Zugreifen auf Key Vault in einem privaten Netzwerk über freigegebene private Endpunkte
Azure SignalR Service kann über freigegebene private Endpunkte auf Ihre Key Vault-Instanz in einem privaten Netzwerk zugreifen. Auf diese Weise wird Ihr Key Vault nicht in einem öffentlichen Netzwerk verfügbar gemacht.
Über Azure SignalR Service-APIs können Sie private Endpunkte für den gemeinsamen Zugriff auf eine Ressource erstellen, die in den Azure Private Link-Dienst integriert ist. Diese als freigegebene Private Link-Ressourcen bezeichneten Endpunkte werden innerhalb der SignalR-Ausführungsumgebung erstellt und sind außerhalb dieser Umgebung nicht zugänglich.
In diesem Artikel erfahren Sie, wie Sie einen freigegebenen privaten Endpunkt für Key Vault erstellen.
Voraussetzungen
Sie benötigen die folgenden Ressourcen, um diesen Artikel abzuschließen:
- Eine Azure-Ressourcengruppe.
- Eine Instanz von Azure SignalR Service.
- Eine Azure Key Vault-Instanz.
In den Beispielen in diesem Artikel wird die folgende Namenskonvention verwendet, jedoch können Sie stattdessen Ihre eigenen Namen verwenden.
- Die Ressourcen-ID dieses Azure SignalR-Diensts ist /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
- Die Ressourcen-ID von Azure Key Vault lautet /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.
- In den restlichen Beispielen wird gezeigt, wie der Dienst contoso-signalr so konfiguriert werden kann, dass seine ausgehenden Aufrufe an Key Vault über einen privaten Endpunkt statt über ein öffentliches Netzwerk übertragen werden.
Erstellen einer freigegebenen privaten Link-Ressource zum Key Vault
Wechseln Sie im Azure-Portal zu Ihrer Azure SignalR Service-Ressource.
Wählen Sie Netzwerk aus.
Wählen Sie die Registerkarte Privater Zugriff aus.
Wählen Sie im Abschnitt Freigegebene private Endpunkte die Option Freigegebenen privaten Endpunkt hinzufügen aus.
Geben Sie Folgendes ein:
Feld Beschreibung Name Der Name des freigegebenen privaten Endpunkts. Typ Auswählen von Microsoft.KeyVault/Vaults Abonnement Das Abonnement, das Ihren Key Vault enthält. Ressource Geben Sie den Namen Ihrer Key Vault-Ressource ein. Anforderungsnachricht Geben Sie "Bitte genehmigen" ein. Klicken Sie auf Hinzufügen.
Wenn Sie den privaten Endpunkt erfolgreich hinzugefügt haben, lautet der Bereitstellungsstatus Erfolgreich. Der Verbindungsstatus ist Ausstehend, bis Sie den Endpunkt auf der Key Vault-Seite genehmigen.
Genehmigen der privaten Endpunktverbindung für den Key Vault
Navigieren Sie zu Ihrer Key Vault-Ressource
Wählen Sie Netzwerk aus.
Wählen Sie die Registerkarte Private Endpunktverbindungen aus. Nachdem der asynchrone Vorgang erfolgreich ausgeführt wurde, sollte eine Anforderung für eine private Endpunktverbindung mit der Anforderungsnachricht aus dem vorherigen API-Aufruf vorliegen.
Wählen Sie den privaten Endpunkt aus, den SignalR Service erstellt hat, und wählen Sie dann Genehmigen aus.
Wählen Sie Ja aus, um die Verbindung zu genehmigen.
Überprüfen, ob der freigegebene private Endpunkt funktionsfähig ist
Nach einigen Minuten wird die Genehmigung an den SignalR-Dienst weitergegeben, und der Verbindungsstatus wird auf Genehmigt festgelegt. Sie können den Status mithilfe des Azure-Portals oder der Azure CLI überprüfen.
Wenn der private Endpunkt zwischen SignalR Service und Azure Key Vault funktionsfähig ist, lautet der Wert des Bereitstellungsstatus Erfolgreich, und der Verbindungsstatus ist Genehmigt.
Bereinigung
Wenn Sie nicht vorhaben, die in diesem Artikel erstellten Ressourcen zu verwenden, können Sie die Ressourcengruppe löschen.
Achtung
Beim Löschen der Ressourcengruppe werden alle darin enthaltenen Ressourcen gelöscht. Falls in der angegebenen Ressourcengruppe Ressourcen enthalten sind, die nicht zum Umfang dieses Artikels gehören, werden sie ebenfalls gelöscht.