Usar pontos de extremidade privados para controle de acesso
Você pode usar pontos de extremidade privados para seu recurso Azure Web PubSub para permitir que clientes em uma rede virtual (VNet) acessem dados com segurança por meio de um link privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço VNet para seu recurso Web PubSub. O tráfego de rede entre os clientes na rede virtual e seu recurso Web PubSub atravessa um link privado na rede da Microsoft, eliminando a exposição na Internet pública.
Usar pontos de extremidade privados para seu recurso Web PubSub ajuda você a:
- Proteja seu recurso Web PubSub usando o controle de acesso à rede para bloquear todas as conexões no ponto de extremidade público para Web PubSub.
- Aumente a segurança da VNet, permitindo que você bloqueie a exfiltração de dados da VNet.
- Conecte-se com segurança ao Web PubSub a partir de redes locais que se conectam à VNet usando uma VPN ou a Rota Expressa do Azure com emparelhamento privado.
Usar pontos de extremidade privados em uma rede virtual
Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua rede virtual. Quando você cria um ponto de extremidade privado para seu recurso Web PubSub, ele fornece conectividade segura entre clientes em sua rede virtual e seu serviço. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP da sua rede virtual. A conexão entre o ponto de extremidade privado e o Web PubSub usa um link privado seguro.
Os aplicativos na VNet podem se conectar aos recursos do Web PubSub perfeitamente usando o ponto de extremidade privado. Os aplicativos usam as mesmas cadeias de conexão e mecanismos de autorização que usariam de outra forma.
Os pontos de extremidade privados podem ser usados com todos os protocolos suportados pelo recurso Web PubSub, incluindo a API REST.
Quando você cria um ponto de extremidade privado para um recurso Web PubSub em sua rede virtual, uma solicitação de consentimento é enviada para aprovação ao proprietário do recurso Web PubSub. Se o usuário que solicita o ponto de extremidade privado também for proprietário do recurso Web PubSub, essa solicitação de consentimento será aprovada automaticamente.
Você pode gerenciar solicitações de consentimento e pontos de extremidade privados para seu recurso Web PubSub na guia Pontos de extremidade privados no portal do Azure.
Gorjeta
Se você quiser restringir o acesso ao seu recurso Web PubSub somente através do ponto de extremidade privado, configure o controle de acesso à rede para negar ou controlar o acesso através do ponto de extremidade público.
Conectar-se a um ponto de extremidade privado
Os clientes em uma VNet que usa um ponto de extremidade privado devem usar a mesma cadeia de conexão para o recurso Web PubSub que os clientes que se conectam por meio de um ponto de extremidade público usam. Contamos com a resolução do Sistema de Nomes de Domínio (DNS) para rotear automaticamente as conexões da VNet para o Web PubSub através de um link privado.
Importante
Use a mesma cadeia de conexão para se conectar ao Web PubSub usando pontos de extremidade privados como você usaria para um ponto de extremidade público. Não se conecte ao Web PubSub usando sua privatelink URL de subdomínio.
Criamos uma zona DNS privada anexada à rede virtual com as atualizações necessárias para os pontos de extremidade privados, por padrão. Se estiver a utilizar o seu próprio servidor DNS, poderá ter de fazer outras alterações à sua configuração de DNS. A próxima seção descreve as atualizações necessárias para pontos de extremidade privados.
Alterações de DNS para pontos de extremidade privados
Quando você cria um ponto de extremidade privado, o registro de recurso DNS CNAME para seu recurso Web PubSub é atualizado para um alias em um subdomínio que tem o prefixo privatelink. Por padrão, também criamos uma zona DNS privada que corresponde ao privatelink subdomínio, com os registros de recursos DNS A para os pontos de extremidade privados.
Quando você resolve o nome de domínio do recurso Web PubSub de fora da rede virtual com o ponto de extremidade privado, ele é resolvido para o ponto de extremidade público do recurso Web PubSub. Quando resolvido a partir da VNet que hospeda o ponto de extremidade privado, o nome de domínio é resolvido para o endereço IP do ponto de extremidade privado.
Para o exemplo ilustrado anterior, os registros de recurso DNS para o recurso sample Web PubSub quando ele é resolvido de fora da VNet que hospeda o ponto de extremidade privado:
| Nome | Tipo | valor |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | <Endereço IP público Web PubSub> |
Você pode negar ou controlar o acesso de clientes fora da rede virtual por meio do ponto de extremidade público usando o controle de acesso à rede.
Os registros de recurso DNS para o recurso sample Web PubSub quando ele é resolvido por um cliente na VNet que hospeda o ponto de extremidade privado é semelhante a este exemplo:
| Nome | Tipo | valor |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Essa abordagem dá acesso ao Web PubSub usando a mesma cadeia de conexão para clientes na VNet que hospeda o ponto de extremidade privado e para clientes fora da VNet.
Se você usar um servidor DNS personalizado em sua rede, os clientes deverão ser capazes de resolver o FQDN (nome de domínio totalmente qualificado) do ponto de extremidade do recurso Web PubSub para o endereço IP do ponto de extremidade privado. Você deve configurar seu servidor DNS para delegar seu subdomínio de link privado à zona DNS privada para a VNet ou configurar os registros A para sample.privatelink.webpubsub.azure.com usar o endereço IP do ponto de extremidade privado.
Gorjeta
Se você usar um servidor DNS personalizado ou local, deverá configurar o servidor DNS para resolver o nome do recurso Web PubSub no privatelink subdomínio para o endereço IP do ponto de extremidade privado. Pode fazê-lo delegando o privatelink subdomínio à zona DNS privada da rede virtual ou configurando a zona DNS no servidor DNS e, em seguida, adicionando os registos DNS A.
Recomendamos que você use privatelink.webpubsub.azure.com o nome da zona DNS para pontos de extremidade privados em um recurso Web PubSub.
Para obter mais informações sobre como configurar seu próprio servidor DNS para oferecer suporte a pontos de extremidade privados, consulte os seguintes artigos:
- Name resolution for resources in Azure virtual networks (Resolução de nomes para recursos em redes virtuais do Azure)
- Configuração de DNS para pontos de extremidade privados
Criar um ponto final privado
As seções a seguir descrevem como criar um ponto de extremidade privado e uma nova instância do Web PubSub e como criar um ponto de extremidade privado para uma instância existente do Web PubSub.
Criar um ponto de extremidade privado em uma nova instância do Web PubSub
No portal do Azure, crie uma nova instância do Azure Web PubSub. Na guia Rede, para Método de conectividade, selecione Ponto de extremidade privado.
Selecione Adicionar. Selecione ou insira a assinatura, o nome do grupo de recursos, a região do Azure e um nome para o novo ponto de extremidade privado. Escolha uma rede virtual e uma sub-rede para usar.
Selecione Rever + criar.
Criar um ponto de extremidade privado para um recurso Web PubSub existente
No portal do Azure, vá para seu recurso Web PubSub.
No menu à esquerda, em Configurações, selecione Conexões de ponto de extremidade privadas.
Selecione Ponto de extremidade privado.
Selecione ou insira valores para assinatura, grupo de recursos, nome do recurso e região para o novo ponto de extremidade privado.
Selecione o recurso Web PubSub de destino.
Selecione a rede virtual de destino.
Selecione Rever + criar.
Preços
Para obter detalhes de preços, consulte Preços do Azure Private Link.
Problemas conhecidos
Lembre-se dos seguintes problemas conhecidos sobre o uso de pontos de extremidade privados no Web PubSub.
Restrições de nível livre
Uma instância do Azure Web PubSub criada usando a camada gratuita não pode ser integrada a um ponto de extremidade privado.
Restrições de acesso para clientes em redes virtuais com pontos de extremidade privados
Os clientes em redes virtuais que têm pontos de extremidade privados existentes têm restrições quando acessam outras instâncias Web PubSub que têm pontos de extremidade privados. Por exemplo, uma VNet N1 tem um ponto de extremidade privado para uma instância Web PubSub W1. Se a instância W2 do Web PubSub tiver um ponto de extremidade privado em uma VNet N2, os clientes na VNet N1 também deverão acessar a instância W2 do Web PubSub usando um ponto de extremidade privado.
Se a instância W2 do Web PubSub não tiver nenhum ponto de extremidade privado, os clientes na VNet N1 poderão acessar o recurso Web PubSub nessa conta sem usar um ponto de extremidade privado. Essa restrição é resultado das alterações de DNS feitas quando a instância W2 do Web PubSub cria um ponto de extremidade privado.