Zugreifen auf Key Vault in einem privaten Netzwerk über freigegebene private Endpunkte

Azure SignalR Service kann über freigegebene private Endpunkte auf Ihre Key Vault-Instanz in einem privaten Netzwerk zugreifen. Auf diese Weise wird Ihr Key Vault nicht in einem öffentlichen Netzwerk verfügbar gemacht.

Über Azure SignalR Service-APIs können Sie private Endpunkte für den gemeinsamen Zugriff auf eine Ressource erstellen, die in den Azure Private Link-Dienst integriert ist. Diese als freigegebene Private Link-Ressourcen bezeichneten Endpunkte werden innerhalb der SignalR-Ausführungsumgebung erstellt und sind außerhalb dieser Umgebung nicht zugänglich.

In diesem Artikel erfahren Sie, wie Sie einen freigegebenen privaten Endpunkt für Key Vault erstellen.

Voraussetzungen

Sie benötigen die folgenden Ressourcen, um diesen Artikel abzuschließen:

• Eine Azure-Ressourcengruppe.
• Eine Instanz von Azure SignalR Service.
• Eine Azure Key Vault-Instanz.

In den Beispielen in diesem Artikel wird die folgende Namenskonvention verwendet, jedoch können Sie stattdessen Ihre eigenen Namen verwenden.

• Die Ressourcen-ID dieses Azure SignalR-Diensts ist /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• Die Ressourcen-ID von Azure Key Vault lautet /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.
• In den restlichen Beispielen wird gezeigt, wie der Dienst contoso-signalr so konfiguriert werden kann, dass seine ausgehenden Aufrufe an Key Vault über einen privaten Endpunkt statt über ein öffentliches Netzwerk übertragen werden.

Erstellen einer freigegebenen privaten Link-Ressource zum Key Vault

Azure portal

1. Wechseln Sie im Azure-Portal zu Ihrer Azure SignalR Service-Ressource.

2. Wählen Sie Netzwerk aus.

3. Wählen Sie die Registerkarte Privater Zugriff aus.

4. Wählen Sie im Abschnitt Freigegebene private Endpunkte die Option Freigegebenen privaten Endpunkt hinzufügen aus.

   

   Geben Sie Folgendes ein:

   Feld	Beschreibung
   Name	Der Name des freigegebenen privaten Endpunkts.
   Typ	Auswählen von Microsoft.KeyVault/Vaults
   Abonnement	Das Abonnement, das Ihren Key Vault enthält.
   Ressource	Geben Sie den Namen Ihrer Key Vault-Ressource ein.
   Anforderungsnachricht	Geben Sie "Bitte genehmigen" ein.

5. Klicken Sie auf Hinzufügen.

   

Wenn Sie den privaten Endpunkt erfolgreich hinzugefügt haben, lautet der Bereitstellungsstatus Erfolgreich. Der Verbindungsstatus ist Ausstehend, bis Sie den Endpunkt auf der Key Vault-Seite genehmigen.

Azure-Befehlszeilenschnittstelle

Nehmen Sie den folgenden API-Aufruf an der Azure CLI vor, um eine freigegebene Private Link-Ressource zu erstellen:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json

Der Inhalt der Datei create-pe.json, die den Anforderungstext für die API darstellt, lautet so:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Der Prozess der Erstellung eines ausgehenden privaten Endpunkts ist ein zeitintensiver (asynchroner) Vorgang. Wie bei allen asynchronen Azure-Vorgängen gibt der PUT-Aufruf einen Azure-AsyncOperation-Headerwert zurück, der wie der folgende Text aussieht:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Sie können diesen URI in regelmäßigen Abständen abrufen, um den Status des Vorgangs zu erhalten.

Sie können den Status abrufen, indem Sie den Wert Azure-AsyncOperationHeader manuell abfragen:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Warten Sie, bis sich der Status in Erfolgreich ändert, bevor Sie mit den nächsten Schritten fortfahren.

Genehmigen der privaten Endpunktverbindung für den Key Vault

Azure portal

1. Navigieren Sie zu Ihrer Key Vault-Ressource

2. Wählen Sie Netzwerk aus.

3. Wählen Sie die Registerkarte Private Endpunktverbindungen aus. Nachdem der asynchrone Vorgang erfolgreich ausgeführt wurde, sollte eine Anforderung für eine private Endpunktverbindung mit der Anforderungsnachricht aus dem vorherigen API-Aufruf vorliegen.

4. Wählen Sie den privaten Endpunkt aus, den SignalR Service erstellt hat, und wählen Sie dann Genehmigen aus.

5. Wählen Sie Ja aus, um die Verbindung zu genehmigen.

   

Azure-Befehlszeilenschnittstelle

1. Listen Sie Verbindungen mit einem privaten Endpunkt auf:

   az network private-endpoint-connection list -n <key-vault-resource-name>  -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Eine ausstehende Verbindung mit privaten Endpunkten sollte vorhanden sein. Notieren Sie sich die ID.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Genehmigen der Verbindung mit einem privaten Endpunkt:

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Überprüfen, ob der freigegebene private Endpunkt funktionsfähig ist

Nach einigen Minuten wird die Genehmigung an den SignalR-Dienst weitergegeben, und der Verbindungsstatus wird auf Genehmigt festgelegt. Sie können den Status mithilfe des Azure-Portals oder der Azure CLI überprüfen.

Azure portal

Azure-Befehlszeilenschnittstelle

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

Der Befehl gibt ein JSON-Objekt zurück, in dem der Verbindungszustand im Abschnitt „Eigenschaften“ als „Status“ angezeigt wird.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Wenn der „Bereitstellungsstatus“ (properties.provisioningState) der Ressource Succeeded und der „Verbindungsstatus“ (properties.status) Approved lautet, bedeutet dies, dass die freigegebene Private Link-Ressource funktionsfähig ist und der Azure SignalR-Dienst über den privaten Endpunkt kommunizieren kann.

Wenn der private Endpunkt zwischen SignalR Service und Azure Key Vault funktionsfähig ist, lautet der Wert des Bereitstellungsstatus Erfolgreich, und der Verbindungsstatus ist Genehmigt.

Bereinigung

Wenn Sie nicht vorhaben, die in diesem Artikel erstellten Ressourcen zu verwenden, können Sie die Ressourcengruppe löschen.

Achtung

Beim Löschen der Ressourcengruppe werden alle darin enthaltenen Ressourcen gelöscht. Falls in der angegebenen Ressourcengruppe Ressourcen enthalten sind, die nicht zum Umfang dieses Artikels gehören, werden sie ebenfalls gelöscht.

Nächste Schritte

• Was sind private Endpunkte?
• Konfigurieren einer benutzerdefinierten Domäne