Sdílet prostřednictvím

Konfigurace vlastní domény pro službu Azure Web PubSub

  • Článek

Kromě výchozí domény poskytované službou Azure Web PubSub Můžete také přidat vlastní doménu. Vlastní doména je název domény, který vlastníte a spravujete. Pro přístup k prostředku služby Azure Web PubSub můžete použít vlastní doménu. Místo přístupu k prostředku služby Azure Web PubSub Můžete například použít contoso.example.comcontoso.webpubsub.azure.com .

Požadavky

  • Účet Azure s aktivním předplatným. Pokud účet Azure nemáte, můžete si ho zdarma vytvořit.
  • Služba Azure Web PubSub (musí být úroveň Premium).
  • Prostředek služby Azure Key Vault.
  • Vlastní certifikát odpovídající vlastní doméně, která je uložená ve službě Azure Key Vault.

Přidání vlastního certifikátu

Než budete moct přidat vlastní doménu, musíte nejprve přidat odpovídající vlastní certifikát. Vlastní certifikát je prostředek vaší služby Azure Web PubSub. Odkazuje na certifikát ve službě Azure Key Vault. Z důvodů zabezpečení a dodržování předpisů služba Azure Web PubSub trvale neukládá váš certifikát. Místo toho ho průběžně načítá ze služby Key Vault a uchovává ji v paměti.

Krok 1: Udělení přístupu k prostředku služby Azure Web PubSub Service službě Key Vault

Služba Azure Web PubSub používá spravovanou identitu pro přístup ke službě Key Vault. Aby bylo možné autorizovat, musí mít udělená oprávnění.

  1. Na webu Azure Portal přejděte k prostředku služby Azure Web PubSub.

  2. V podokně nabídek vyberte Možnost Identita.

  3. Můžete vybrat identitu přiřazenou systémem nebo přiřazenou uživatelem. Pokud chcete použít identitu přiřazenou uživatelem, musíte nejprve vytvořit jednu identitu.

    1. Přidání identity přiřazené systémem

      1. Vyberte Zapnuto.
      2. Potvrďte výběrem možnosti Ano.
      3. Zvolte Uložit.

      Screenshot of enabling system assigned managed identity.

    2. Přidání identity přiřazené uživatelem;

      1. Vyberte Přidat spravovanou identitu přiřazenou uživatelem.
      2. Vyberte existující identitu.
      3. Vyberte Přidat.

      Screenshot of enabling user assigned managed identity.

  4. Zvolte Uložit.

V závislosti na tom, jak nakonfigurujete model oprávnění služby Key Vault, budete možná muset udělit oprávnění na různých místech.

Pokud jako model oprávnění služby Key Vault používáte předdefinované zásady přístupu služby Key Vault:

Screenshot of built-in access policy selected as Key Vault permission model.

  1. Přejděte k prostředku služby Key Vault.

  2. V podokně nabídek vyberte konfiguraci aplikace Access.

  3. Vyberte zásady přístupu trezoru.

  4. Vyberte Přejít k zásadám přístupu.

  5. Vyberte Vytvořit.

  6. Vyberte oprávnění Pro získání tajného kódu.

  7. Vyberte Oprávnění Získat certifikát.

  8. Vyberte Další.

    Screenshot of permissions selection in Key Vault.

  9. Vyhledejte název prostředku služby Azure Web PubSub.

  10. Vyberte Další.

    Screenshot of principal selection in Key Vault.

  11. Na kartě Aplikace vyberte Další.

  12. Vyberte Vytvořit.

Krok 2: Vytvoření vlastního certifikátu

  1. Na webu Azure Portal přejděte k prostředku služby Azure Web PubSub.

  2. V podokně nabídek vyberte Vlastní doména.

  3. V části Vlastní certifikát vyberte Přidat.

    Screenshot of custom certificate management.

  4. Zadejte název vlastního certifikátu.

  5. Výběrem možnosti Vybrat ze služby Key Vault zvolte certifikát služby Key Vault. Po výběru následujícího základního identifikátoru URI služby Key Vault se automaticky vyplní název tajného klíče služby Key Vault. Případně můžete tato pole vyplnit také ručně.

  6. Volitelně můžete zadat verzi tajného kódu služby Key Vault, pokud chcete certifikát připnout na konkrétní verzi.

  7. Vyberte Přidat.

    Screenshot of adding a custom certificate.

Služba Azure Web PubSub načte certifikát a ověří jeho obsah. Po úspěšném dokončení bude stav zřizování certifikátu úspěšný.

Screenshot of an added custom certificate.

Vytvoření vlastní domény CNAME

Pokud chcete ověřit vlastnictví vlastní domény, musíte vytvořit záznam CNAME pro vlastní doménu a nasměrovat ho na výchozí doménu služby Azure Web PubSub.

Pokud je například výchozí doména a vaše vlastní doména jecontoso.webpubsub.azure.comcontoso.example.com, musíte vytvořit záznam CNAME taktoexample.com:

contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com.

Pokud používáte zónu Azure DNS, přečtěte si téma Správa záznamů DNS a zjistěte, jak přidat záznam CNAME.

Screenshot of adding a CNAME record in Azure DNS Zone.

Pokud používáte jiné poskytovatele DNS, vytvořte záznam CNAME podle průvodce poskytovatelem.

Přidání vlastní domény

Vlastní doména je dalším dílčím prostředkem vaší služby Azure Web PubSub. Obsahuje všechny konfigurace pro vlastní doménu.

  1. Na webu Azure Portal přejděte k prostředku služby Azure Web PubSub.

  2. V podokně nabídek vyberte Vlastní doména.

  3. V části Vlastní doména vyberte Přidat.

    Screenshot of custom domain management.

  4. Zadejte název vlastní domény. Jedná se o název podnabídky.

  5. Zadejte název domény. Jedná se například o úplný název domény vaší vlastní domény contoso.com.

  6. Vyberte vlastní certifikát, který se vztahuje na tuto vlastní doménu.

  7. Vyberte Přidat.

    Screenshot of adding a custom domain.

Ověření vlastní domény

Teď můžete přistupovat ke koncovému bodu služby Azure Web PubSub přes vlastní doménu. Pokud ho chcete ověřit, můžete získat přístup k rozhraní API pro stav.

Tady je příklad použití cURL:

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK
...
PS C:\>

Rozhraní API stavu by mělo vrátit 200 stavový kód bez jakékoli chyby certifikátu.

Key Vault v privátní síti

Pokud jste pro službu Key Vault nakonfigurovali privátní koncový bod , nemůže služba Azure Web PubSub přistupovat ke službě Key Vault přes veřejnou síť. Potřebujete nastavit sdílený privátní koncový bod , který umožní službě Azure Web PubSub přístup ke službě Key Vault přes privátní síť.

Po vytvoření sdíleného privátního koncového bodu můžete vytvořit vlastní certifikát jako obvykle. V identifikátoru URI služby Key Vault nemusíte měnit doménu. Pokud je například základní identifikátor URI https://contoso.vault.azure.netslužby Key Vault, stále tento identifikátor URI použijete ke konfiguraci vlastního certifikátu.

V nastavení brány firewall služby Key Vault nemusíte explicitně povolovat IP adresy služby Azure Web PubSub. Další informace najdete v tématu Diagnostika privátního propojení služby Key Vault.

Obměně certifikátů

Pokud při vytváření vlastního certifikátu nezadáte verzi tajného kódu, služba Azure Web PubSub pravidelně kontroluje nejnovější verzi ve službě Key Vault. Když se zobrazí nová verze, použije se automaticky. Zpoždění je obvykle do 1 hodiny.

Případně můžete vlastní certifikát připnout také ke konkrétní verzi tajného kódu ve službě Key Vault. Pokud potřebujete použít nový certifikát, můžete upravit verzi tajného kódu a pak proaktivně aktualizovat vlastní certifikát.

Další kroky