Přístup ke službě Key Vault v privátní síti prostřednictvím sdílených privátních koncových bodů

Služba Azure Web PubSub má přístup ke službě Key Vault v privátní síti prostřednictvím připojení sdílených privátních koncových bodů. V tomto článku se dozvíte, jak nakonfigurovat instanci služby Web PubSub tak, aby směrovat odchozí volání do trezoru klíčů prostřednictvím sdíleného privátního koncového bodu místo veřejné sítě.

Privátní koncové body zabezpečených prostředků vytvořených prostřednictvím rozhraní API služby Azure Web PubSub se označují jako sdílené prostředky privátního propojení. Důvodem je to, že sdílíte přístup k prostředku, jako je azure Key Vault, který je integrovaný se službou Azure Private Link. Tyto privátní koncové body se vytvářejí v spouštěcím prostředí služby Azure Web PubSub a nejsou pro vás přímo viditelné.

Poznámka:

Příklady v tomto článku používají následující ID prostředků:

• ID prostředku této služby Azure Web PubSub je _/subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub .
• ID prostředku služby Azure Key Vault je /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

V následujících krocích nahraďte ID prostředků vaší služby Azure Web PubSub a služby Azure Key Vault.

Předpoklady

• Pokud předplatné Azure nemáte, vytvořte si [bezplatný účet]. (https://azure.microsoft.com/free/?WT.mc_id=A261C142F).
• Azure CLI 2.25.0 nebo novější (pokud používáte Azure CLI)._
• Instance služby Azure Web PubSub v cenové úrovni Standard nebo vyšší
• Prostředek služby Azure Key Vault.

1. Vytvoření prostředku sdíleného privátního koncového bodu do služby Key Vault

Azure Portal

1. Na webu Azure Portal přejděte na stránku prostředku azure Web PubSub Service.

2. V nabídce vyberte Sítě .

3. Vyberte kartu Soukromý přístup.

4. Vyberte Přidat sdílený privátní koncový bod.

   

5. Zadejte název sdíleného privátního koncového bodu.

6. Zadejte prostředek trezoru klíčů tak, že vyberete ze svých prostředků a vyberete prostředek ze seznamů, nebo zvolíte Zadat ID prostředku a zadáte ID prostředku trezoru klíčů.

7. Zadejte prosím schválenízprávy Žádosti.

8. Vyberte Přidat.

   

Stav zřizování prostředků sdíleného privátního koncového bodu je úspěšný. Stav připojení čeká na schválení na straně cílového prostředku.

Azure CLI

Pomocí Azure CLI můžete provést následující volání rozhraní API, které vytvoří prostředek sdíleného privátního propojení. uri Nahraďte vlastní hodnotou.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Obsah souboru create-pe.json, který představuje text požadavku rozhraní API, je následující:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Proces vytvoření odchozího privátního koncového bodu je dlouhotrvající (asynchronní) operace. Stejně jako ve všech asynchronních operacích PUT Azure volání vrátí Azure-AsyncOperation hodnotu hlavičky, která vypadá jako následující výstup:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Tento identifikátor URI můžete pravidelně dotazovat, abyste získali stav operace. Než budete pokračovat k dalším krokům, počkejte, až se stav změní na Úspěch.

Stav můžete dotazovat ručním dotazem na Azure-AsyncOperationHeader hodnotu:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

2. Schválení připojení privátního koncového bodu pro key Vault

Po vytvoření připojení privátního koncového bodu je potřeba schválit žádost o připojení ze služby Azure Web PubSub v prostředku trezoru klíčů.

Azure Portal

1. Na webu Azure Portal přejděte na stránku prostředku trezoru klíčů.

2. V nabídce vyberte Sítě .

3. Vyberte Připojení privátních koncových bodů.

   

4. Vyberte privátní koncový bod, který vytvořila služba Azure Web PubSub.

5. Potvrďte výběr možnosti Schválit a Ano .

6. Počkejte na schválení připojení privátního koncového bodu.

   

Azure CLI

1. Vypíše připojení privátního koncového bodu.

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Mělo by existovat nevyřízené připojení privátního koncového bodu. Poznamenejte si jeho id.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Schvalte připojení privátního koncového bodu.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

3. Dotaz na stav sdíleného prostředku privátního propojení

Rozšíření schválení do služby Azure Web PubSub trvá několik minut. Stav můžete zkontrolovat pomocí webu Azure Portal nebo Azure CLI. Sdílený privátní koncový bod mezi službou Azure Web PubSub a službou Azure Key Vault je aktivní při schválení stavu kontejneru.

Azure Portal

1. Na webu Azure Portal přejděte k prostředku služby Azure Web PubSub.

2. V nabídce vyberte Sítě .

3. Vyberte Sdílené prostředky privátního propojení.

   

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Tento příkaz vrátí JSON, kde se stav připojení zobrazí jako stav v části Vlastnosti.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Pokud je Succeeded "Stav zřizování" (properties.provisioningState) prostředku a stav Připojení ion (properties.status) je Approved, je prostředek sdíleného privátního propojení funkční a služba Azure Web PubSub může komunikovat přes privátní koncový bod.

Teď můžete nakonfigurovat funkce, jako je vlastní doména, jako obvykle. Pro Službu Key Vault nemusíte používat speciální doménu. Služba Azure Web PubSub automaticky zpracovává překlad DNS.

Další kroky

Další informace:

• Co jsou privátní koncové body?
• Konfigurace vlastní domény