Få åtkomst till Key Vault i ett privat nätverk via delade privata slutpunkter
Artikel
Azure SignalR Service kan komma åt ditt Key Vault i ett privat nätverk via delade privata slutpunkter. På så sätt exponeras inte ditt Key Vault i ett offentligt nätverk.
Du kan skapa privata slutpunkter via Azure SignalR Service-API:er för delad åtkomst till en resurs som är integrerad med Azure Private Link-tjänsten. Dessa slutpunkter, som kallas delade privata länkresurser, skapas i SignalR-körningsmiljön och är inte tillgängliga utanför den här miljön.
I den här artikeln får du lära dig hur du skapar en delad privat slutpunkt till Key Vault.
Förutsättningar
Du behöver följande resurser för att slutföra den här artikeln:
En Azure-resursgrupp.
En Azure SignalR Service-instans.
En Azure Key Vault-instans.
Exemplen i den här artikeln använder följande namngivningskonvention, även om du kan använda dina egna namn i stället.
Resurs-ID:t för den här Azure SignalR-tjänsten är /subscriptions/0000000-0000-0000-0000-0000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
Resurs-ID för Azure Key Vault är /subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.
Resten av exemplen visar hur contoso-signalr-tjänsten kan konfigureras så att dess utgående anrop till Key Vault går via en privat slutpunkt i stället för ett offentligt nätverk.
Skapa en resurs för delad privat länk till Key Vault
I Azure-portalen går du till din Azure SignalR Service-resurs.
Välj Nätverk.
Välj fliken Privat åtkomst .
Välj Lägg till delad privat slutpunkt i avsnittet Delade privata slutpunkter .
Ange följande information:
Fält
beskrivning
Namn
Namnet på den delade privata slutpunkten.
Typ
Välj Microsoft.KeyVault/vaults
Abonnemang
Prenumerationen som innehåller ditt Key Vault.
Resurs
Ange namnet på din Key Vault-resurs.
Begärandemeddelande
Ange "godkänn"
Markera Lägga till.
När du har lagt till den privata slutpunkten kommer etableringstillståndet att lyckas. Anslutningstillståndet väntar tills du godkänner slutpunkten på Key Vault-sidan.
Gör följande API-anrop med Azure CLI för att skapa en resurs för delad privat länk:
az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json
Innehållet i filen create-pe.json , som representerar begärandetexten till API:et, är följande:
Processen att skapa en utgående privat slutpunkt är en tidskrävande (asynkron) åtgärd. Precis som i alla asynkrona Azure-åtgärder returnerar anropet PUT ett Azure-AsyncOperation rubrikvärde som ser ut som följande text:
Du kan avsöka den här URI:n med jämna mellanrum för att få status för åtgärden.
Du kan söka efter statusen genom att manuellt fråga efter Azure-AsyncOperationHeader värdet:
az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview
Vänta tills statusen ändras till Lyckades innan du fortsätter till nästa steg.
Godkänn den privata slutpunktsanslutningen för Key Vault
Välj fliken Privata slutpunktsanslutningar . När den asynkrona åtgärden har slutförts bör det finnas en begäran om en privat slutpunktsanslutning med begärandemeddelandet från föregående API-anrop.
Välj den privata slutpunkt som SignalR Service skapade och välj sedan Godkänn.
Välj Ja för att godkänna anslutningen.
Lista privata slutpunktsanslutningar.
az network private-endpoint-connection list -n <key-vault-resource-name> -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
Det bör finnas en väntande privat slutpunktsanslutning. Anteckna dess ID.
az network private-endpoint-connection approve --id <private-endpoint-connection-id>
Kontrollera att den delade privata slutpunkten fungerar
Efter några minuter sprids godkännandet till SignalR Service och anslutningstillståndet är inställt på Godkänd. Du kan kontrollera tillståndet med antingen Azure-portalen eller Azure CLI.
az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview
Kommandot returnerar ett JSON-objekt, där anslutningstillståndet visas som "status" i avsnittet "egenskaper".
När "Etableringstillstånd" (properties.provisioningState) för resursen är Succeeded och "Anslut ion State" (properties.status) är Approvedfungerar resursen för delad privat länk och SignalR-tjänsten kan kommunicera via den privata slutpunkten.
När den privata slutpunkten mellan SignalR Service och Azure Key Vault fungerar är värdet för etableringstillståndet Lyckades och anslutningstillståndet är Godkänt.
Rensa
Om du inte planerar att använda de resurser som du har skapat i den här artikeln kan du ta bort resursgruppen.
Varning
Om du tar bort resursgruppen tas alla resurser som ingår i den bort. Om det finns resurser utanför omfånget för den här artikeln i den angivna resursgruppen tas de också bort.
