Verwenden privater Endpunkte für die Zugriffssteuerung
Sie können private Endpunkte für Ihre Azure Web PubSub-Ressource verwenden, um Clients in einem virtuellen Netzwerk (VNet) den sicheren Zugriff auf Daten über eine private Verbindung zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem VNet-Adressraum für Ihre Web PubSub-Ressource. Der Netzwerkdatenverkehr zwischen den Clients im VNet und der Web PubSub-Ressource wird über eine private Verbindung im Microsoft-Netzwerk geleitet, sodass keine Offenlegung im öffentlichen Internet erfolgt.
Die Verwendung privater Endpunkte für Ihre Web PubSub-Ressource hat folgende Vorteile:
- Schützen Sie Ihre Web PubSub-Ressource mithilfe der Netzwerkzugriffssteuerung, um alle Verbindungen auf dem öffentlichen Endpunkt für Web PubSub zu blockieren.
- Erhöhen der Sicherheit für das VNET, indem Sie die Exfiltration von Daten aus dem VNet blockieren.
- Stellen Sie sicher eine Verbindung mit Web PubSub über lokale Netzwerke her, die eine Verbindung mit dem VNet herstellen, indem ein VPN oder Azure ExpressRoute mit privatem Peering verwendet wird.
Verwenden privater Endpunkte in einem virtuellen Netzwerk
Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für einen Azure-Dienst in Ihrem VNET. Wenn Sie einen privaten Endpunkt für Ihre Web PubSub-Ressource erstellen, wird für sichere Konnektivität zwischen Clients in Ihrem VNet und Ihrem Dienst gesorgt. Dem privaten Endpunkt wird eine IP-Adresse aus dem IP-Adressbereich Ihres VNET zugewiesen. Die Verbindung zwischen dem privaten Endpunkt und Web PubSub verwendet eine sichere private Verbindung.
Anwendungen im VNet können mithilfe des privaten Endpunkts nahtlos eine Verbindung mit Web PubSub-Ressourcen herstellen. Die Anwendungen verwenden die gleichen Verbindungszeichenfolgen und Autorisierungsmechanismen, die sie andernfalls verwenden würden.
Private Endpunkte können mit allen Protokollen verwendet werden, die von der Web PubSub-Ressource unterstützt werden, einschließlich der REST-API.
Wenn Sie einen privaten Endpunkt für eine Web PubSub-Ressource in Ihrem VNet erstellen, wird an den Ressourcenbesitzer eine Einwilligungsanforderung zur Genehmigung der Web PubSub-Ressource gesendet. Wenn der Benutzer, der die Erstellung des privaten Endpunkts anfordert, auch Besitzer der Web PubSub-Ressource ist, wird diese Einwilligungsanforderung automatisch genehmigt.
Sie können Einwilligungsanforderungen und private Endpunkte für Ihre Web PubSub-Ressource auf der Registerkarte Private Endpunkte im Azure-Portal verwalten.
Tipp
Wenn Sie den Zugriff auf Ihre Web PubSub-Ressource nur über den privaten Endpunkt einschränken möchten, richten Sie die Netzwerkzugriffssteuerung ein, um den Zugriff über den öffentlichen Endpunkt zu verweigern oder zu steuern.
Herstellen einer Verbindung mit einem privaten Endpunkt
Clients in einem VNet, das einen privaten Endpunkt verwendet, sollten dieselbe Verbindungszeichenfolge für die Web PubSub-Ressource verwenden, die Clients verwenden, die über einen öffentlichen Endpunkt eine Verbindung herstellen. Das automatische Weiterleiten der Verbindungen vom VNet zu Web PubSub über eine private Verbindung basiert auf der DNS-Auflösung (Domain Name System).
Wichtig
Verwenden Sie die Verbindungszeichenfolge, die Sie für einen öffentlichen Endpunkt verwenden würden, um eine Verbindung mit Web PubSub über private Endpunkte herzustellen. Stellen Sie keine Verbindung mit Web PubSub her, indem Sie die privatelink-Subdomänen-URL verwenden.
Wir erstellen standardmäßig eine private DNS-Zone, die an das VNET angehängt ist, mit den erforderlichen Updates für die privaten Endpunkte. Wenn Sie einen eigenen DNS-Server verwenden, müssen Sie möglicherweise weitere Änderungen an Ihrer DNS-Konfiguration vornehmen. Im nächsten Abschnitt werden die Änderungen beschrieben, die für private Endpunkte erforderlich sind.
DNS-Änderungen für private Endpunkte
Wenn Sie einen privaten Endpunkt erstellen, wird der DNS-CNAME-Ressourceneintrag für Ihre Web PubSub-Ressource auf einen Alias in einer Unterdomäne aktualisiert, der das Präfix privatelink hat. Standardmäßig erstellen wir außerdem eine private DNS-Zone, die der Unterdomäne privatelink entspricht, mit den DNS-A-Ressourceneinträgen für die privaten Endpunkte.
Wenn Sie Ihren Web PubSub-Ressourcendomänennamen von außerhalb des VNet mit dem privaten Endpunkt auflösen, wird er zum öffentlichen Endpunkt der Web PubSub-Ressource aufgelöst. Bei Auflösung aus dem VNET, das den privaten Endpunkt hostet, wird der Domänenname in die IP-Adresse des privaten Endpunkts aufgelöst.
Im zuvor veranschaulichten Beispiel werden die DNS-Ressourceneinträge für die Web PubSub-Ressource sample, wenn sie von außerhalb des VNet aufgelöst wird, das den privaten Endpunkt hostet:
| Name | type | Wert |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | <Öffentliche IP-Adresse von Web PubSub> |
Sie können den Zugriff für Clients außerhalb des VNet über den öffentlichen Endpunkt mithilfe der Netzwerkzugriffssteuerung verweigern oder steuern.
Die DNS-Ressourceneinträge für die Web PubSub-Ressource sample, wenn sie von einem Client im VNet aufgelöst wird, der den privaten Endpunkt hostet, ähnelt diesem Beispiel:
| Name | type | Wert |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Dieser Ansatz ermöglicht den Zugriff auf Web PubSub mithilfe der gleichen Verbindungszeichenfolge für Clients in dem VNet, das den privaten Endpunkt hostet, und Clients außerhalb des VNet.
Wenn Sie einen benutzerdefinierten DNS-Server in Ihrem Netzwerk verwenden, müssen die Clients in der Lage sein, den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für den Endpunkt der Web PubSub-Ressource in die IP-Adresse des privaten Endpunkts aufzulösen. Sie sollten den DNS-Server so konfigurieren, dass die Unterdomäne der privaten Verbindung an die private DNS-Zone für das VNet delegiert wird, oder konfigurieren Sie die A-Einträge für sample.privatelink.webpubsub.azure.com so, dass die IP-Adresse des privaten Endpunkts verwendet wird.
Tipp
Wenn Sie einen benutzerdefinierten oder lokalen DNS-Server verwenden, müssen Sie den DNS-Server so konfigurieren, dass der Web PubSub-Ressourcenname in der Unterdomäne privatelink in die IP-Adresse des privaten Endpunkts aufgelöst wird. Hierzu können Sie die Unterdomäne privatelink an die private DNS-Zone des VNet delegieren oder die DNS-Zone auf dem DNS-Server konfigurieren und dann die DNS-A-Einträge hinzufügen.
Es wird empfohlen, privatelink.webpubsub.azure.com für den DNS-Zonennamen für private Endpunkte in einer Web PubSub-Ressource zu verwenden.
Weitere Informationen zum Konfigurieren des eigenen DNS-Servers für die Unterstützung privater Endpunkte finden Sie in den folgenden Artikeln:
- Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken
- DNS-Konfiguration für private Endpunkte
Erstellen eines privaten Endpunkts
In den folgenden Abschnitten wird beschrieben, wie Sie einen privaten Endpunkt und eine neue Instanz von Web PubSub erstellen und wie Sie einen privaten Endpunkt für eine vorhandene Instanz von Web PubSub erstellen.
Erstellen eines privaten Endpunkts in einer neuen Instanz von Web PubSub
Erstellen Sie im Azure-Portal eine neue Instanz von Azure Web PubSub. Wählen Sie auf der Registerkarte Netzwerk als Konnektivitätsmethode die Option Privater Endpunkt aus.
Wählen Sie Hinzufügen. Wählen Sie das Abonnement, den Ressourcengruppennamen, die Azure-Region und einen Namen für den neuen privaten Endpunkt aus, oder geben Sie diese ein. Wählen Sie ein zu verwendendes virtuelles Netzwerk und Subnetz aus.
Klicken Sie auf Überprüfen + erstellen.
Erstellen eines privaten Endpunkts für eine vorhandene Web PubSub-Ressource
Navigieren Sie im Azure-Portal zu Ihrer Web PubSub-Ressource.
Wählen Sie im linken Menü unter Einstellungen die Option Private Endpunktverbindungen aus.
Wählen Sie Privater Endpunkt aus.
Wählen Sie Werte für das Abonnement, die Ressourcengruppe, den Ressourcennamen und die Region für den neuen privaten Endpunkt aus, oder geben Sie diese ein.
Wählen Sie die Web PubSub-Zielressource aus.
Wählen Sie das virtuelle Zielnetzwerk aus.
Klicken Sie auf Überprüfen + erstellen.
Preise
Ausführliche Preisinformationen finden Sie unter Azure Private Link – Preise.
Bekannte Probleme
Berücksichtigen Sie die folgenden bekannten Probleme bei der Verwendung privater Endpunkte in Web PubSub.
Einschränkungen im Free-Tarif
Eine Azure Web PubSub-Instanz, die im Free-Tarif erstellt wird, kann nicht mit einem privaten Endpunkt integriert werden.
Zugriffseinschränkungen für Clients in VNETs mit privaten Endpunkten
Clients in VNets, die über vorhandene private Endpunkte verfügen, weisen Einschränkungen auf, wenn sie auf andere Web PubSub-Instanzen zugreifen, die über private Endpunkte verfügen. Beispielsweise verfügt das VNet N1 über einen privaten Endpunkt für die Web PubSub-Instanz W1. Wenn die Web PubSub-Instanz W2 über einen privaten Endpunkt im VNet N2 verfügt, müssen Clients in VNet N1 auch über einen privaten Endpunkt auf die Web PubSub-Instanz W2 zugreifen.
Wenn die Web PubSub-Instanz W2 keine privaten Endpunkte enthält, können Clients in VNet N1 auf die Web PubSub-Ressource in diesem Konto zugreifen, ohne einen privaten Endpunkt zu verwenden. Diese Einschränkung ist die Folge der DNS-Änderungen, die vorgenommen werden, wenn die Web PubSub-Instanz W2 einen privaten Endpunkt erstellt.