Usar pontos de extremidade privados para controle de acesso
Você pode usar pontos de extremidade privados para seu recurso Azure Web PubSub e permitir que clientes em uma VNet (rede virtual) acessem dados com segurança por meio de um link privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço da VNet para o recurso Azure Web PubSub. O tráfego de rede entre os clientes na VNet e seu recurso do Web PubSub percorre um link privado na rede da Microsoft, eliminando a exposição na Internet pública.
O uso de pontos de extremidade privados para o recurso do Web PubSub ajuda você a:
- Proteger o recurso do Web PubSub usando o controle de acesso à rede para bloquear todas as conexões no ponto de extremidade público do Web PubSub.
- Aumente a segurança da VNet permitindo que você bloqueie o vazamento de dados da VNet.
- Conectar-se com segurança ao Web PubSub de redes locais que se conectam à VNet usando uma VPN ou o Azure ExpressRoute com emparelhamento privado.
Usar pontos de extremidade privados em uma rede virtual
Um ponto de extremidade privado é um adaptador de rede especial para um serviço do Azure em sua VNet. Quando você cria um ponto de extremidade privado para seu recurso do Web PubSub, ele fornece conectividade segura entre os clientes na sua VNet e o seu serviço. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP de sua VNet. A conexão entre o ponto de extremidade privado e o Web PubSub usa um link privado seguro.
Os aplicativos na VNet podem se conectar diretamente aos recursos Web PubSub usando o ponto de extremidade privado. Os aplicativos usam as mesmas cadeias de conexão e mecanismos de autorização que usariam de outra forma.
Pontos de extremidade privados podem ser usados com todos os protocolos aos quais o recurso do Web PubSub dá suporte, incluindo a API REST.
Quando você cria um ponto de extremidade privado para um recurso do Web PubSub em sua VNet, uma solicitação de consentimento é enviada para aprovação do proprietário do recurso do Web PubSub. Se o usuário que solicita o ponto de extremidade privado também for proprietário do recurso do Web PubSub, essa solicitação de consentimento será automaticamente aprovada.
Você pode gerenciar solicitações de consentimento e pontos de extremidade privados para o recurso do Web PubSub na guia Pontos de Extremidade Privados no portal do Azure.
Dica
Se você quiser restringir o acesso ao recurso do Web PubSub somente por meio do ponto de extremidade privado, configure o controle de acesso à rede para negar ou controlar o acesso por meio do ponto de extremidade público.
Conectar-se a um ponto de extremidade privado
Os clientes em uma VNet que usa um ponto de extremidade privado devem usar a mesma cadeia de conexão para o recurso do Web PubSub que os clientes que se conectam por meio de um ponto de extremidade público usam. Contamos com a resolução DNS (Sistema de Nomes de Domínio) para rotear automaticamente as conexões da VNet para o Web PubSub por meio de um link privado.
Importante
Use a mesma cadeia de conexão para se conectar ao Web PubSub usando pontos de extremidade privados que você usaria para um ponto de extremidade público. Não se conecte ao Web PubSub usando sua URL privatelink de subdomínio.
Criamos uma zona DNS privada anexada à VNet com as atualizações necessárias para os pontos de extremidade privados, por padrão. Se você estiver usando seu servidor DNS, talvez seja necessário fazer alterações adicionais na configuração do DNS. A próxima seção descreve as atualizações necessárias para pontos de extremidade privados.
Alterações no DNS para pontos de extremidade privados
Quando você cria um ponto de extremidade privado, o registro de recurso DNS CNAME para seu recurso do Web PubSub é atualizado para um alias em um subdomínio com o prefixo privatelink. Por padrão, também criamos uma zona DNS privada que corresponde ao subdomínio privatelink, com os registros do recurso DNS A para os pontos de extremidade privados.
Quando você resolve o nome de domínio do recurso do Web PubSub de fora da VNet com o ponto de extremidade privado, ele é resolvido para o ponto de extremidade público do recurso do Azure Web PubSub. Quando resolvido da VNet que hospeda o ponto de extremidade privado, o nome de domínio é resolvido para o endereço IP do ponto de extremidade privado.
Para o exemplo ilustrado anterior, o recurso DNS registra o recurso do Web PubSub sample quando ele é resolvido de fora da VNet que hospeda o ponto de extremidade privado:
| Nome | Tipo | Valor |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
Um | <Endereço IP público do Web PubSub> |
Você pode negar ou controlar o acesso para clientes fora da VNet por meio do ponto de extremidade público usando o controle de acesso à rede.
Os registros de recurso DNS para o recurso do Web PubSub sample quando ele é resolvido por um cliente na VNet que hospeda o ponto de extremidade privado é semelhante a este exemplo:
| Nome | Tipo | Valor |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
Um | 10.1.1.5 |
Essa abordagem fornece acesso ao Web PubSub usando a mesma cadeia de conexão para clientes na VNet que hospeda o ponto de extremidade privado e para clientes fora da VNet.
Se você usa um servidor DNS personalizado em sua rede, os clientes devem resolver o FQDN (nome de domínio totalmente qualificado) do ponto de extremidade do recurso do Web PubSub para o endereço IP do ponto de extremidade privado. Configure o servidor DNS para delegar seu subdomínio de link privado à zona DNS privada para a VNet ou configure os registros A para o sample.privatelink.webpubsub.azure.com para usar o endereço IP do ponto de extremidade privado.
Dica
Se você usar um servidor DNS personalizado ou local, você deve configurar seu servidor DNS para resolver o nome do recurso do Web PubSub no subdomínio privatelink para o endereço IP do ponto de extremidade privado. Você pode fazer isso delegando o subdomínio privatelink à zona DNS privada da VNet ou configurando a zona DNS em seu servidor DNS e adicionando os registros do DNS A.
Recomendamos que você use privatelink.webpubsub.azure.com como nome da zona DNS para pontos de extremidade privados em um recurso do Web PubSub.
Para saber mais sobre como configurar seu servidor DNS para ter compatibilidade com pontos de extremidade privados, veja os seguintes artigos:
- Resolução de nomes para recursos em redes virtuais do Azure
- Configuração de DNS para pontos de extremidade privados
Criar um ponto de extremidade privado
As seções a seguir descrevem como criar um ponto de extremidade privado e uma nova instância do Web PubSub e como criar um ponto de extremidade privado para uma instância existente do Web PubSub.
Criar um ponto de extremidade privado em uma nova instância do Web PubSub
No portal do Azure, crie uma nova instância do Azure Web PubSub. Na guia Rede, em Método de conectividade, selecione Ponto de extremidade privado.
Selecione Adicionar. Selecione ou insira a assinatura, o nome do grupo de recursos, a região do Azure e um nome para o novo ponto de extremidade privado. Escolha uma rede virtual e sub-rede para usar.
Selecione Examinar + criar.
Crie um ponto de extremidade privado para um recurso existente do Web PubSub
No portal do Azure, acesse o recurso do Web PubSub.
No menu à esquerda, em Configurações, selecione Conexões de ponto de extremidade privado.
Selecione Ponto de extremidade privado.
Selecione ou insira valores para assinatura, grupo de recursos, nome do recurso e região para o novo ponto de extremidade privado.
Selecione o recurso do Web PubSub de destino.
Selecione a rede virtual de destino.
Selecione Examinar + criar.
Preços
Para obter detalhes de preço, confira Preço do Link Privado do Azure.
Problemas conhecidos
Tenha em mente os seguintes problemas conhecidos sobre como usar pontos de extremidade privados no Web PubSub.
Restrições de camada livre
Uma instância do Azure Web PubSub criada usando a camada gratuita não pode se integrar a um ponto de extremidade privado.
Restrições de acesso para clientes em VNets com pontos de extremidade privados
Os clientes em VNets que têm pontos de extremidade privados existentes têm restrições quando acessam outras instâncias do Web PubSub que têm pontos de extremidade privados. Por exemplo, uma VNet N1 tem um ponto de extremidade privado para uma instância W1 do Web PubSub. Se a instância do Web PubSub W2 tiver um ponto de extremidade privado em uma VNet N2, os clientes na VNet N1 também deverão acessar a instância W2 do Web PubSub usando um ponto de extremidade privado.
Se a instância W2 do Web PubSub não tiver pontos de extremidade privados, os clientes na VNet N1 poderão acessar o recurso do Web PubSub nessa conta sem usar um ponto de extremidade privado. Essa restrição é resultado das alterações de DNS feitas quando a instância W2 do Web PubSub cria um ponto de extremidade privado.