Privát végpontok használata az Azure Web PubSub szolgáltatáshoz
Az Azure Web PubSub szolgáltatás privát végpontjaival engedélyezheti, hogy a virtuális hálózaton (VNet) lévő ügyfelek biztonságosan hozzáférhessenek az adatokhoz privát kapcsolaton keresztül. A privát végpont az Azure Web PubSub szolgáltatás VNet-címteréből származó IP-címet használ. A virtuális hálózat és az Azure Web PubSub szolgáltatás ügyfelei közötti hálózati forgalom a Microsoft gerinchálózatán található privát kapcsolaton keresztül halad át, így kiküszöböli a nyilvános internetről való kitettséget.
Privát végpontok használata az Azure Web PubSub szolgáltatáshoz lehetővé teszi a következőket:
- Az Azure Web PubSub szolgáltatás védelme a hálózati hozzáférés-vezérléssel az Azure Web PubSub szolgáltatás nyilvános végpontján lévő összes kapcsolat letiltásához.
- Növelje a virtuális hálózat (VNet) biztonságát azáltal, hogy letiltja az adatok kiszivárgását a virtuális hálózatból.
- Biztonságos csatlakozás az Azure Web PubSub szolgáltatáshoz olyan helyszíni hálózatokról, amelyek VPNvagy ExpressRoutes használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítéssel.
Fogalmi áttekintés
A privát végpont egy speciális hálózati adapter a virtuális hálózaton (VNet) található Azure-szolgáltatásokhoz. Amikor privát végpontot hoz létre az Azure Web PubSub szolgáltatáshoz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és a szolgáltatás között. A privát végpont a virtuális hálózat IP-címtartományából kap IP-címet. A privát végpont és az Azure Web PubSub szolgáltatás közötti kapcsolat biztonságos privát kapcsolatot használ.
A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak az Azure Web PubSub szolgáltatáshoz a privát végponton keresztül ugyanazokkal a kapcsolati sztring és engedélyezési mechanizmusokkal, amelyeket egyébként használnának. A privát végpontok az Azure Web PubSub szolgáltatás által támogatott összes protokollal használhatók, beleértve a REST API-t is.
Amikor privát végpontot hoz létre egy Azure Web PubSub szolgáltatáshoz a virtuális hálózaton, a rendszer jóváhagyásra vonatkozó kérelmet küld az Azure Web PubSub szolgáltatás tulajdonosának. Ha a privát végpont létrehozását kérő felhasználó az Azure Web PubSub szolgáltatás tulajdonosa is, a rendszer automatikusan jóváhagyja ezt a hozzájárulási kérést.
Az Azure Web PubSub szolgáltatás tulajdonosai az Azure PortalOn az Azure Web PubSub szolgáltatás "Privát végpontok" lapján kezelhetik a hozzájárulási kérelmeket és a privát végpontokat.
Tipp.
Ha csak a privát végponton keresztül szeretné korlátozni az Azure Web PubSub szolgáltatáshoz való hozzáférést, konfigurálja a hálózati hozzáférés-vezérlést a nyilvános végponton keresztüli hozzáférés megtagadására vagy szabályozására.
Csatlakozás privát végpontokra
A privát végpontot használó virtuális hálózaton lévő ügyfeleknek ugyanazt a kapcsolati sztring kell használniuk az Azure Web PubSub szolgáltatáshoz, mint a nyilvános végponthoz csatlakozó ügyfeleknek. A DNS-feloldás alapján automatikusan átirányítjuk a kapcsolatokat a virtuális hálózatról az Azure Web PubSub szolgáltatásba egy privát kapcsolaton keresztül.
Fontos
Használja ugyanazt a kapcsolati sztring az Azure Web PubSub szolgáltatáshoz való csatlakozáshoz privát végpontok használatával, ahogyan egyébként is használná. Ne csatlakozzon az Azure Web PubSub szolgáltatáshoz az altartomány URL-címével privatelink .
Alapértelmezés szerint létrehozunk egy privát DNS-zónát a virtuális hálózathoz a privát végpontok szükséges frissítéseivel. Ha azonban saját DNS-kiszolgálót használ, előfordulhat, hogy más módosításokat kell végeznie a DNS-konfiguráción. Az alábbi DNS-módosításokról szóló szakasz a privát végpontokhoz szükséges frissítéseket ismerteti.
DNS-módosítások privát végpontokhoz
Privát végpont létrehozásakor az Azure Web PubSub szolgáltatás DNS CNAME erőforrásrekordja egy altartományban lévő aliasra frissül az előtaggal privatelink. Alapértelmezés szerint az altartománynak privatelink megfelelő privát DNS-zónát is létrehozunk a privát végpontok DNS A erőforrásrekordjaival.
Ha az Azure Web PubSub szolgáltatás tartománynevét a virtuális hálózaton kívülről oldja fel a privát végponttal, az az Azure Web PubSub szolgáltatás nyilvános végpontjára lesz feloldva. A privát végpontot üzemeltető virtuális hálózatról feloldva a tartománynév a privát végpont IP-címére lesz feloldva.
A fenti példában az Azure Web PubSub szolgáltatás "foobar" DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton kívülről oldódnak fel:
| Name | Típus | Érték |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | <Azure Web PubSub szolgáltatás nyilvános IP-címe> |
Ahogy korábban említettük, a hálózati hozzáférés-vezérléssel megtagadhatja vagy szabályozhatja a virtuális hálózaton kívüli ügyfelek hozzáférését a nyilvános végponton keresztül.
A "foobar" DNS-erőforrásrekordjai, amikor egy ügyfél feloldja a privát végpontot üzemeltető virtuális hálózatban, a következő lesz:
| Name | Típus | Érték |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Ez a megközelítés lehetővé teszi az Azure Web PubSub szolgáltatás elérését ugyanazzal a kapcsolati sztring a privát végpontokat üzemeltető virtuális hálózaton lévő ügyfelek és a virtuális hálózaton kívüli ügyfelek számára.
Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfeleknek képesnek kell lenniük feloldani az Azure Web PubSub szolgáltatásvégpont teljes tartománynevét a privát végpont IP-címére. Konfigurálja úgy a DNS-kiszolgálót, hogy delegálja a privát kapcsolat altartományát a virtuális hálózat privát DNS-zónájához, vagy konfigurálja az A rekordokat foobar.privatelink.webpubsub.azure.com a privát végpont IP-címével.
Tipp.
Egyéni vagy helyszíni DNS-kiszolgáló használata esetén a DNS-kiszolgálót úgy kell konfigurálnia, hogy az altartományban privatelink az Azure Web PubSub szolgáltatás nevét feloldja a privát végpont IP-címére. Ezt úgy teheti meg, hogy az altartományt a privatelink virtuális hálózat privát DNS-zónájára delegálja, vagy konfigurálja a DNS-kiszolgálón a DNS-zónát, és hozzáadja a DNS A rekordokat.
Az Azure Web PubSub szolgáltatás privát végpontjaihoz ajánlott DNS-zónanév: privatelink.webpubsub.azure.com.
A saját DNS-kiszolgáló privát végpontok támogatásához való konfigurálásáról az alábbi cikkekben talál további információt:
Privát végpont létrehozása
Privát végpont létrehozása egy új Azure Web PubSub szolgáltatással együtt az Azure Portalon
Új Azure Web PubSub-szolgáltatás létrehozásakor válassza a Hálózatkezelés lapot. Kapcsolati módszerként válassza a Privát végpont lehetőséget.
Select Add. Töltse ki az előfizetést, az erőforráscsoportot, a helyet, az új privát végpont nevét. Válasszon ki egy virtuális hálózatot és alhálózatot.
Select Review + create.
Privát végpont létrehozása meglévő Azure Web PubSub szolgáltatáshoz az Azure Portalon
Nyissa meg az Azure Web PubSub szolgáltatást.
Válassza a Privát végpontkapcsolatok nevű beállítások menüt.
Válassza ki a gombot és a privát végpontot a tetején.
Töltse ki az új privát végpont előfizetését, erőforráscsoportját, erőforrásnevét és régióját.
Válassza ki a cél Azure Web PubSub szolgáltatáserőforrást.
Cél virtuális hálózat kiválasztása
Select Review + create.
Pricing
A díjszabás részleteiért tekintse meg az Azure Private Link díjszabását.
Ismert problémák
Tartsa szem előtt az Azure Web PubSub szolgáltatás privát végpontjaival kapcsolatos alábbi ismert problémákat.
Ingyenes szint
Az Ingyenes Azure Web PubSub szolgáltatáspéldány nem integrálható a privát végponttal.
Hozzáférési korlátozások a privát végpontokkal rendelkező virtuális hálózatok ügyfelei számára
A meglévő privát végpontokkal rendelkező virtuális hálózatokban lévő ügyfelek korlátozásokkal szembesülnek, amikor más, privát végpontokkal rendelkező Azure Web PubSub szolgáltatáspéldányokhoz férnek hozzá. Tegyük fel például, hogy egy VNet N1 privát végponttal rendelkezik egy Azure Web PubSub szolgáltatás W1-példányához. Ha az Azure Web PubSub szolgáltatás W2 privát végponttal rendelkezik egy VNet N2-ben, akkor az N1 virtuális hálózat ügyfeleinek privát végponttal is hozzá kell férniük az Azure Web PubSub szolgáltatás W2 szolgáltatásához. Ha az Azure Web PubSub szolgáltatás W2 szolgáltatása nem rendelkezik privát végpontokkal, akkor az N1 VNet ügyfelei privát végpont nélkül is hozzáférhetnek az Azure Web PubSub szolgáltatáshoz.
Ez a korlátozás az Azure Web PubSub service W2 privát végpont létrehozásakor végrehajtott DNS-módosítások eredménye.