Cara mengonfigurasi domain kustom untuk Azure SignalR Service
Selain domain default yang disediakan dengan Azure SignalR Service, Anda juga bisa menambahkan domain DNS kustom ke layanan Anda. Dalam artikel ini, Anda akan mempelajari cara menambahkan domain kustom ke SignalR Service Anda.
Catatan
Domain kustom adalah fitur tingkat Premium. Sumber daya tingkat standar dapat ditingkatkan ke tingkat Premium tanpa waktu henti.
Untuk mengonfigurasi domain kustom, Anda perlu:
- Tambahkan sertifikat domain kustom.
- Buat catatan DNS CNAME.
- Tambahkan domain kustom.
Prasyarat
- Domain kustom yang terdaftar melalui Azure App Service atau pendaftar pihak ketiga.
- Akun Azure dengan langganan aktif.
- Jika Anda tidak memilikinya, Anda dapat membuatnya secara gratis.
- Grup Sumber Daya Azure.
- Sumber daya Azure SignalR Service.
- Instans Azure Key Vault.
- Sertifikat SSL domain kustom yang disimpan di instans Key Vault Anda. Lihat Mulai menggunakan sertifikat Key Vault
- Zona Azure DNS. (Opsional)
Menambahkan sertifikat kustom
Sebelum dapat menambahkan domain kustom, Anda perlu menambahkan sertifikat SSL kustom. SignalR Service Anda mengakses sertifikat yang disimpan di brankas kunci Anda melalui identitas terkelola.
Ada tiga langkah untuk menambahkan sertifikat domain.
- Aktifkan identitas terkelola di SignalR Service Anda.
- Berikan akses identitas terkelola ke brankas kunci Anda.
- Tambahkan sertifikat kustom ke SignalR Service Anda.
Mengaktifkan identitas terkelola di SignalR Service
Anda dapat menggunakan identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna. Artikel ini menunjukkan penggunaan identitas terkelola yang ditetapkan sistem.
Di portal Azure, buka sumber daya layanan SignalR Anda.
Pilih Identitas dari menu di sebelah kiri.
Pada tabel Yang ditetapkan sistem, atur Status ke Aktif.
Pilih Simpan, lalu pilih Ya saat diminta untuk mengaktifkan identitas terkelola yang ditetapkan sistem.
Setelah identitas dibuat, ID Objek (utama) ditampilkan. SignalR Service akan menggunakan ID objek identitas terkelola yang ditetapkan sistem untuk mengakses brankas kunci. Nama identitas terkelola sama dengan nama instans SignalR Service. Di bagian berikutnya, Anda harus mencari prinsipal (identitas terkelola) menggunakan nama atau ID Objek.
Memberikan akses identitas terkelola ke brankas kunci Anda
SignalR Service menggunakan identitas terkelola untuk mengakses brankas kunci Anda. Anda harus memberikan izin identitas terkelola untuk mengakses brankas kunci Anda.
Langkah-langkah untuk memberikan izin bergantung pada apakah Anda memilih kebijakan akses vault atau kontrol akses berbasis peran Azure sebagai model izin brankas kunci Anda.
Jika Anda menggunakan kebijakan akses Vault sebagai model izin brankas kunci Anda, ikuti prosedur ini untuk menambahkan kebijakan akses baru.
Buka sumber daya brankas kunci Anda.
Pilih Kebijakan akses dari menu di sebelah kiri.
Pilih Buat.
Di tab Izin :
- Pilih Dapatkan di bawah Izin rahasia.
- Pilih Dapatkan di bawah Izin sertifikat.
Pilih Berikutnya untuk masuk ke tab Utama .
Masukkan ID Objek identitas terkelola ke dalam kotak pencarian.
Pilih identitas terkelola dari hasil pencarian.
Pilih tab Tinjau + buat.
Pilih Buat dari tab Tinjau + buat .
Identitas terkelola untuk instans SignalR Service Anda tercantum dalam tabel kebijakan akses.
Menambahkan sertifikat kustom ke SignalR Service Anda
Gunakan langkah-langkah berikut untuk menambahkan sertifikat kustom ke SignalR Service Anda:
Di portal Azure, buka sumber daya SignalR Service Anda.
Di panel menu, pilih Domain kustom.
Di bawah Sertifikat kustom, pilih Tambahkan.
Masukkan nama sertifikat kustom.
Pilih Pilih dari Key Vault Anda untuk memilih sertifikat brankas kunci. Setelah memilih URI Dasar Key Vault berikut, Nama Rahasia Key Vault harus diisi secara otomatis. Atau Anda juga dapat mengisi bidang ini secara manual.
Secara opsional, Anda dapat menentukan Versi Rahasia Key Vault jika Anda ingin menyematkan sertifikat ke versi tertentu.
Pilih Tambahkan.
SignalR Service akan mengambil sertifikat dan memvalidasi kontennya. Ketika berhasil, Status Provisi sertifikat akan Berhasil.
Membuat data CNAME domain kustom
Anda harus membuat catatan CNAME untuk domain kustom Anda di Zona Azure DNS atau dengan layanan pencatat pihak ketiga Anda. Catatan CNAME membuat alias dari domain kustom Anda ke domain default SignalR Service. SignalR Service menggunakan catatan untuk memvalidasi kepemilikan domain kustom Anda.
Misalnya, jika domain default Anda adalah contoso.service.signalr.net, dan domain kustom Anda adalah contoso.example.com, Anda perlu membuat catatan CNAME di example.com.
Setelah membuat catatan CNAME, Anda bisa melakukan pencarian DNS untuk melihat informasi CNAME. Misalnya, output dari perintah linux dig (pencarian DNS) akan terlihat mirip dengan output ini:
contoso.example.com. 0 IN CNAME contoso.service.signalr.net.
Jika Anda menggunakan Zona Azure DNS, lihat mengelola catatan DNS untuk mempelajari cara menambahkan data CNAME.
Jika Anda menggunakan penyedia DNS lain, ikuti panduan penyedia untuk membuat catatan CNAME.
Menambahkan domain kustom
Sekarang tambahkan domain kustom ke SignalR Service Anda.
Di portal Azure, buka sumber daya SignalR Service Anda.
Di panel menu, pilih Domain kustom.
Di bawah Domain kustom, pilih Tambahkan.
Masukkan nama untuk domain kustom.
Masukkan nama domain lengkap domain kustom Anda, misalnya,
contoso.com.Pilih sertifikat kustom yang berlaku untuk domain kustom ini.
Pilih Tambahkan.
Memverifikasi domain kustom
Untuk memverifikasi domain kustom, Anda dapat menggunakan API kesehatan. API kesehatan adalah titik akhir publik yang mengembalikan status kesehatan instans SignalR Service Anda. API kesehatan tersedia di https://<your custom domain>/api/health.
Berikut adalah contoh menggunakan cURL:
PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com
< HTTP/1.1 200 OK
Ini harus mengembalikan 200 kode status tanpa kesalahan sertifikat.
Mengakses Key Vault di jaringan privat
Jika Anda telah mengonfigurasi Titik Akhir Privat ke brankas kunci, SignalR Service Anda tidak akan dapat mengakses brankas kunci melalui jaringan publik. Anda dapat memberikan akses SignalR Service ke brankas kunci Anda melalui jaringan privat dengan membuat Titik Akhir Privat Bersama.
Setelah membuat Titik Akhir Privat Bersama, Anda dapat menambahkan sertifikat kustom seperti yang dijelaskan di bagian Tambahkan sertifikat kustom ke SignalR Service Anda di atas.
Penting
Anda tidak perlu mengubah domain di URI brankas kunci Anda. Misalnya, jika URI dasar brankas kunci Anda adalah https://contoso.vault.azure.net, Anda akan menggunakan URI ini untuk mengonfigurasi sertifikat kustom.
Anda tidak perlu secara eksplisit mengizinkan alamat IP SignalR Service di pengaturan firewall brankas kunci. Untuk informasi selengkapnya, lihat Diagnostik tautan privat Key Vault.
Rotasi sertifikat
Jika Anda tidak menentukan versi rahasia saat membuat sertifikat kustom, Azure SignalR Service secara berkala memeriksa versi terbaru di Key Vault. Saat versi baru diamati, versi tersebut akan diterapkan secara otomatis. Penundaan biasanya dalam waktu 1 jam.
Atau, Anda juga dapat menyematkan sertifikat kustom ke versi rahasia tertentu di Key Vault. Saat Anda perlu menerapkan sertifikat baru, Anda dapat mengedit versi rahasia lalu memperbarui sertifikat kustom secara proaktif.
Pembersihan
Jika Anda tidak berencana menggunakan sumber daya yang telah Anda buat di artikel ini, Anda dapat menghapus Grup Sumber Daya.
Perhatian
Menghapus grup sumber daya akan menghapus semua sumber daya yang terkandung di dalamnya. Jika sumber daya di luar lingkup artikel ini ada di grup sumber daya yang ditentukan, sumber daya tersebut juga akan dihapus.