Få åtkomst till ett nyckelvalv i ett privat nätverk via delade privata slutpunkter

Azure Web PubSub kan komma åt ett nyckelvalv i ett privat nätverk via delade privata slutpunktsanslutningar. Den här artikeln visar hur du konfigurerar din Web PubSub-resurs för att dirigera utgående anrop till ett nyckelvalv via en delad privat slutpunkt i stället för via ett offentligt nätverk.

Privata slutpunkter för skyddade resurser som skapats via Azure Web PubSub-API:er kallas delade privata länkresurser. Du "delar" åtkomst till en resurs, till exempel en instans av Azure Key Vault, som är integrerad med Azure Private Link. Dessa privata slutpunkter skapas i körningsmiljön Web PubSub och är inte direkt synliga för dig.

Kommentar

Exemplen i den här artikeln använder följande resurs-ID:

• Resurs-ID:t för den här Azure Web PubSub-instansen är _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub.
• Resurs-ID för Azure Key Vault-instansen är /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Om du vill använda stegen i följande exempel ersätter du dessa värden med ditt eget prenumerations-ID, namnet på din Web PubSub-resurs och namnet på din Azure Key Vault-resurs.

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
• Azure CLI 2.25.0 eller senare (om du använder Azure CLI).
• En Azure Web PubSub-instans på en lägsta standardprisnivå.
• En Azure Key Vault-resurs.

Skapa en delad privat slutpunktsresurs till nyckelvalvet

Azure-portalen

1. I Azure Portal går du till din Azure Web PubSub-resurs.

2. Välj Nätverk på den vänstra menyn.

3. Välj fliken Privat åtkomst .

4. Välj Lägg till delad privat slutpunkt.

   

5. Som Namn anger du ett namn som ska användas för den delade privata slutpunkten.

6. Utför något av följande steg för att välja din nyckelvalvsresurs:

   • Välj Välj från dina resurser och välj resursen i listorna.
   • Välj Ange resurs-ID och ange ditt nyckelvalvsresurs-ID.

7. För Begärandemeddelande anger du Godkänn.

8. Markera Lägga till.

   

Etableringstillståndet för resursetablering för delad privat slutpunkt har slutförts. Anslutningstillståndet är Väntande och väntar på godkännande för målresursen.

Azure CLI

Du kan göra följande API-anrop med Azure CLI för att skapa en resurs för delad privat länk. Ersätt värdet uri med URI:n i ditt scenario.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Innehållet i create-pe.json-filen representerar begärandetexten till API:et:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Processen att skapa en utgående privat slutpunkt är en tidskrävande (asynkron) åtgärd. Precis som i alla asynkrona Azure-åtgärder returnerar PUT-anropet ett Azure-AsyncOperation huvudvärde som ser ut som i följande exempel:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Du kan avsöka den här URI:n med jämna mellanrum för att få status för åtgärden. Vänta tills statusen har ändrats till "Lyckades" innan du fortsätter till nästa avsnitt.

Om du vill söka efter statusen frågar du manuellt efter Azure-AsyncOperationHeader värdet:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

Godkänn den privata slutpunktsanslutningen för nyckelvalvet

När den privata slutpunktsanslutningen har skapats måste anslutningsbegäran från Web PubSub godkännas i Key Vault-resursen.

Azure-portalen

1. Gå till nyckelvalvsresursen i Azure-portalen.

2. Välj Nätverk på den vänstra menyn.

3. Välj Privata slutpunktsanslutningar.

   

4. Välj den privata slutpunkt som Web PubSub skapade.

5. Välj Godkänn och välj sedan Ja för att bekräfta.

   Det kan ta några minuter innan anslutningsstatusen för den privata slutpunkten ändras till Godkänd.

   

Azure CLI

1. Lista privata slutpunktsanslutningar:

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Sök efter en väntande privat slutpunktsanslutning. Observera anslutnings-ID:t.

   [
       {
           "id": "<ID>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Godkänn den privata slutpunktsanslutningen:

   az network private-endpoint-connection approve --id <private-endpoint-connection-ID>
   

Fråga efter status för resursen för delad privat länk

Det tar några minuter innan godkännandet sprids till Azure Web PubSub Service. Du kan kontrollera tillståndet med antingen Azure Portal eller Azure CLI. Den delade privata slutpunkten mellan Azure Web PubSub Service och Azure Key Vault är aktiv när containertillståndet godkänns.

Azure-portalen

1. I Azure Portal går du till din Azure Web PubSub-resurs.

2. Välj Nätverk på den vänstra menyn.

3. Välj Delade privata länkresurser.

   

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Det här kommandot returnerar JSON. Anslutningstillståndet anges i status under properties.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

När properties.provisioningState är Succeeded och properties.status (anslutningstillståndet) är Approvedfungerar resursen för delad privat länk och Web PubSub kan kommunicera via den privata slutpunkten.

Nu kan du konfigurera funktioner som en anpassad domän som vanligt. Du behöver inte använda en särskild domän för ditt nyckelvalv. Web PubSub hanterar automatiskt DNS-matchning (Domain Name System).

Relaterat innehåll

• Vad är en privat slutpunkt?
• Konfigurera ett anpassat domännamn