Uzyskiwanie dostępu do magazynu kluczy w sieci prywatnej za pośrednictwem udostępnionych prywatnych punktów końcowych

Usługa Azure Web PubSub może uzyskać dostęp do magazynu kluczy w sieci prywatnej za pośrednictwem współużytkowanych prywatnych połączeń punktów końcowych. W tym artykule pokazano, jak skonfigurować zasób Web PubSub w celu kierowania wywołań wychodzących do magazynu kluczy za pośrednictwem udostępnionego prywatnego punktu końcowego zamiast za pośrednictwem sieci publicznej.

Prywatne punkty końcowe zabezpieczonych zasobów utworzonych za pośrednictwem interfejsów API usługi Azure Web PubSub są nazywane udostępnionymi zasobami łącza prywatnego. Dostęp "udostępnij" do zasobu, takiego jak wystąpienie usługi Azure Key Vault, który jest zintegrowany z usługą Azure Private Link. Te prywatne punkty końcowe są tworzone w środowisku wykonywania Web PubSub i nie są bezpośrednio widoczne dla Ciebie.

Uwaga

W przykładach w tym artykule użyto następujących identyfikatorów zasobów:

• Identyfikator zasobu tego wystąpienia usługi Azure Web PubSub to _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub.
• Identyfikator zasobu wystąpienia usługi Azure Key Vault to /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Aby wykonać kroki opisane w poniższych przykładach, zastąp te wartości własnym identyfikatorem subskrypcji, nazwą zasobu Web PubSub i nazwą zasobu usługi Azure Key Vault.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Interfejs wiersza polecenia platformy Azure w wersji 2.25.0 lub nowszej (jeśli używasz interfejsu wiersza polecenia platformy Azure).
• Wystąpienie usługi Azure Web PubSub w minimalnej warstwie cenowej w warstwie cenowej w warstwie Standardowa.
• Zasób usługi Azure Key Vault.

Tworzenie udostępnionego zasobu prywatnego punktu końcowego w magazynie kluczy

Witryna Azure Portal

1. W witrynie Azure Portal przejdź do zasobu Web PubSub platformy Azure.

2. W menu po lewej stronie wybierz pozycję Sieć.

3. Wybierz kartę Dostęp prywatny.

4. Wybierz pozycję Dodaj udostępniony prywatny punkt końcowy.

   

5. W polu Nazwa wprowadź nazwę, która ma być używana dla udostępnionego prywatnego punktu końcowego.

6. Aby wybrać zasób magazynu kluczy, wykonaj jedną z następujących czynności:

   • Wybierz pozycję Wybierz z zasobów i wybierz zasób z list.
   • Wybierz pozycję Określ identyfikator zasobu i wprowadź identyfikator zasobu magazynu kluczy.

7. W polu Żądanie wprowadź wartość Zatwierdź.

8. Wybierz Dodaj.

   

Stan aprowizacji współużytkowanego zasobu prywatnego punktu końcowego to Powodzenie. Stan połączenia to Oczekiwanie i oczekiwanie na zatwierdzenie zasobu docelowego.

Interfejs wiersza polecenia platformy Azure

Aby utworzyć udostępniony zasób łącza prywatnego, możesz wykonać następujące wywołanie interfejsu API za pomocą interfejsu wiersza polecenia platformy Azure. Zastąp wartość uri identyfikatorem URI w swoim scenariuszu.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Zawartość pliku create-pe.json reprezentuje treść żądania do interfejsu API:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Proces tworzenia wychodzącego prywatnego punktu końcowego jest długotrwałą operacją (asynchroniczną). Podobnie jak we wszystkich operacjach asynchronicznych platformy Azure wywołanie PUT zwraca wartość nagłówka Azure-AsyncOperation , która wygląda jak w poniższym przykładzie:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Ten identyfikator URI można okresowo sondować, aby uzyskać stan operacji. Przed przejściem do następnej sekcji zaczekaj na zmianę stanu na "Powodzenie".

Aby sondować stan, ręcznie wykonaj zapytanie dotyczące Azure-AsyncOperationHeader wartości:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

Zatwierdzanie połączenia prywatnego punktu końcowego dla magazynu kluczy

Po utworzeniu połączenia prywatnego punktu końcowego żądanie połączenia z usługi Web PubSub musi zostać zatwierdzone w zasobie usługi Key Vault.

Witryna Azure Portal

1. Przejdź do zasobu magazynu kluczy w witrynie Azure Portal.

2. W menu po lewej stronie wybierz pozycję Sieć.

3. Wybierz pozycję Połączenia prywatnych punktów końcowych.

   

4. Wybierz prywatny punkt końcowy utworzony przez sieć Web PubSub.

5. Wybierz pozycję Zatwierdź, a następnie wybierz pozycję Tak , aby potwierdzić.

   Zmiana stanu połączenia prywatnego punktu końcowego na Zatwierdzona może potrwać kilka minut.

   

Interfejs wiersza polecenia platformy Azure

1. Wyświetl listę połączeń prywatnych punktów końcowych:

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Sprawdź oczekujące połączenie prywatnego punktu końcowego. Zanotuj identyfikator połączenia.

   [
       {
           "id": "<ID>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Zatwierdź połączenie prywatnego punktu końcowego:

   az network private-endpoint-connection approve --id <private-endpoint-connection-ID>
   

Wykonywanie zapytań o stan udostępnionego zasobu łącza prywatnego

Propagowanie zatwierdzenia do usługi Azure Web PubSub service trwa kilka minut. Stan można sprawdzić przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure. Współużytkowany prywatny punkt końcowy między usługą Azure Web PubSub Service i usługą Azure Key Vault jest aktywny po zatwierdzeniu stanu kontenera.

Witryna Azure Portal

1. W witrynie Azure Portal przejdź do zasobu Web PubSub platformy Azure.

2. W menu po lewej stronie wybierz pozycję Sieć.

3. Wybierz pozycję Udostępnione zasoby łącza prywatnego.

   

Interfejs wiersza polecenia platformy Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

To polecenie zwraca kod JSON. Stan połączenia jest wskazywany w status obszarze properties.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Gdy properties.provisioningState parametr ma Succeeded wartość i properties.status (stan połączenia) to Approved, współużytkowany zasób łącza prywatnego działa, a usługa Web PubSub może komunikować się za pośrednictwem prywatnego punktu końcowego.

Teraz możesz skonfigurować funkcje, takie jak domena niestandardowa, jak zwykle. Nie musisz używać specjalnej domeny dla magazynu kluczy. Usługa Web PubSub automatycznie obsługuje rozpoznawanie nazw domen (DNS).

Powiązana zawartość

• Co to jest prywatny punkt końcowy?
• Konfigurowanie domeny niestandardowej