Доступ к хранилищу ключей в частной сети через общие частные конечные точки

Azure Web PubSub может получить доступ к хранилищу ключей в частной сети через подключения к общей частной конечной точке. В этой статье показано, как настроить ресурс Web PubSub для маршрутизации исходящих вызовов в хранилище ключей через общую частную конечную точку вместо общедоступной сети.

Частные конечные точки защищенных ресурсов, созданных с помощью API-интерфейсов Azure Web PubSub, называются общими ресурсами приватного канала. Доступ к ресурсу, например экземпляру Azure Key Vault, который интегрирован с Приватный канал Azure. Эти частные конечные точки создаются в среде выполнения Web PubSub и не отображаются непосредственно для вас.

Примечание.

В примерах в этой статье используются следующие идентификаторы ресурсов:

• Идентификатор ресурса этого экземпляра _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsubAzure Web PubSub.
• Идентификатор ресурса экземпляра /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kvAzure Key Vault.

Чтобы использовать шаги в следующих примерах, замените эти значения собственным идентификатором подписки, именем ресурса Web PubSub и именем ресурса Azure Key Vault.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Azure CLI 2.25.0 или более поздней версии (если вы используете Azure CLI).
• Экземпляр Azure Web PubSub в минимальной ценовой категории "Стандартный".
• Ресурс Azure Key Vault.

Создание общего ресурса частной конечной точки в хранилище ключей

Портал Azure

1. В портал Azure перейдите к ресурсу Azure Web PubSub.

2. В меню слева выберите "Сеть".

3. Выберите вкладку "Закрытый доступ ".

4. Выберите "Добавить общую частную конечную точку".

   

5. В поле "Имя" введите имя, используемое для общей частной конечной точки.

6. Чтобы выбрать ресурс хранилища ключей, выполните одно из следующих действий.

   • Выберите из ресурсов и выберите ресурс из списков.
   • Выберите " Указать идентификатор ресурса" и введите идентификатор ресурса хранилища ключей.

7. Введите сообщение "Запрос" введите утверждение.

8. Выберите Добавить.

   

Состояние подготовки ресурсов общей частной конечной точки выполнено успешно. Состояние подключения ожидается и ожидает утверждения целевого ресурса.

Azure CLI

Чтобы создать общий ресурс приватного канала, можно выполнить следующий вызов API с помощью Azure CLI . Замените значение uri универсальным кодом ресурса (URI) в вашем сценарии.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Содержимое файла create-pe.json представляет текст запроса в API:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Процесс создания исходящей частной конечной точки — это длительно выполняемая (асинхронная) операция. Как и во всех асинхронных операциях Azure, вызов PUT возвращает Azure-AsyncOperation значение заголовка, которое выглядит следующим образом:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Этот универсальный код ресурса (URI) можно периодически опрашивать, чтобы получить состояние операции. Дождитесь изменения состояния на "Успешно" перед переходом к следующему разделу.

Чтобы провести опрос по состоянию, вручную запросите Azure-AsyncOperationHeader значение:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

Утверждение подключения к частной конечной точке для хранилища ключей

После создания подключения к частной конечной точке запрос подключения из Web PubSub должен быть утвержден в ресурсе Key Vault.

Портал Azure

1. Перейдите к вашему ресурсу Key Vault на портале Azure.

2. В меню слева выберите "Сеть".

3. Выберите Private endpoint connections (Подключения к частной конечной точке).

   

4. Выберите частную конечную точку, созданную web PubSub.

5. Выберите " Утвердить", а затем нажмите кнопку "Да ", чтобы подтвердить.

   Для изменения состояния подключения к частной конечной точке может потребоваться несколько минут.

   

Azure CLI

1. Вывод списка подключений к частной конечной точке:

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Проверьте наличие ожидающего подключения к частной конечной точке. Обратите внимание на идентификатор подключения.

   [
       {
           "id": "<ID>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Утвердить подключение к частной конечной точке:

   az network private-endpoint-connection approve --id <private-endpoint-connection-ID>
   

Запрос состояния ресурса общего приватного канала

Для распространения утверждения в службу Azure Web PubSub потребуется несколько минут. Вы можете проверить состояние с помощью портал Azure или Azure CLI. Общая частная конечная точка между службой Azure Web PubSub и Azure Key Vault активна при утверждении состояния контейнера.

Портал Azure

1. В портал Azure перейдите к ресурсу Azure Web PubSub.

2. В меню слева выберите "Сеть".

3. Выберите ресурсы общего приватного канала.

   

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Эта команда возвращает JSON. Состояние подключения указано в status разделе properties.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Если properties.provisioningState задано Succeeded и properties.status (состояние подключения), Approvedобщий ресурс приватного канала работает, а Web PubSub может взаимодействовать через частную конечную точку.

Теперь вы можете настроить такие функции, как личный домен, как обычно. Вам не нужно использовать специальный домен для хранилища ключей. Web PubSub автоматически обрабатывает разрешение системы доменных имен (DNS).

Связанный контент

• Что собой представляет частная конечная точка?
• Настройка личного домена