Używanie prywatnych punktów końcowych do kontroli dostępu
Możesz użyć prywatnych punktów końcowych dla zasobu usługi Azure Web PubSub, aby umożliwić klientom w sieci wirtualnej bezpieczny dostęp do danych za pośrednictwem łącza prywatnego. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej dla zasobu Web PubSub. Ruch sieciowy między klientami w sieci wirtualnej a zasobem Web PubSub przechodzi przez łącze prywatne w sieci Microsoft, eliminując narażenie na publiczny Internet.
Korzystanie z prywatnych punktów końcowych dla zasobu Web PubSub ułatwia:
- Zabezpiecz zasób Web PubSub przy użyciu kontroli dostępu do sieci, aby zablokować wszystkie połączenia w publicznym punkcie końcowym sieci Web PubSub.
- Zwiększ bezpieczeństwo sieci wirtualnej, umożliwiając blokowanie eksfiltracji danych z sieci wirtualnej.
- Bezpiecznie nawiąż połączenie z usługą Web PubSub z sieci lokalnych łączących się z siecią wirtualną przy użyciu sieci VPN lub usługi Azure ExpressRoute z prywatną komunikacją równorzędną.
Używanie prywatnych punktów końcowych w sieci wirtualnej
Prywatny punkt końcowy to specjalny interfejs sieciowy dla usługi platformy Azure w sieci wirtualnej. Podczas tworzenia prywatnego punktu końcowego dla zasobu Web PubSub zapewnia bezpieczną łączność między klientami w sieci wirtualnej a usługą. Prywatny punkt końcowy ma przypisany adres IP z zakresu adresów IP sieci wirtualnej. Połączenie między prywatnym punktem końcowym a usługą Web PubSub używa bezpiecznego łącza prywatnego.
Aplikacje w sieci wirtualnej mogą bezproblemowo łączyć się z zasobami Web PubSub przy użyciu prywatnego punktu końcowego. Aplikacje używają tych samych parametry połączenia i mechanizmów autoryzacji, które będą używane w inny sposób.
Prywatne punkty końcowe mogą być używane ze wszystkimi protokołami, które obsługuje zasób Web PubSub, w tym interfejs API REST.
Podczas tworzenia prywatnego punktu końcowego dla zasobu Web PubSub w sieci wirtualnej żądanie zgody jest wysyłane do zatwierdzenia do właściciela zasobu Web PubSub. Jeśli użytkownik, który żąda prywatnego punktu końcowego, jest również właścicielem zasobu Web PubSub, to żądanie zgody zostanie automatycznie zatwierdzone.
Żądania zgody i prywatne punkty końcowe dla zasobu Web PubSub można zarządzać na karcie Prywatne punkty końcowe w witrynie Azure Portal.
Napiwek
Jeśli chcesz ograniczyć dostęp do zasobu Web PubSub tylko za pośrednictwem prywatnego punktu końcowego, skonfiguruj kontrolę dostępu do sieci, aby blokować lub kontrolować dostęp za pośrednictwem publicznego punktu końcowego.
Nawiązywanie połączenia z prywatnym punktem końcowym
Klienci w sieci wirtualnej korzystającej z prywatnego punktu końcowego powinni używać tego samego parametry połączenia dla zasobu Web PubSub, który klienci łączący się za pośrednictwem publicznego punktu końcowego. Polegamy na rozpoznawaniu nazw domen (DNS), aby automatycznie kierować połączenia z sieci wirtualnej do sieci Web PubSub za pośrednictwem łącza prywatnego.
Ważne
Użyj tego samego parametry połączenia, aby nawiązać połączenie z usługą Web PubSub przy użyciu prywatnych punktów końcowych, jak w przypadku publicznego punktu końcowego. Nie nawiąż połączenia z usługą Web PubSub przy użyciu adresu privatelink URL poddomeny.
Domyślnie tworzymy prywatną strefę DNS dołączoną do sieci wirtualnej z niezbędnymi aktualizacjami dla prywatnych punktów końcowych. Jeśli używasz własnego serwera DNS, może być konieczne wprowadzenie innych zmian w konfiguracji DNS. W następnej sekcji opisano aktualizacje wymagane dla prywatnych punktów końcowych.
Zmiany DNS dla prywatnych punktów końcowych
Podczas tworzenia prywatnego punktu końcowego rekord zasobu CNAME systemu DNS dla zasobu Web PubSub jest aktualizowany do aliasu w poddomenie, która ma prefiks privatelink. Domyślnie tworzymy również prywatną strefę DNS odpowiadającą privatelink poddomenie z rekordami zasobów DNS A dla prywatnych punktów końcowych.
Po rozpoznaniu nazwy domeny zasobu Web PubSub spoza sieci wirtualnej za pomocą prywatnego punktu końcowego jest rozpoznawany jako publiczny punkt końcowy zasobu Web PubSub. Po rozpoznaniu z sieci wirtualnej obsługującej prywatny punkt końcowy nazwa domeny jest rozpoznawana jako adres IP prywatnego punktu końcowego.
W powyższym przykładzie przedstawiono rekordy zasobów DNS dla zasobu sample Web PubSub, gdy jest rozpoznawany spoza sieci wirtualnej hostujące prywatny punkt końcowy:
| Nazwisko | Typ | Wartość |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | <Publiczny adres IP usługi Web PubSub> |
Dostęp klientów spoza sieci wirtualnej można blokować lub kontrolować za pośrednictwem publicznego punktu końcowego przy użyciu kontroli dostępu do sieci.
Rekordy zasobów DNS dla zasobu sample Web PubSub, gdy jest rozpoznawany przez klienta w sieci wirtualnej, który hostuje prywatny punkt końcowy, jest podobny do tego przykładu:
| Nazwisko | Typ | Wartość |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Takie podejście zapewnia dostęp do usługi Web PubSub przy użyciu tej samej parametry połączenia dla klientów w sieci wirtualnej, która hostuje prywatny punkt końcowy i klientów spoza sieci wirtualnej.
Jeśli używasz niestandardowego serwera DNS w sieci, klienci muszą mieć możliwość rozpoznawania w pełni kwalifikowanej nazwy domeny (FQDN) dla punktu końcowego zasobu Web PubSub do prywatnego adresu IP punktu końcowego punktu końcowego. Należy skonfigurować serwer DNS, aby delegować poddomenę łącza prywatnego do prywatnej strefy DNS dla sieci wirtualnej lub skonfigurować rekordy A do sample.privatelink.webpubsub.azure.com używania prywatnego adresu IP punktu końcowego.
Napiwek
Jeśli używasz niestandardowego lub lokalnego serwera DNS, należy skonfigurować serwer DNS, aby rozpoznać nazwę zasobu Web PubSub w privatelink poddomenie na prywatny adres IP punktu końcowego. Można to zrobić, delegując privatelink poddomenę do prywatnej strefy DNS sieci wirtualnej lub konfigurując strefę DNS na serwerze DNS, a następnie dodając rekordy DNS A.
Zalecamy użycie privatelink.webpubsub.azure.com nazwy strefy DNS dla prywatnych punktów końcowych w zasobie Web PubSub.
Aby uzyskać więcej informacji na temat konfigurowania własnego serwera DNS do obsługi prywatnych punktów końcowych, zobacz następujące artykuły:
- Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure
- Konfiguracja DNS dla prywatnych punktów końcowych
Tworzenie prywatnego punktu końcowego
W poniższych sekcjach opisano sposób tworzenia prywatnego punktu końcowego i nowego wystąpienia usługi Web PubSub oraz tworzenia prywatnego punktu końcowego dla istniejącego wystąpienia usługi Web PubSub.
Tworzenie prywatnego punktu końcowego w nowym wystąpieniu usługi Web PubSub
W witrynie Azure Portal utwórz nowe wystąpienie usługi Azure Web PubSub. Na karcie Sieć w polu Metoda łączności wybierz pozycję Prywatny punkt końcowy.
Wybierz Dodaj. Wybierz lub wprowadź subskrypcję, nazwę grupy zasobów, region świadczenia usługi Azure i nazwę nowego prywatnego punktu końcowego. Wybierz sieć wirtualną i podsieć do użycia.
Wybierz pozycję Przejrzyj i utwórz.
Tworzenie prywatnego punktu końcowego dla istniejącego zasobu Web PubSub
W witrynie Azure Portal przejdź do zasobu Web PubSub.
W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Połączenia prywatnego punktu końcowego.
Wybierz pozycję Prywatny punkt końcowy.
Wybierz lub wprowadź wartości dla subskrypcji, grupy zasobów, nazwy zasobu i regionu dla nowego prywatnego punktu końcowego.
Wybierz docelowy zasób Web PubSub.
Wybierz docelową sieć wirtualną.
Wybierz pozycję Przejrzyj i utwórz.
Cennik
Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Azure Private Link.
Znane problemy
Pamiętaj o następujących znanych problemach dotyczących używania prywatnych punktów końcowych w usłudze Web PubSub.
Ograniczenia warstwy Bezpłatna
Wystąpienie usługi Azure Web PubSub utworzone przy użyciu warstwy Bezpłatna nie może zintegrować się z prywatnym punktem końcowym.
Ograniczenia dostępu dla klientów w sieciach wirtualnych z prywatnymi punktami końcowymi
Klienci w sieciach wirtualnych, którzy mają istniejące prywatne punkty końcowe, mają ograniczenia podczas uzyskiwania dostępu do innych wystąpień usługi Web PubSub, które mają prywatne punkty końcowe. Na przykład sieć wirtualna N1 ma prywatny punkt końcowy dla wystąpienia web PubSub W1. Jeśli wystąpienie Web PubSub W2 ma prywatny punkt końcowy w sieci wirtualnej N2, klienci w sieci wirtualnej N1 muszą również uzyskać dostęp do wystąpienia Web PubSub W2 przy użyciu prywatnego punktu końcowego.
Jeśli wystąpienie Web PubSub W2 nie ma żadnych prywatnych punktów końcowych, klienci w sieci wirtualnej N1 mogą uzyskać dostęp do zasobu Web PubSub na tym koncie bez korzystania z prywatnego punktu końcowego. To ograniczenie jest wynikiem zmian DNS wprowadzonych, gdy wystąpienie Web PubSub W2 tworzy prywatny punkt końcowy.