Dodawanie domeny niestandardowej
Oprócz domeny domyślnej, która jest uwzględniona w wystąpieniu usługi Azure Web PubSub, można dodać domenę niestandardową. Domena niestandardowa to nazwa domeny, której jesteś właścicielem i którymi zarządzasz. Do uzyskiwania dostępu do zasobów Web PubSub można użyć domeny niestandardowej. Możesz na przykład użyć funkcji contoso.example.com zamiast contoso.webpubsub.azure.com uzyskiwać dostęp do zasobów.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Jeśli nie masz konta platformy Azure, możesz bezpłatnie utworzyć konto.
- Zasób Web PubSub platformy Azure w minimalnej warstwie Premium.
- Zasób usługi Azure Key Vault.
- Niestandardowy certyfikat pasujący do domeny niestandardowej przechowywanej w usłudze Azure Key Vault.
Dodawanie certyfikatu niestandardowego
Przed dodaniem domeny niestandardowej dodaj pasujący certyfikat niestandardowy. Certyfikat niestandardowy to zasób wystąpienia usługi Web PubSub. Odwołuje się do certyfikatu w magazynie kluczy. W celu zapewnienia bezpieczeństwa i zgodności usługa Web PubSub nie przechowuje trwale certyfikatu. Zamiast tego pobiera certyfikat z magazynu kluczy i przechowuje go w pamięci.
Uzyskiwanie dostępu do magazynu kluczy przy użyciu tożsamości zarządzanej
Usługa Azure Web PubSub używa tożsamości zarządzanej do uzyskiwania dostępu do magazynu kluczy. Aby autoryzować dostęp, musi mieć przyznane uprawnienia.
Tworzenie tożsamości zarządzanej
W witrynie Azure Portal przejdź do zasobu Web PubSub.
W menu po lewej stronie wybierz pozycję Tożsamość.
Wybierz typ tożsamości do użycia: Przypisano system lub Przypisano użytkownika. Aby użyć tożsamości przypisanej przez użytkownika, należy najpierw utworzyć jedną z nich.
Aby użyć tożsamości przypisanej przez system:
Wybierz pozycję Włączone.
Wybierz Tak, aby potwierdzić.
Wybierz pozycję Zapisz.
Aby dodać tożsamość przypisaną przez użytkownika:
Wybierz pozycję Dodaj tożsamość zarządzaną przypisaną przez użytkownika.
Wybierz istniejącą tożsamość.
Wybierz Dodaj.
Wybierz pozycję Zapisz.
Nadawanie magazynowi kluczy dostępu do tożsamości zarządzanej
W zależności od sposobu konfigurowania modelu uprawnień usługi Azure Key Vault może być konieczne przyznanie uprawnień w różnych lokalizacjach w witrynie Azure Portal.
Jeśli używasz wbudowanych zasad dostępu magazynu kluczy jako modelu uprawnień magazynu kluczy:
W witrynie Azure Portal przejdź do magazynu kluczy.
W menu po lewej stronie wybierz pozycję Konfiguracja dostępu.
Wybierz pozycję Zasady dostępu do magazynu.
Wybierz pozycję Przejdź, aby uzyskać dostęp do zasad.
Wybierz pozycję Utwórz.
W okienku Tworzenie zasad dostępu wybierz kartę Uprawnienia .
W obszarze Uprawnienia wpisu tajnego wybierz pozycję Pobierz.
W obszarze Uprawnienia certyfikatu wybierz pozycję Pobierz.
Wybierz Dalej.
Wyszukaj nazwę zasobu Web PubSub.
Wybierz Dalej.
Wybierz kartę Aplikacja , a następnie wybierz pozycję Dalej.
Wybierz pozycję Utwórz.
Tworzenie certyfikatu niestandardowego
W witrynie Azure Portal przejdź do zasobu Web PubSub.
W menu po lewej stronie wybierz pozycję Domena niestandardowa.
W okienku Certyfikat niestandardowy wybierz pozycję Dodaj.
Wprowadź nazwę certyfikatu niestandardowego.
Wybierz pozycję Wybierz z usługi Key Vault , aby wybrać certyfikat magazynu kluczy. Po wybraniu magazynu kluczy wartości dla podstawowego identyfikatora URI usługi Key Vault i nazwy wpisu tajnego usługi Key Vault zostaną automatycznie dodane. Musisz również ręcznie edytować te pola.
(Opcjonalnie) Aby przypiąć certyfikat do określonej wersji, wprowadź wartość w polu Wersja wpisu tajnego usługi Key Vault.
Wybierz Dodaj.
Usługa Web PubSub pobiera certyfikat i weryfikuje jego zawartość. Po pomyślnym zakończeniu walidacji certyfikatu stan aprowizacji certyfikatu to Powodzenie.
Tworzenie domeny niestandardowej CNAME
Aby zweryfikować własność domeny niestandardowej, utwórz rekord CNAME dla domeny niestandardowej i wskaż ją do domyślnej domeny zasobu Web PubSub.
Jeśli na przykład domena domyślna to contoso.webpubsub.azure.com , a domena niestandardowa to contoso.example.com, utwórz rekord CNAME, tak example.com jak w tym przykładzie:
contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com
Jeśli używasz strefy usługi Azure DNS, aby dowiedzieć się, jak dodać rekord CNAME, zobacz Zarządzanie rekordami DNS.
Jeśli używasz innych dostawców DNS, postępuj zgodnie ze wskazówkami w dokumentacji dostawcy, aby utworzyć rekord CNAME.
Dodawanie domeny niestandardowej do usługi Web PubSub
Domena niestandardowa to kolejny zasób podrzędny wystąpienia usługi Web PubSub. Zawiera wszystkie konfiguracje wymagane dla domeny niestandardowej.
W witrynie Azure Portal przejdź do zasobu Web PubSub.
W menu po lewej stronie wybierz pozycję Domena niestandardowa.
W okienku Domena niestandardowa wybierz pozycję Dodaj.
Wprowadź nazwę domeny niestandardowej. Użyj nazwy zasobu podrzędnego.
Wprowadź nazwę domeny. Użyj pełnej nazwy domeny domeny niestandardowej, na przykład
contoso.com.Wybierz certyfikat niestandardowy, który ma zastosowanie do tej domeny niestandardowej.
Wybierz Dodaj.
Weryfikowanie domeny niestandardowej
Teraz możesz uzyskać dostęp do internetowego punktu końcowego PubSub przy użyciu domeny niestandardowej.
Aby zweryfikować domenę, możesz uzyskać dostęp do interfejsu API kondycji. W poniższych przykładach użyto biblioteki cURL.
PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com
< HTTP/1.1 200 OK
...
PS C:\>
Interfejs API kondycji 200 powinien zwracać kod stanu bez żadnych błędów certyfikatu.
Konfigurowanie magazynu kluczy sieci prywatnej
Jeśli skonfigurujesz prywatny punkt końcowy w magazynie kluczy, usługa Web PubSub nie będzie mogła uzyskać dostępu do magazynu kluczy przy użyciu sieci publicznej. Należy skonfigurować udostępniony prywatny punkt końcowy , aby zapewnić usłudze Web PubSub dostęp do magazynu kluczy za pośrednictwem sieci prywatnej.
Po utworzeniu udostępnionego prywatnego punktu końcowego można utworzyć certyfikat niestandardowy w zwykły sposób. Nie musisz zmieniać domeny w identyfikatorze URI magazynu kluczy. Jeśli na przykład podstawowy identyfikator URI magazynu kluczy to https://contoso.vault.azure.net, użyj tego identyfikatora URI, aby skonfigurować certyfikat niestandardowy.
Nie musisz jawnie zezwalać na adresy IP usługi Web PubSub w ustawieniach zapory magazynu kluczy. Aby uzyskać więcej informacji, zobacz Diagnostyka łącza prywatnego magazynu kluczy.
Obracanie certyfikatu
Jeśli nie określisz wersji wpisu tajnego podczas tworzenia certyfikatu niestandardowego, usługa Web PubSub okresowo sprawdza najnowszą wersję w magazynie kluczy. Po wykryciu nowej wersji zostanie ona automatycznie zastosowana. Opóźnienie jest zwykle krótsze niż godzinę.
Alternatywnie możesz przypiąć certyfikat niestandardowy do określonej wersji wpisu tajnego w magazynie kluczy. Jeśli musisz zastosować nowy certyfikat, możesz edytować wersję wpisu tajnego, a następnie aktywnie aktualizować certyfikat niestandardowy.