Använda privata slutpunkter för åtkomstkontroll
Du kan använda privata slutpunkter för din Azure Web PubSub-resurs för att tillåta klienter i ett virtuellt nätverk (VNet) att på ett säkert sätt komma åt data via en privat länk. Den privata slutpunkten använder en IP-adress från VNet-adressutrymmet för din Web PubSub-resurs. Nätverkstrafik mellan klienterna i det virtuella nätverket och din Web PubSub-resurs passerar en privat länk i Microsoft-nätverket, vilket eliminerar exponeringen på det offentliga Internet.
Med privata slutpunkter för din Web PubSub-resurs kan du:
- Skydda din Web PubSub-resurs med hjälp av nätverksåtkomstkontroll för att blockera alla anslutningar på den offentliga slutpunkten för Web PubSub.
- Öka säkerheten för det virtuella nätverket genom att blockera exfiltrering av data från det virtuella nätverket.
- Anslut säkert till Web PubSub från lokala nätverk som ansluter till det virtuella nätverket med hjälp av ett VPN eller Azure ExpressRoute med privat peering.
Använda privata slutpunkter i ett virtuellt nätverk
En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk. När du skapar en privat slutpunkt för din Web PubSub-resurs ger den säker anslutning mellan klienter i ditt virtuella nätverk och din tjänst. Den privata slutpunkten tilldelas en IP-adress från IP-adressintervallet för ditt virtuella nätverk. Anslutningen mellan den privata slutpunkten och Web PubSub använder en säker privat länk.
Program i det virtuella nätverket kan ansluta till Web PubSub-resurser sömlöst med hjälp av den privata slutpunkten. Programmen använder samma anslutningssträng och auktoriseringsmekanismer som de skulle använda annars.
Privata slutpunkter kan användas med alla protokoll som Web PubSub-resursen stöder, inklusive REST API.
När du skapar en privat slutpunkt för en Web PubSub-resurs i ditt virtuella nätverk skickas en begäran om medgivande för godkännande till Web PubSub-resursägaren. Om användaren som begär den privata slutpunkten också är ägare till Web PubSub-resursen godkänns begäran om medgivande automatiskt.
Du kan hantera begäranden om medgivande och privata slutpunkter för din Web PubSub-resurs på fliken Privata slutpunkter i Azure Portal.
Dricks
Om du vill begränsa åtkomsten till din Web PubSub-resurs endast via den privata slutpunkten konfigurerar du nätverksåtkomstkontroll för att neka eller kontrollera åtkomst via den offentliga slutpunkten.
Ansluta till en privat slutpunkt
Klienter på ett virtuellt nätverk som använder en privat slutpunkt bör använda samma anslutningssträng för den Web PubSub-resurs som klienter som ansluter via en offentlig slutpunkt använder. Vi förlitar oss på DNS-matchning (Domain Name System) för att automatiskt dirigera anslutningarna från det virtuella nätverket till Web PubSub via en privat länk.
Viktigt!
Använd samma anslutningssträng för att ansluta till Web PubSub med hjälp av privata slutpunkter som du skulle använda för en offentlig slutpunkt. Anslut inte till Web PubSub med hjälp av dess privatelink underdomän-URL.
Vi skapar en privat DNS-zon som är kopplad till det virtuella nätverket med nödvändiga uppdateringar för de privata slutpunkterna som standard. Om du använder din egen DNS-server kan du behöva göra andra ändringar i DNS-konfigurationen. I nästa avsnitt beskrivs de uppdateringar som krävs för privata slutpunkter.
DNS-ändringar för privata slutpunkter
När du skapar en privat slutpunkt uppdateras DNS CNAME-resursposten för din Web PubSub-resurs till ett alias i en underdomän som har prefixet privatelink. Som standard skapar vi också en privat DNS-zon som motsvarar underdomänen privatelink , med DNS A-resursposterna för de privata slutpunkterna.
När du löser ditt Web PubSub-resursdomännamn utanför det virtuella nätverket med den privata slutpunkten matchas det mot den offentliga slutpunkten för Web PubSub-resursen. När det löses från det virtuella nätverk som är värd för den privata slutpunkten matchas domännamnet till den privata slutpunktens IP-adress.
I föregående illustrerade exempel registrerar DNS-resursen för Web PubSub-resursen sample när den matchas utanför det virtuella nätverk som är värd för den privata slutpunkten:
| Namn | Typ | Värde |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | <Offentlig IP-adress för Web PubSub> |
Du kan neka eller kontrollera åtkomst för klienter utanför det virtuella nätverket via den offentliga slutpunkten med hjälp av nätverksåtkomstkontroll.
DNS-resursposterna för Web PubSub-resursen sample när den matchas av en klient i det virtuella nätverk som är värd för den privata slutpunkten liknar det här exemplet:
| Namn | Typ | Värde |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Den här metoden ger åtkomst till Web PubSub genom att använda samma anslutningssträng för klienter på det virtuella nätverket som är värd för den privata slutpunkten och till klienter utanför det virtuella nätverket.
Om du använder en anpassad DNS-server i nätverket måste klienterna kunna matcha det fullständigt kvalificerade domännamnet (FQDN) för Web PubSub-resursslutpunkten till ip-adressen för den privata slutpunkten. Du bör konfigurera DNS-servern för att delegera din privata länkunderdomän till den privata DNS-zonen för det virtuella nätverket eller konfigurera A-posterna för att använda ip-adressen för sample.privatelink.webpubsub.azure.com den privata slutpunkten.
Dricks
Om du använder en anpassad eller lokal DNS-server bör du konfigurera DNS-servern för att matcha resursnamnet Web PubSub i underdomänen privatelink till IP-adressen för den privata slutpunkten. Du kan göra detta genom att delegera underdomänen privatelink till den privata DNS-zonen i det virtuella nätverket eller genom att konfigurera DNS-zonen på DNS-servern och sedan lägga till DNS A-posterna.
Vi rekommenderar att du använder privatelink.webpubsub.azure.com för DNS-zonnamnet för privata slutpunkter i en Web PubSub-resurs.
Mer information om hur du konfigurerar din egen DNS-server för att stödja privata slutpunkter finns i följande artiklar:
Skapa en privat slutpunkt
I följande avsnitt beskrivs hur du skapar en privat slutpunkt och en ny instans av Web PubSub och hur du skapar en privat slutpunkt för en befintlig instans av Web PubSub.
Skapa en privat slutpunkt i en ny instans av Web PubSub
I Azure Portal skapar du en ny instans av Azure Web PubSub. På fliken Nätverk går du till Anslutningsmetod och väljer Privat slutpunkt.
Markera Lägga till. Välj eller ange prenumerationen, resursgruppens namn, Azure-regionen och ett namn för den nya privata slutpunkten. Välj ett virtuellt nätverk och undernät som ska användas.
Välj Granska + skapa.
Skapa en privat slutpunkt för en befintlig Web PubSub-resurs
I Azure Portal går du till din Web PubSub-resurs.
På den vänstra menyn under Inställningar väljer du Privata slutpunktsanslutningar.
Välj Privat slutpunkt.
Välj eller ange värden för prenumeration, resursgrupp, resursnamn och region för den nya privata slutpunkten.
Välj målresursen Web PubSub.
Välj det virtuella målnätverket.
Välj Granska + skapa.
Prissättning
Prisinformation finns i Priser för Azure Private Link.
Kända problem
Tänk på följande kända problem med att använda privata slutpunkter i Web PubSub.
Begränsningar på den kostnadsfria nivån
En Azure Web PubSub-instans som skapas med hjälp av den kostnadsfria nivån kan inte integreras med en privat slutpunkt.
Åtkomstbegränsningar för klienter i virtuella nätverk med privata slutpunkter
Klienter i virtuella nätverk som har befintliga privata slutpunkter har begränsningar när de får åtkomst till andra Web PubSub-instanser som har privata slutpunkter. Till exempel har ett VNet N1 en privat slutpunkt för en Web PubSub-instans W1. Om Web PubSub-instansen W2 har en privat slutpunkt i ett VNet N2 måste klienter i VNet N1 också komma åt Web PubSub-instansen W2 med hjälp av en privat slutpunkt.
Om Web PubSub-instansen W2 inte har några privata slutpunkter kan klienter i VNet N1 komma åt Web PubSub-resursen i det kontot utan att använda en privat slutpunkt. Den här begränsningen är ett resultat av DE DNS-ändringar som gjordes när Web PubSub-instansen W2 skapar en privat slutpunkt.