Utiliser des points de terminaison privés pour le contrôle d’accès
Vous pouvez utiliser des points de terminaison privés pour votre ressource Azure Web PubSub afin de permettre aux clients d’un réseau virtuel (VNet) d’accéder en toute sécurité aux données via une liaison privée. Le point de terminaison privé utilise une adresse IP de l’espace d’adressage du réseau virtuel pour votre ressource Web PubSub. Le trafic réseau entre les clients sur le réseau virtuel et votre ressource Web PubSub traverse une liaison privée sur le réseau Microsoft, ce qui élimine l’exposition sur l’Internet public.
L’utilisation de points de terminaison privés pour votre ressource Web PubSub vous aide à :
- Sécurisez votre ressource Web PubSub à l’aide du contrôle d’accès réseau pour bloquer toutes les connexions sur le point de terminaison public pour Web PubSub.
- Améliorer la sécurité du réseau virtuel en vous permettant de bloquer l’exfiltration des données à partir du réseau virtuel.
- Connectez-vous en toute sécurité à Web PubSub à partir de réseaux locaux qui se connectent au réseau virtuel à l’aide d’un VPN ou d’Azure ExpressRoute avec un peering privé.
Utiliser des points de terminaison privés dans un réseau virtuel
Un point de terminaison privé est une interface réseau spéciale pour un service Azure dans votre réseau virtuel. Lorsque vous créez un point de terminaison privé pour votre ressource Web PubSub, il offre une connectivité sécurisée entre les clients de votre réseau virtuel et votre service. Une adresse IP est attribuée au point de terminaison privé à partir de la plage d’adresses IP de votre réseau virtuel. La connexion entre le point de terminaison privé et Web PubSub utilise une liaison privée sécurisée.
Les applications du réseau virtuel peuvent se connecter aux ressources Web PubSub en toute transparence à l’aide du point de terminaison privé. Les applications utilisent les mêmes chaînes de connexion et mécanismes d’autorisation qu’elles utiliseraient autrement.
Les points de terminaison privés peuvent être utilisés avec tous les protocoles pris en charge par la ressource Web PubSub, y compris l’API REST.
Lorsque vous créez un point de terminaison privé pour une ressource Web PubSub dans votre réseau virtuel, une demande de consentement est envoyée pour approbation au propriétaire de la ressource Web PubSub. Si l’utilisateur qui demande la création du point de terminaison privé est également propriétaire de la ressource Web PubSub, cette demande de consentement est automatiquement approuvée.
Vous pouvez gérer les demandes de consentement et les points de terminaison privés pour votre ressource Web PubSub sous l’onglet Points de terminaison privés dans le portail Microsoft Azure.
Conseil
Si vous souhaitez restreindre l’accès à votre ressource Web PubSub uniquement par le biais du point de terminaison privé, configurez le contrôle d’accès réseau de manière à refuser ou contrôler l’accès via le point de terminaison public.
Se connecter à un point de terminaison privé
Les clients sur un réseau virtuel qui utilise un point de terminaison privé doivent utiliser la même chaîne de connexion pour la ressource Web PubSub que les clients qui se connectent via un point de terminaison public. Nous nous appuyons sur la résolution DNS (Domain Name System) pour acheminer automatiquement les connexions du réseau virtuel vers Web PubSub via une liaison privée.
Important
Pour vous connecter à Web PubSub à l’aide de points de terminaison privés, utilisez la chaîne de connexion que vous utiliseriez pour un point de terminaison public. Ne vous connectez pas à Web PubSub à l’aide de son URL de sous-domaine privatelink
.
Nous créons une zone DNS privée attachée au réseau virtuel avec les mises à jour nécessaires pour les points de terminaison privés, par défaut. Si vous utilisez votre propre serveur DNS, vous devrez peut-être apporter d’autres modifications à votre configuration DNS. La section suivante décrit les mises à jour requises pour les points de terminaison privés.
Modifications DNS pour les points de terminaison privés
Lorsque vous créez un point de terminaison privé, l’enregistrement de ressource CNAME DNS de votre ressource Web PubSub est remplacé dans un sous-domaine par un alias doté du préfixe privatelink
. Par défaut, nous créons également une zone DNS privée correspondant au sous-domaine privatelink
, avec les enregistrements de ressource DNS A pour les points de terminaison privés.
Lorsque vous résolvez le nom de domaine de votre ressource Web PubSub à l’extérieur du réseau virtuel avec le point de terminaison privé, il correspond au point de terminaison public de la ressource Web PubSub. En cas de résolution à partir du réseau virtuel hébergeant le point de terminaison privé, le nom de domaine correspond à l'adresse IP du point de terminaison privé.
Pour l’exemple illustré ci-dessus, les enregistrements de ressources DNS pour la ressource sample
Web PubSub, lorsqu’ils sont résolus à l’extérieur du réseau virtuel hébergeant le point de terminaison privé, sont les suivants :
Nom | Type | Valeur |
---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
Un | <Adresse IP publique Web PubSub> |
Vous pouvez refuser ou contrôler l’accès pour les clients en dehors du réseau virtuel via le point de terminaison public à l’aide du contrôle d’accès réseau.
Les enregistrements de ressources DNS pour la ressource sample
Web PubSub, lorsqu’ils sont résolus par un client dans le réseau virtuel qui héberge le point de terminaison privé, sont similaires à cet exemple :
Nom | Type | Valeur |
---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
Un | 10.1.1.5 |
Cette approche permet d’accéder à Web PubSub à l’aide de la même chaîne de connexion pour les clients sur le réseau virtuel hébergeant le point de terminaison privé et les clients en dehors du réseau virtuel.
Si vous utilisez un Serveur DNS personnalisé sur votre réseau, les clients doivent pouvoir résoudre le nom de domaine complet (FQDN) du point de terminaison de la ressource Web PubSub en adresse IP du point de terminaison privé. Vous devez configurer votre serveur DNS de manière à déléguer votre sous-domaine de liaison privée à la zone DNS privée du réseau virtuel, ou configurer les enregistrements A pour sample.privatelink.webpubsub.azure.com
pour utiliser l’adresse IP du point de terminaison privé.
Conseil
Si vous utilisez un serveur DNS personnalisé ou local, vous devez configurer votre serveur DNS de manière à résoudre le nom de la ressource Web PubSub dans le sous-domaine privatelink
sur l’adresse IP du point de terminaison privé. Pour ce faire, vous pouvez déléguer le sous-domaine privatelink
à la zone DNS privée du réseau virtuel ou configurer la zone DNS sur votre serveur DNS, puis ajouter les enregistrements A DNS.
Nous vous recommandons d’utiliser privatelink.webpubsub.azure.com
comme nom de zone DNS pour les points de terminaison privés dans une ressource Web PubSub.
Pour plus d’informations sur la configuration de votre propre serveur DNS pour la prise en charge des points de terminaison privés, consultez les articles suivants :
- Résolution de noms pour des ressources dans les réseaux virtuels Azure
- Configuration DNS pour les points de terminaison privés
Créer un Private Endpoint
Les sections suivantes décrivent comment créer un point de terminaison privé et une nouvelle instance de Web PubSub et comment créer un point de terminaison privé pour une instance existante de Web PubSub.
Créer un point de terminaison privé dans une nouvelle instance de Web PubSub
Dans le portail Microsoft Azure, créez une instance d’Azure Web PubSub. Sous l’onglet Mise en réseau, pour Méthode de connectivité, sélectionnez Point de terminaison privé.
Sélectionnez Ajouter. Sélectionnez ou entrez l’abonnement, le nom du groupe de ressources, la région Azure et un nom pour le nouveau point de terminaison privé. Choisissez un réseau virtuel et un sous-réseau à utiliser.
Sélectionnez Revoir + créer.
Créer un point de terminaison privé pour une ressource Web PubSub existante
Dans le portail Microsoft Azure, accédez à votre ressource Web PubSub.
Dans le menu de gauche, sous Paramètres, sélectionnez Connexions de point de terminaison privé.
Sélectionnez Point de terminaison privé.
Sélectionnes ou entrez les valeurs pour l’abonnement, le groupe de ressources, le nom de la ressource et la région du nouveau point de terminaison privé.
Sélectionnez la ressource Web PubSub cible.
Supprimez le réseau virtuel cible.
Sélectionnez Revoir + créer.
Tarification
Pour plus d’informations sur les tarifs, consultez Tarification Liaison privée Azure.
Problèmes connus
Gardez à l’esprit les problèmes connus suivants concernant l’utilisation de points de terminaison privés dans Web PubSub.
Contraintes du niveau Gratuit
Une instance Azure Web PubSub créée à l’aide du niveau Gratuit ne peut pas s’intégrer à un point de terminaison privé.
Contraintes d'accès pour les clients des réseaux virtuels dotés de points de terminaison privés
Les clients dans les réseaux virtuels qui ont des points de terminaison privés existants ont des contraintes lorsqu’ils accèdent à d’autres instances Web PubSub qui ont des points de terminaison privés. Par exemple, un réseau virtuel N1 a un point de terminaison privé pour une instance Web PubSub W1. Si l’instance Web PubSub W2 a un point de terminaison privé dans un réseau virtuel N2, les clients du réseau virtuel N1 doivent également accéder à l’instance Web PubSub W2 à l’aide d’un point de terminaison privé.
Si l’instance Web PubSub W2 n’a aucun point de terminaison privé, les clients du réseau virtuel N1 peuvent accéder à la ressource Web PubSub dans ce compte sans utiliser de point de terminaison privé. Cette contrainte résulte des modifications DNS effectuées lorsque l’instance Web PubSub W2 crée un point de terminaison privé.