Accedere a Key Vault in una rete privata tramite endpoint privati condivisi

Servizio Azure SignalR può accedere all'insieme di credenziali delle chiavi in una rete privata tramite endpoint privati condivisi. In questo modo, l'insieme di credenziali delle chiavi non viene esposto in una rete pubblica.

È possibile creare endpoint privati tramite API Servizio Azure SignalR per l'accesso condiviso a una risorsa integrata con collegamento privato di Azure servizio. Questi endpoint, denominati risorse di collegamento privato condiviso, vengono creati all'interno dell'ambiente di esecuzione signalR e non sono accessibili all'esterno di questo ambiente.

Questo articolo illustra come creare un endpoint privato condiviso in Key Vault.

Prerequisiti

Per completare questo articolo sono necessarie le risorse seguenti:

• Un gruppo di risorse di Azure.
• Istanza di Servizio Azure SignalR.
• Istanza di Azure Key Vault.

Gli esempi in questo articolo usano invece la convenzione di denominazione seguente, anche se è possibile usare nomi personalizzati.

• L'ID risorsa di questo Servizio Azure SignalR è /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• L'ID risorsa di Azure Key Vault è /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.
• Gli altri esempi mostrano come è possibile configurare il servizio contoso-signalr in modo che le chiamate in uscita a Key Vault attraversino un endpoint privato anziché una rete pubblica.

Creare una risorsa di collegamento privato condiviso all'insieme di credenziali delle chiavi

Azure portal

1. Nella portale di Azure passare alla risorsa Servizio Azure SignalR.

2. Selezionare Rete.

3. Selezionare la scheda Accesso privato.

4. Selezionare Aggiungi endpoint privato condiviso nella sezione Endpoint privati condivisi.

   

   Immettere le informazioni seguenti:

   Campo	Descrizione
   Nome	Nome dell'endpoint privato condiviso.
   Type	Selezionare Microsoft.KeyVault/vaults
   Abbonamento	Sottoscrizione contenente l'insieme di credenziali delle chiavi.
   Conto risorse	Immettere il nome della risorsa key vault.
   Messaggio di richiesta	Immettere "please approve" (Approva)

5. Seleziona Aggiungi.

   

Dopo aver aggiunto correttamente l'endpoint privato, lo stato del provisioning sarà Completato. Lo stato della connessione sarà In sospeso fino a quando non si approva l'endpoint sul lato Key Vault.

Interfaccia della riga di comando di Azure

Eseguire la chiamata API seguente con l'interfaccia della riga di comando di Azure per creare una risorsa di collegamento privato condiviso:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json

Il contenuto del file create-pe.json , che rappresenta il corpo della richiesta per l'API, è il seguente:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Il processo di creazione di un endpoint privato in uscita è un'operazione a esecuzione prolungata (asincrona). Come in tutte le operazioni asincrone di Azure, la PUT chiamata restituisce un Azure-AsyncOperation valore di intestazione simile al testo seguente:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

È possibile eseguire periodicamente il polling di questo URI per ottenere lo stato dell'operazione.

È possibile eseguire il polling dello stato eseguendo manualmente una query sul Azure-AsyncOperationHeader valore:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Attendere che lo stato cambi in Succeeded prima di procedere con i passaggi successivi.

Approvare la connessione all'endpoint privato per Key Vault

Azure portal

1. Passare alla risorsa key vault

2. Selezionare Rete.

3. Selezionare la scheda Connessioni endpoint privato. Al termine dell'operazione asincrona, dovrebbe essere presente una richiesta per una connessione all'endpoint privato con il messaggio di richiesta della chiamata API precedente.

4. Selezionare l'endpoint privato che Servizio SignalR creato e quindi selezionare Approva.

5. Selezionare Sì per approvare la connessione.

   

Interfaccia della riga di comando di Azure

1. Elencare le connessioni dell'endpoint privato.

   az network private-endpoint-connection list -n <key-vault-resource-name>  -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Deve essere presente una connessione endpoint privato in sospeso. Prendere nota del relativo ID.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Approvare la connessione all'endpoint privato:

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Verificare che l'endpoint privato condiviso sia funzionale

Dopo alcuni minuti, l'approvazione viene propagata al Servizio SignalR e lo stato della connessione è impostato su Approvato. È possibile controllare lo stato usando portale di Azure o l'interfaccia della riga di comando di Azure.

Azure portal

Interfaccia della riga di comando di Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

Il comando restituirà un oggetto JSON, in cui lo stato della connessione viene visualizzato come "status" nella sezione "properties".

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Quando lo stato di provisioning (properties.provisioningState) della risorsa è Succeeded e "Connessione ion State" (properties.status) è Approved, la risorsa collegamento privato condiviso è funzionale e il Servizio SignalR può comunicare tramite l'endpoint privato.

Quando l'endpoint privato tra il Servizio SignalR e Azure Key Vault è funzionale, il valore dello stato di provisioning è Succeeded e lo stato della connessione è Approvato.

Pulizia

Se non si prevede di usare le risorse create in questo articolo, è possibile eliminare il gruppo di risorse.

Attenzione

L'eliminazione del gruppo di risorse elimina tutte le risorse contenute al suo interno. Se nel gruppo di risorse specificato sono presenti anche risorse diverse da quelle usate in questo articolo, verranno eliminate.

Passaggi successivi

• Che cosa sono gli endpoint privati?
• Configurare un dominio personalizzato