostępu do usługi Key Vault w sieci prywatnej za pośrednictwem udostępnionych prywatnych punktów końcowych

Usługa Azure SignalR Service może uzyskać dostęp do usługi Key Vault w sieci prywatnej za pośrednictwem udostępnionych prywatnych punktów końcowych. Dzięki temu usługa Key Vault nie jest uwidoczniona w sieci publicznej.

Prywatne punkty końcowe można tworzyć za pomocą interfejsów API usługi Azure SignalR Service na potrzeby dostępu współdzielonego do zasobu zintegrowanego z usługą Azure Private Link. Te punkty końcowe, nazywane udostępnionymi zasobami łącza prywatnego, są tworzone w środowisku wykonywania usługi SignalR i nie są dostępne poza tym środowiskiem.

W tym artykule dowiesz się, jak utworzyć udostępniony prywatny punkt końcowy w usłudze Key Vault.

Wymagania wstępne

Do ukończenia tego artykułu potrzebne są następujące zasoby:

• Grupa zasobów platformy Azure.
• Wystąpienie usługi Azure SignalR Service.
• Wystąpienie usługi Azure Key Vault.

W przykładach w tym artykule użyto następującej konwencji nazewnictwa, chociaż zamiast tego możesz użyć własnych nazw.

• Identyfikator zasobu tej usługi Azure SignalR Service to /subscriptions/000000000-0000-0000-0000-0000000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• Identyfikator zasobu usługi Azure Key Vault to /subscriptions/000000000-0000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.
• W pozostałych przykładach pokazano, jak można skonfigurować usługę contoso-signalr , aby jej wywołania wychodzące do usługi Key Vault przechodziły przez prywatny punkt końcowy, a nie sieć publiczną.

Tworzenie współużytkowanego zasobu łącza prywatnego w usłudze Key Vault

Witryna Azure Portal

1. W witrynie Azure Portal przejdź do zasobu usługi Azure SignalR Service.

2. Wybierz pozycję Sieć.

3. Wybierz kartę Dostęp prywatny.

4. Wybierz pozycję Dodaj udostępniony prywatny punkt końcowy w sekcji Udostępnione prywatne punkty końcowe .

   

   Wprowadź następujące informacje:

   Pole	opis
   Nazwa/nazwisko	Nazwa udostępnionego prywatnego punktu końcowego.
   Type	Wybierz pozycję Microsoft.KeyVault/vaults
   Subskrypcja	Subskrypcja zawierająca usługę Key Vault.
   Zasób	Wprowadź nazwę zasobu usługi Key Vault.
   Komunikat żądania	Wprowadź "proszę zatwierdzić"

5. Wybierz pozycję Dodaj.

   

Po pomyślnym dodaniu prywatnego punktu końcowego stan aprowizacji to Powodzenie. Stan połączenia będzie mieć wartość Oczekujące do momentu zatwierdzenia punktu końcowego po stronie usługi Key Vault.

Interfejs wiersza polecenia platformy Azure

Wykonaj następujące wywołanie interfejsu API za pomocą interfejsu wiersza polecenia platformy Azure, aby utworzyć udostępniony zasób łącza prywatnego:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json

Zawartość pliku create-pe.json reprezentująca treść żądania interfejsu API jest następująca:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Proces tworzenia wychodzącego prywatnego punktu końcowego jest długotrwałą operacją (asynchroniczną). Podobnie jak we wszystkich operacjach PUT asynchronicznych platformy Azure wywołanie zwraca wartość nagłówka Azure-AsyncOperation , która wygląda następująco:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Ten identyfikator URI można okresowo sondować, aby uzyskać stan operacji.

Możesz sondować stan, ręcznie wykonując Azure-AsyncOperationHeader zapytanie dotyczące wartości:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Przed przejściem do następnych kroków poczekaj, aż stan zmieni się na Powodzenie .

Zatwierdzanie połączenia prywatnego punktu końcowego dla usługi Key Vault

Witryna Azure Portal

1. Przejdź do zasobu usługi Key Vault

2. Wybierz sieć.

3. Wybierz kartę Połączenia prywatnego punktu końcowego. Po pomyślnym zakończeniu operacji asynchronicznej powinno istnieć żądanie połączenia prywatnego punktu końcowego z komunikatem żądania z poprzedniego wywołania interfejsu API.

4. Wybierz prywatny punkt końcowy utworzony przez usługę SignalR Service, a następnie wybierz pozycję Zatwierdź.

5. Wybierz pozycję Tak , aby zatwierdzić połączenie.

   

Interfejs wiersza polecenia platformy Azure

1. Wyświetlanie listy połączeń prywatnych punktów końcowych.

   az network private-endpoint-connection list -n <key-vault-resource-name>  -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Powinno istnieć oczekujące połączenie prywatnego punktu końcowego. Zanotuj jego identyfikator.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Zatwierdź połączenie prywatnego punktu końcowego:

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Sprawdź, czy współużytkowany prywatny punkt końcowy jest funkcjonalny

Po kilku minutach zatwierdzenie jest propagowane do usługi SignalR Service, a stan połączenia jest ustawiony na Zatwierdzone. Stan można sprawdzić przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.

Witryna Azure Portal

Interfejs wiersza polecenia platformy Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

Polecenie zwróci obiekt JSON, w którym stan połączenia jest wyświetlany jako "status" w sekcji "properties".

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Gdy "Stan aprowizacji" (properties.provisioningState) zasobu to Succeeded "stan Połączenie ion" (properties.status) to Approved, współużytkowany zasób łącza prywatnego działa, a usługa SignalR Service może komunikować się za pośrednictwem prywatnego punktu końcowego.

Gdy prywatny punkt końcowy między usługą SignalR Service i usługą Azure Key Vault działa, wartość stanu aprowizacji to Powodzenie, a stan połączenia to Zatwierdzone.

Czyszczenie

Jeśli nie planujesz korzystać z zasobów utworzonych w tym artykule, możesz usunąć grupę zasobów.

Uwaga

Usunięcie grupy zasobów powoduje usunięcie wszystkich zawartych w niej zasobów. Jeśli zasoby spoza zakresu tego artykułu istnieją w określonej grupie zasobów, zostaną również usunięte.

Następne kroki

• Co to są prywatne punkty końcowe?
• Konfigurowanie domeny niestandardowej