Поделиться через

Использование частных конечных точек для управления доступом

  • Статья

Вы можете использовать частные конечные точки для ресурса Azure Web PubSub, чтобы разрешить клиентам в виртуальной сети безопасно получать доступ к данным через приватный канал. Частная конечная точка использует IP-адрес из адресного пространства виртуальной сети для ресурса Web PubSub. Сетевой трафик между клиентами в виртуальной сети и ресурсом Web PubSub проходит частную связь в сети Майкрософт, устраняя уязвимость в общедоступном Интернете.

Использование частных конечных точек для ресурса Web PubSub поможет вам:

  • Защита ресурса Web PubSub с помощью сетевого управления доступом для блокировки всех подключений на общедоступной конечной точке для Web PubSub.
  • улучшить безопасность в виртуальной сети благодаря возможностям предотвращения кражи данных из виртуальной сети.
  • Безопасное подключение к Web PubSub из локальных сетей, которые подключаются к виртуальной сети с помощью VPN или Azure ExpressRoute с частным пирингом.

Использование частных конечных точек в виртуальной сети

Схема, показывающая обзор частных конечных точек для Azure Web PubSub.

Частная конечная точка — это особый сетевой интерфейс для службы Azure в виртуальной сети. При создании частной конечной точки для ресурса Web PubSub она обеспечивает безопасное подключение между клиентами в виртуальной сети и вашей службе. Частной конечной точке назначается IP-адрес из диапазона IP-адресов вашей виртуальной сети. Подключение между частной конечной точкой и Web PubSub использует безопасную частную связь.

Приложения в виртуальной сети могут легко подключаться к ресурсам Web PubSub с помощью частной конечной точки. В приложениях используются те же строка подключения и механизмы авторизации, которые они будут использовать в противном случае.

Частные конечные точки можно использовать со всеми протоколами, поддерживаемыми ресурсом Web PubSub, включая REST API.

При создании частной конечной точки для ресурса Web PubSub в виртуальной сети запрос на согласие отправляется для утверждения владельцу ресурса Web PubSub. Если пользователь, запрашивающий частную конечную точку, также является владельцем ресурса Web PubSub, этот запрос согласия будет автоматически утвержден.

Вы можете управлять запросами согласия и частными конечными точками для ресурса Web PubSub на вкладке "Частные конечные точки" в портал Azure.

Совет

Если вы хотите ограничить доступ к ресурсу Web PubSub только через частную конечную точку, настройте сетевой контроль доступа, чтобы запретить или контролировать доступ через общедоступную конечную точку.

Подключение к частной конечной точке

Клиенты в виртуальной сети, использующая частную конечную точку, должны использовать ту же строка подключения для ресурса Web PubSub, который клиенты подключаются через общедоступную конечную точку. Мы опираемся на разрешение системы доменных имен (DNS) для автоматического маршрутизации подключений из виртуальной сети в Web PubSub по приватной ссылке.

Внимание

Используйте ту же строка подключения для подключения к Web PubSub с помощью частных конечных точек, что и для общедоступной конечной точки. Не подключайтесь к Web PubSub с помощью URL-адреса поддомена privatelink .

Мы создаем частную зону DNS, подключенную к виртуальной сети, с необходимыми обновлениями для частных конечных точек по умолчанию. Если вы используете собственный DNS-сервер, может потребоваться внести другие изменения в конфигурацию DNS. В следующем разделе описываются обновления, необходимые для частных конечных точек.

Изменения DNS для частных конечных точек

При создании частной конечной точки запись ресурса DNS CNAME для ресурса Web PubSub обновляется до псевдонима в поддомене с префиксом privatelink. По умолчанию также создается частная зона DNS, соответствующая поддомену privatelink, с записями ресурсов DNS A для частных конечных точек.

Когда вы разрешаете доменное имя ресурса Web PubSub за пределами виртуальной сети с частной конечной точкой, она разрешается в общедоступную конечную точку ресурса Web PubSub. При разрешении из виртуальной сети, в которой размещается частная конечная точка, доменное имя конечной точки разрешается в IP-адрес частной конечной точки.

В приведенном выше примере записи ресурсов DNS для ресурса sample Web PubSub при разрешении из-за пределов виртуальной сети, на котором размещена частная конечная точка:

Имя. Тип значение
sample.webpubsub.azure.com CNAME sample.privatelink.webpubsub.azure.com
sample.privatelink.webpubsub.azure.com а <Общедоступный IP-адрес Web PubSub>

Вы можете запретить или контролировать доступ для клиентов за пределами виртуальной сети через общедоступную конечную точку с помощью управления доступом к сети.

Записи ресурсов DNS для ресурса sample Web PubSub при разрешении клиентом в виртуальной сети, на котором размещена частная конечная точка, аналогична следующему примеру:

Имя. Тип значение
sample.webpubsub.azure.com CNAME sample.privatelink.webpubsub.azure.com
sample.privatelink.webpubsub.azure.com а 10.1.1.5

Этот подход предоставляет доступ к Web PubSub с помощью той же строка подключения для клиентов в виртуальной сети, где размещена частная конечная точка и клиенты за пределами виртуальной сети.

Если вы используете пользовательский DNS-сервер в сети, клиенты должны иметь возможность разрешать полное доменное имя (FQDN) для конечной точки ресурса Web PubSub до IP-адреса частной конечной точки. Необходимо настроить DNS-сервер, чтобы делегировать поддомен приватного канала в частную зону DNS для виртуальной сети или настроить записи A для sample.privatelink.webpubsub.azure.com использования IP-адреса частной конечной точки.

Совет

Если вы используете пользовательский или локальный DNS-сервер, необходимо настроить DNS-сервер для разрешения имени ресурса Web PubSub в privatelink поддомене на IP-адрес частной конечной точки. Это можно сделать, делегируя privatelink поддомен в частную зону DNS виртуальной сети или настраивая зону DNS на DNS-сервере, а затем добавляя записи DNS A.

Рекомендуется использовать privatelink.webpubsub.azure.com имя зоны DNS для частных конечных точек в ресурсе Web PubSub.

Дополнительные сведения о настройке собственного DNS-сервера для поддержки частных конечных точек см. в следующих статьях:

Создание частной конечной точки

В следующих разделах описывается создание частной конечной точки и нового экземпляра Web PubSub и создание частной конечной точки для существующего экземпляра Web PubSub.

Создание частной конечной точки в новом экземпляре Web PubSub

  1. В портал Azure создайте новый экземпляр Azure Web PubSub. На вкладке "Сеть" для метода подключения выберите частную конечную точку.

    Снимок экрана: вкладка

  2. Выберите Добавить. Выберите или введите подписку, имя группы ресурсов, регион Azure и имя новой частной конечной точки. Выберите виртуальную сеть и подсеть для использования.

  3. Выберите Review + create (Просмотреть и создать).

Создание частной конечной точки для существующего ресурса Web PubSub

  1. В портал Azure перейдите к ресурсу Web PubSub.

  2. В меню слева в разделе "Параметры" выберите подключения к частной конечной точке.

  3. Выберите Частная конечная точка.

  4. Выберите или введите значения для подписки, группы ресурсов, имени ресурса и региона для новой частной конечной точки.

  5. Выберите целевой ресурс Web PubSub.

  6. Выберите целевую виртуальную сеть.

  7. Выберите Review + create (Просмотреть и создать).

Цены

Дополнительные сведения о ценах см. на странице цен на службу "Приватный канал" Azure.

Известные проблемы

Имейте в виду следующие известные проблемы, связанные с использованием частных конечных точек в Web PubSub.

Ограничения уровня "Бесплатный"

Экземпляр Azure Web PubSub, созданный с помощью бесплатного уровня, не может интегрироваться с частной конечной точкой.

Ограничения доступа для клиентов в виртуальных сетях с частными конечными точками

Клиенты в виртуальных сетьх с существующими частными конечными точками имеют ограничения при доступе к другим экземплярам Web PubSub с частными конечными точками. Например, виртуальная сеть N1 имеет частную конечную точку для экземпляра Web PubSub W1. Если экземпляр Web PubSub W2 имеет частную конечную точку в виртуальной сети N2, клиенты в виртуальной сети N1 также должны получить доступ к экземпляру Web PubSub W2 с помощью частной конечной точки.

Если экземпляр Web PubSub W2 не имеет частных конечных точек, клиенты в виртуальной сети N1 могут получить доступ к ресурсу Web PubSub в этой учетной записи без использования частной конечной точки. Это ограничение является результатом изменений DNS, внесенных при создании частной конечной точки экземпляра Web PubSub W2.