Zugriff auf Schlüsseltresor im privaten Netzwerk über freigegebene private Endpunkte

Azure Web PubSub Service kann über freigegebene private Endpunktverbindungen auf Ihren Key Vault in einem privaten Netzwerk zugreifen. In diesem Artikel erfahren Sie, wie Sie Ihre Web PubSub-Dienstinstanz so konfigurieren, dass ausgehende Anrufe über einen freigegebenen privaten Endpunkt und nicht über ein öffentliches Netzwerk an einen Schlüsseltresor weitergeleitet werden.

Private Endpunkte gesicherter Ressourcen, die über Azure Web PubSub Service-APIs erstellt wurden, werden als freigegebene Private-Link-Ressourcen bezeichnet. Der Grund: Der Zugriff auf eine Ressource (z. B. einen Azure Key Vault), die in den Azure Private Link-Dienst integriert wurde, wird von Ihnen „freigegeben“. Diese privaten Endpunkte werden in der Azure Web PubSub Service-Ausführungsumgebung erstellt und sind nicht direkt für Sie sichtbar.

Hinweis

In den Beispielen in diesem Artikel werden die folgenden Ressourcen-IDs verwendet:

• Die Ressourcen-ID dieses Azure Web PubSub-Diensts lautet _/subscriptions/0000000-0000-0000-0000-0000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub .
• Die Ressourcen-ID von Azure Key Vault lautet /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Wenn Sie die Schritte ausführen, ersetzen Sie die Ressourcen-IDs Ihres Azure Web PubSub-Diensts und Azure Key Vault.

Voraussetzungen

• Wenn Sie kein Azure-Abonnement haben, erstellen Sie ein [kostenloses Konto]. (https://azure.microsoft.com/free/?WT.mc_id=A261C142F).
• Azure CLI 2.25.0 oder höher (bei Verwendung von Azure CLI)._
• Eine Azure Web PubSub Service-Instanz in einer Standardpreisstufe oder höher
• Eine Azure Key Vault-Ressource.

1. Erstellen einer freigegebenen privaten Endpunktressource für den Key Vault

Azure portal

1. Wechseln Sie in der Azure-Portal zur Ressourcenseite des Azure Web PubSub-Diensts.

2. Wählen Sie im Menü "Netzwerk " aus.

3. Wählen Sie die Registerkarte Privater Zugriff aus.

4. Wählen Sie Freigegebenen privaten Endpunkt hinzufügen aus.

   

5. Geben Sie einen Namen für den freigegebenen privaten Endpunkt ein.

6. Geben Sie Ihre Schlüsseltresorressource ein, indem Sie "Wählen Sie aus Ihren Ressourcen auswählen" aus den Listen aus, oder wählen Sie "Ressourcen-ID angeben" aus, und geben Sie Ihre Schlüsseltresorressourcen-ID ein.

7. Geben Sie bitte die Genehmigung für die Anforderungsnachricht ein.

8. Klicken Sie auf Hinzufügen.

   

Der Bereitstellungsstatus der freigegebenen privaten Endpunktressource ist erfolgreich. Der Verbindungsstatus lautet Ausstehend und muss auf der Zielressourcenseite noch genehmigt werden.

Azure-Befehlszeilenschnittstelle

Sie können den folgenden API-Aufruf mit der Azure CLI ausführen, um eine freigegebene private Linkressource zu erstellen. Ersetzen Sie den uri Wert durch ihren eigenen Wert.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Der Inhalt der Datei create-pe.json , die den Anforderungstext für die API darstellt, lauten wie folgt:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Der Prozess der Erstellung eines ausgehenden privaten Endpunkts ist ein zeitintensiver (asynchroner) Vorgang. Wie bei allen asynchronen Azure-Vorgängen gibt der PUT Aufruf einen Azure-AsyncOperation Headerwert zurück, der wie die folgende Ausgabe aussieht:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Sie können diesen URI in regelmäßigen Abständen abrufen, um den Status des Vorgangs zu erhalten. Warten Sie, bis sich der Status in "Erfolgreich" ändert, bevor Sie mit den nächsten Schritten fortfahren.

Sie können den Status abrufen, indem Sie den Wert Azure-AsyncOperationHeader manuell abfragen:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

2. Genehmigen der privaten Endpunktverbindung für den Key Vault

Nachdem die private Endpunktverbindung erstellt wurde, müssen Sie die Verbindungsanforderung vom Azure Web PubSub-Dienst in Ihrer Schlüsseltresorressource genehmigen.

Azure portal

1. Wechseln Sie im Azure-Portal zur Ressourcenseite des Schlüsseltresors.

2. Wählen Sie im Menü "Netzwerk " aus.

3. Wählen Sie Private Endpunktverbindungen aus.

   

4. Wählen Sie den privaten Endpunkt aus, den der Azure Web PubSub-Dienst erstellt hat.

5. Wählen Sie "Genehmigen" und "Ja" aus, um dies zu bestätigen.

6. Warten Sie, bis die private Endpunktverbindung genehmigt wurde.

   

Azure-Befehlszeilenschnittstelle

1. Listen Sie Verbindungen mit einem privaten Endpunkt auf:

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Eine ausstehende Verbindung mit privaten Endpunkten sollte vorhanden sein. Beachten Sie die zugehörigen id.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Genehmigen Sie die Verbindung mit einem privaten Endpunkt:

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

3. Abfragen des Status der ressource für freigegebene private Links

Es dauert ein paar Minuten, bis die Genehmigung an den Azure Web PubSub-Dienst weitergegeben wird. Sie können den Status mithilfe des Azure-Portals oder der Azure CLI überprüfen. Der freigegebene private Endpunkt zwischen Azure Web PubSub Service und Azure Key Vault ist aktiv, wenn der Containerstatus genehmigt wird.

Azure portal

1. Wechseln Sie zur Azure Web PubSub Service-Ressource im Azure-Portal.

2. Wählen Sie im Menü "Netzwerk " aus.

3. Wählen Sie "Freigegebene private Linkressourcen" aus.

   

Azure-Befehlszeilenschnittstelle

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Dieser Befehl würde einen JSON-Code zurückgeben, in dem der Verbindungsstatus im Abschnitt "Eigenschaften" als "Status" angezeigt würde.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Wenn der "Bereitstellungsstatus" (properties.provisioningState) der Ressource lautet Succeeded und "Verbinden ion State" (properties.status) lautetApproved, ist die freigegebene private Linkressource funktionsfähig, und Azure Web PubSub Service kann über den privaten Endpunkt kommunizieren.

Jetzt können Sie Features wie eine benutzerdefinierte Do konfigurieren Standard wie gewohnt. Sie müssen keine spezielle Domäne für Key Vault verwenden. Der Azure Web PubSub-Dienst verarbeitet automatisch die DNS-Auflösung.

Nächste Schritte

Weitere Informationen:

• Was sind private Endpunkte?
• Konfigurieren einer benutzerdefinierten Domäne