Aceder a um cofre de chaves numa rede privada através de terminais privados partilhados

O Azure Web PubSub pode acessar um cofre de chaves em uma rede privada por meio de conexões de ponto de extremidade privadas compartilhadas. Este artigo mostra como configurar seu recurso Web PubSub para rotear chamadas de saída para um cofre de chaves por meio de um ponto de extremidade privado compartilhado em vez de por meio de uma rede pública.

Os pontos de extremidade privados de recursos protegidos criados por meio das APIs do Azure Web PubSub são chamados de recursos de link privado compartilhado. Você "compartilha" o acesso a um recurso, como uma instância do Azure Key Vault, que é integrado ao Azure Private Link. Esses pontos de extremidade privados são criados dentro do ambiente de execução Web PubSub e não são diretamente visíveis para você.

Nota

Os exemplos neste artigo usam as seguintes IDs de recurso:

• A ID do recurso desta instância do Azure Web PubSub é _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub.
• A ID do recurso da instância do Azure Key Vault é /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Para usar as etapas nos exemplos a seguir, substitua esses valores por sua própria ID de assinatura, o nome do recurso Web PubSub e o nome do recurso do Azure Key Vault.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
• A CLI do Azure 2.25.0 ou posterior (se você usar a CLI do Azure).
• Uma instância do Azure Web PubSub em uma camada de preço padrão mínima.
• Um recurso do Azure Key Vault.

Criar um recurso de ponto de extremidade privado compartilhado para o cofre de chaves

Portal do Azure

1. No portal do Azure, vá para o recurso Azure Web PubSub.

2. No menu à esquerda, selecione Rede.

3. Selecione a guia Acesso privado .

4. Selecione Adicionar ponto de extremidade privado compartilhado.

   

5. Em Nome, insira um nome a ser usado para o ponto de extremidade privado compartilhado.

6. Para selecionar o recurso do cofre de chaves, conclua uma das seguintes etapas:

   • Escolha Selecionar entre seus recursos e selecione seu recurso nas listas.
   • Selecione Especificar ID do recurso e insira o ID do recurso do cofre da chave.

7. Para Solicitar mensagem, digite Aprovar.

8. Selecione Adicionar.

   

O estado de provisionamento de recursos de ponto de extremidade privado compartilhado é Bem-sucedido. O estado da conexão é Pendente e aguarda aprovação para o recurso de destino.

CLI do Azure

Você pode fazer a seguinte chamada de API com a CLI do Azure para criar um recurso de link privado compartilhado. Substitua o valor uri pelo URI em seu cenário.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

O conteúdo do arquivo create-pe.json representa o corpo da solicitação para a API:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

O processo de criação de um ponto de extremidade privado de saída é uma operação de longa execução (assíncrona). Como em todas as operações assíncronas do Azure, a chamada PUT retorna um Azure-AsyncOperation valor de cabeçalho semelhante ao exemplo a seguir:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Você pode sondar esse URI periodicamente para obter o status da operação. Aguarde até que o status mude para "Aprovado" antes de prosseguir para a próxima seção.

Para pesquisar o status, consulte manualmente o Azure-AsyncOperationHeader valor:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

Aprovar a conexão de ponto de extremidade privado para o cofre de chaves

Depois que a conexão de ponto de extremidade privado for criada, a solicitação de conexão do Web PubSub deverá ser aprovada no recurso do Cofre da Chave.

Portal do Azure

1. No portal do Azure, aceda ao recurso do Key Vault.

2. No menu à esquerda, selecione Rede.

3. Selecione Ligações de ponto final privado.

   

4. Selecione o ponto de extremidade privado que o Web PubSub criou.

5. Selecione Aprovar e, em seguida, selecione Sim para confirmar.

   Pode levar alguns minutos para que o status da conexão do ponto de extremidade privado mude para Aprovado.

   

CLI do Azure

1. Listar conexões de ponto de extremidade privadas:

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Verifique se há uma conexão de ponto de extremidade privada pendente. Observe o ID da conexão.

   [
       {
           "id": "<ID>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Aprove a conexão de ponto de extremidade privado:

   az network private-endpoint-connection approve --id <private-endpoint-connection-ID>
   

Consultar o status do recurso de link privado compartilhado

Leva alguns minutos para que a aprovação seja propagada para o Serviço PubSub da Web do Azure. Você pode verificar o estado usando o portal do Azure ou a CLI do Azure. O ponto de extremidade privado compartilhado entre o Serviço PubSub da Web do Azure e o Cofre da Chave do Azure fica ativo quando o estado do contêiner é aprovado.

Portal do Azure

1. No portal do Azure, vá para o recurso Azure Web PubSub.

2. No menu à esquerda, selecione Rede.

3. Selecione Recursos de link privado compartilhado.

   

CLI do Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Este comando retorna JSON. O estado da conexão é indicado em status properties.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Quando properties.provisioningState é Succeeded e properties.status (estado de conexão) é Approved, o recurso de link privado compartilhado é funcional e o Web PubSub pode se comunicar pelo ponto de extremidade privado.

Agora você pode configurar recursos como um domínio personalizado como faria normalmente. Você não precisa usar um domínio especial para seu cofre de chaves. O Web PubSub lida automaticamente com a resolução do Sistema de Nomes de Domínio (DNS).

Conteúdos relacionados

• O que é um ponto final privado?
• Configurar um domínio personalizado