Použití privátních koncových bodů pro službu Azure Web PubSub
Privátní koncové body pro službu Azure Web PubSub můžete použít k tomu, aby klienti ve virtuální síti (VNet) mohli bezpečně přistupovat k datům přes Private Link. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro vaši službu Azure Web PubSub. Síťový provoz mezi klienty ve virtuální síti a službou Azure Web PubSub prochází přes privátní propojení v páteřní síti Microsoftu, čímž se eliminuje vystavení z veřejného internetu.
Použití privátních koncových bodů pro službu Azure Web PubSub umožňuje:
- Zabezpečte službu Azure Web PubSub pomocí řízení přístupu k síti a zablokujte všechna připojení ve veřejném koncovém bodu pro službu Azure Web PubSub.
- Zvyšte zabezpečení virtuální sítě tím, že umožníte blokovat exfiltraci dat z virtuální sítě.
- Bezpečně se připojte ke službě Azure Web PubSub z místních sítí, které se připojují k virtuální síti pomocí sítě VPN nebo ExpressRoutes s privátním partnerským vztahem.
Koncepční přehled
Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti . Když vytvoříte privátní koncový bod pro službu Azure Web PubSub, poskytuje zabezpečené připojení mezi klienty ve vaší virtuální síti a vaší službou. Privátní koncový bod má přiřazenou IP adresu z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a službou Azure Web PubSub používá zabezpečené privátní propojení.
Aplikace ve virtuální síti se můžou bez problémů připojit ke službě Azure Web PubSub přes privátní koncový bod pomocí stejných připojovací řetězec a autorizačních mechanismů, které by jinak používaly. Privátní koncové body je možné použít se všemi protokoly podporovanými službou Azure Web PubSub, včetně rozhraní REST API.
Když ve virtuální síti vytvoříte privátní koncový bod pro službu Azure Web PubSub, odešle se žádost o souhlas ke schválení vlastníkovi služby Azure Web PubSub. Pokud je uživatel, který žádá o vytvoření privátního koncového bodu, také vlastníkem služby Azure Web PubSub, bude tato žádost o souhlas automaticky schválena.
Vlastníci služeb Azure Web PubSub můžou spravovat žádosti o souhlas a privátní koncové body prostřednictvím karty Privátní koncové body pro službu Azure Web PubSub na webu Azure Portal.
Tip
Pokud chcete omezit přístup ke službě Azure Web PubSub pouze prostřednictvím privátního koncového bodu, nakonfigurujte řízení přístupu k síti tak, aby odepřel nebo řídil přístup prostřednictvím veřejného koncového bodu.
Připojení do privátních koncových bodů
Klienti ve virtuální síti používající privátní koncový bod by měli používat stejnou připojovací řetězec pro službu Azure Web PubSub jako klienti připojující se k veřejnému koncovému bodu. Při automatickém směrování připojení z virtuální sítě do služby Azure Web PubSub přes privátní propojení spoléháme na překlad DNS.
Důležité
Stejný připojovací řetězec použijte pro připojení ke službě Azure Web PubSub pomocí privátních koncových bodů, jak byste použili v opačném případě. Pomocí adresy privatelink URL subdomény se prosím nepřipojujte ke službě Azure Web PubSub.
Ve výchozím nastavení vytvoříme privátní zónu DNS připojenou k virtuální síti s potřebnými aktualizacemi privátních koncových bodů. Pokud ale používáte vlastní server DNS, možná budete muset provést další změny konfigurace DNS. Část o změnách DNS níže popisuje aktualizace vyžadované pro privátní koncové body.
Změny DNS pro privátní koncové body
Při vytváření privátního koncového bodu se záznam prostředku DNS CNAME pro vaši službu Azure Web PubSub aktualizuje na alias v subdoméně s předponou privatelink. Ve výchozím nastavení vytvoříme také privátní zónu DNS odpovídající privatelink subdoméně se záznamy prostředků DNS A pro privátní koncové body.
Když přeložíte název domény služby Azure Web PubSub mimo virtuální síť s privátním koncovým bodem, přeloží se na veřejný koncový bod služby Azure Web PubSub. Při překladu z virtuální sítě hostující privátní koncový bod se název domény přeloží na IP adresu privátního koncového bodu.
V uvedeném příkladu výše budou záznamy prostředků DNS pro službu Azure Web PubSub foobar při překladu mimo virtuální síť hostující privátní koncový bod:
| Name | Typ | Hodnota |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | <Veřejná IP adresa služby Azure Web PubSub> |
Jak jsme už zmínili dříve, můžete zakázat nebo řídit přístup klientů mimo virtuální síť prostřednictvím veřejného koncového bodu pomocí řízení přístupu k síti.
Záznamy prostředků DNS pro "foobar" při překladu klientem ve virtuální síti, která je hostitelem privátního koncového bodu, bude následující:
| Name | Typ | Hodnota |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Tento přístup umožňuje přístup ke službě Azure Web PubSub pomocí stejného připojovací řetězec pro klienty ve virtuální síti hostující privátní koncové body a klienty mimo virtuální síť.
Pokud ve své síti používáte vlastní server DNS, klienti musí být schopni přeložit plně kvalifikovaný název domény koncového bodu služby Azure Web PubSub na IP adresu privátního koncového bodu. Server DNS byste měli nakonfigurovat tak, aby delegovali subdoménu privátního propojení do privátní zóny DNS pro virtuální síť nebo nakonfigurovali záznamy A s foobar.privatelink.webpubsub.azure.com IP adresou privátního koncového bodu.
Tip
Při použití vlastního nebo místního serveru DNS byste měli nakonfigurovat server DNS tak, aby přeložil název služby Azure Web PubSub v privatelink subdoméně na IP adresu privátního koncového bodu. Můžete to udělat tak, že delegujete privatelink subdoménu do privátní zóny DNS virtuální sítě nebo nakonfigurujete zónu DNS na serveru DNS a přidáte záznamy DNS A.
Doporučený název zóny DNS pro privátní koncové body pro službu Azure Web PubSub je: privatelink.webpubsub.azure.com.
Další informace o konfiguraci vlastního serveru DNS pro podporu privátních koncových bodů najdete v následujících článcích:
Vytvoření privátního koncového bodu
Vytvoření privátního koncového bodu spolu s novou službou Azure Web PubSub na webu Azure Portal
Při vytváření nové služby Azure Web PubSub vyberte kartu Sítě. Jako metodu připojení zvolte privátní koncový bod.
Vyberte Přidat. Vyplňte předplatné, skupinu prostředků, umístění, název nového privátního koncového bodu. Zvolte virtuální síť a podsíť.
Vyberte Zkontrolovat a vytvořit.
Vytvoření privátního koncového bodu pro existující službu Azure Web PubSub na webu Azure Portal
Přejděte do služby Azure Web PubSub.
Vyberte v nabídce nastavení s názvem Připojení privátního koncového bodu.
Nahoře vyberte tlačítko + privátní koncový bod .
Vyplňte předplatné, skupinu prostředků, název prostředku a oblast pro nový privátní koncový bod.
Zvolte cílový prostředek služby Azure Web PubSub.
Volba cílové virtuální sítě
Vyberte Zkontrolovat a vytvořit.
Ocenění
Podrobnosti o cenách najdete v tématu s cenami služby Azure Private Link.
Známé problémy
Mějte na paměti následující známé problémy týkající se privátních koncových bodů pro službu Azure Web PubSub.
Úroveň Free
Instance úrovně Free služby Azure Web PubSub se nemůže integrovat s privátním koncovým bodem.
Omezení přístupu pro klienty ve virtuálních sítích s privátními koncovými body
Klienti ve virtuálních sítích s existujícími privátními koncovými body čelí omezením při přístupu k jiným instancím služby Azure Web PubSub, které mají privátní koncové body. Předpokládejme například, že virtuální síť N1 má privátní koncový bod pro instanci služby Azure Web PubSub W1. Pokud má služba Azure Web PubSub W2 privátní koncový bod ve virtuální síti N2, klienti ve virtuální síti N1 musí také přistupovat ke službě Azure Web PubSub W2 pomocí privátního koncového bodu. Pokud služba Azure Web PubSub W2 nemá žádné privátní koncové body, můžou klienti ve virtuální síti N1 přistupovat ke službě Azure Web PubSub v daném účtu bez privátního koncového bodu.
Toto omezení je výsledkem změn DNS provedených při vytvoření privátního koncového bodu služby Azure Web PubSub W2.