Доступ к Key Vault в частной сети через общие частные конечные точки
Статья
Служба Azure SignalR доступ к Key Vault в частной сети через общие частные конечные точки. Таким образом, хранилище ключей не предоставляется в общедоступной сети.
Вы можете создавать частные конечные точки с помощью Служба Azure SignalR API для общего доступа к ресурсу, интегрированному со службой Приватный канал Azure. Эти конечные точки, называемые общими ресурсами приватного канала, создаются в среде выполнения SignalR и недоступны вне этой среды.
В этой статье вы узнаете, как создать общую частную конечную точку в Key Vault.
Необходимые компоненты
Для выполнения этой статьи потребуются следующие ресурсы:
Группа ресурсов Azure.
Экземпляр Служба Azure SignalR.
Экземпляр хранилища ключей Azure.
В примерах в этой статье используется следующее соглашение об именовании, хотя вместо этого можно использовать собственные имена.
Идентификатор ресурса этой Службы Azure SignalR — /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
В остальных примерах показано, как служба contoso-signalr может быть настроена таким образом, чтобы исходящие вызовы к Key Vault проходили через частную конечную точку, а не через общедоступную сеть.
Создание общего ресурса приватного канала в Key Vault
В портал Azure перейдите к ресурсу Служба Azure SignalR.
Выберите Сети.
Выберите вкладку "Закрытый доступ ".
Выберите "Добавить общую частную конечную точку " в разделе "Общие частные конечные точки".
Введите следующие данные:
Поле
описание
Название
Имя общей частной конечной точки.
Тип
Выберите Microsoft.KeyVault/vaults
Подписка
Подписка, содержащая Хранилище ключей.
Ресурс
Введите имя ресурса Key Vault.
Запрос сообщения
Введите "утвердить"
Выберите Добавить.
После успешного добавления частной конечной точки состояние подготовки будет выполнено успешно. Состояние подключения будет ожидалось , пока не утвердите конечную точку на стороне Key Vault.
Выполните следующий вызов API с помощью Azure CLI , чтобы создать общий ресурс приватного канала:
az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json
Содержимое файла create-pe.json с текстом запроса к интерфейсу API имеет следующий вид:
Процесс создания исходящей частной конечной точки — это длительно выполняемая (асинхронная) операция. Как и во всех асинхронных операциях Azure, PUT вызов возвращает Azure-AsyncOperation значение заголовка, которое выглядит следующим образом:
Вы можете периодически опрашивать этот универсальный код ресурса (URI), чтобы получить состояние операции.
Вы можете пропросить состояние вручную, запрашивая Azure-AsyncOperationHeader это значение:
az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview
Подождите, пока состояние не изменится на "Успешно" , прежде чем перейти к следующим шагам.
Утверждение подключения к частной конечной точке для Key Vault
Перейдите на вкладку "Подключения к частной конечной точке". После успешной асинхронной операции необходимо запросить подключение частной конечной точки к сообщению запроса из предыдущего вызова API.
Выберите частную конечную точку, которая Служба SignalR создана, а затем нажмите кнопку "Утвердить".
Выберите "Да", чтобы утвердить подключение.
Вывод списка подключений к частной конечной точке.
az network private-endpoint-connection list -n <key-vault-resource-name> -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
Должно быть ожидание подключения к частной конечной точке. Запишите его идентификатор.
az network private-endpoint-connection approve --id <private-endpoint-connection-id>
Проверка работы общей частной конечной точки
Через несколько минут утверждение распространяется на Служба SignalR, а состояние подключения — "Утверждено". Вы можете проверка состояние с помощью портал Azure или Azure CLI.
az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview
Команда вернет объект JSON, где состояние подключения отображается как состояние "состояние" в разделе "свойства".
Если параметр "Состояние подготовки" (properties.provisioningState) ресурса имеет Succeeded значение "состояние Подключение ion" (properties.status), Approvedобщий ресурс приватного канала работает, а Служба SignalR может взаимодействовать через частную конечную точку.
Если частная конечная точка между Служба SignalR и Azure Key Vault работает, значение состояния подготовки выполнено успешно, а состояние подключения утверждено.
Очистка
Если вы не планируете использовать ресурсы, созданные в этой статье, можно удалить группу ресурсов.
Внимание
При удалении группы ресурсов все ресурсы, содержащиеся в ней, удаляются. Если в указанной группе ресурсов существуют другие ресурсы, кроме созданных для этой статьи, они также будут удалены.