Usare endpoint privati per il controllo di accesso
È possibile usare endpoint privati per la risorsa Web PubSub di Azure per consentire ai client in una rete virtuale (VNet) di accedere in modo sicuro ai dati tramite un collegamento privato. L'endpoint privato usa un indirizzo IP dallo spazio indirizzi della rete virtuale per la risorsa Web PubSub. Il traffico di rete tra i client nella rete virtuale e la risorsa Web PubSub attraversa un collegamento privato nella rete Microsoft, eliminando l'esposizione su Internet pubblico.
L'uso di endpoint privati per la risorsa Web PubSub consente di:
- Proteggere la risorsa Web PubSub usando il controllo di accesso di rete per bloccare tutte le connessioni nell'endpoint pubblico per Web PubSub.
- Aumentare la sicurezza per la rete virtuale, consentendo di bloccare l'esfiltrazione dei dati dalla rete virtuale.
- Connettersi in modo sicuro a Web PubSub da reti locali che si connettono alla rete virtuale usando una VPN o Azure ExpressRoute con peering privato.
Usare endpoint privati in una rete virtuale
Un endpoint privato è un'interfaccia di rete speciale per un servizio di Azure nella rete virtuale. Quando si crea un endpoint privato per la propria risorsa Web PubSub, questo fornisce una connettività sicura tra i client della rete virtuale e il servizio. All'endpoint privato viene assegnato un indirizzo IP dall'intervallo di indirizzi IP della rete virtuale. La connessione tra l'endpoint privato e Web PubSub usa un collegamento privato sicuro.
Le applicazioni nella rete virtuale possono connettersi facilmente alle risorse Web PubSub usando l'endpoint privato. Le applicazioni utilizzano le stesse stringhe di connessione e gli stessi meccanismi di autorizzazione che userebbero in caso contrario.
Gli endpoint privati possono essere usati con tutti i protocolli supportati dalla risorsa Web PubSub, inclusa l'API REST.
Quando si crea un endpoint privato per una risorsa Web PubSub nella rete virtuale, viene inviata una richiesta di consenso per l'approvazione al proprietario della risorsa PubSub Web. Se l'utente che richiede l'endpoint privato è anche proprietario della risorsa Web PubSub, questa richiesta di consenso viene approvata automaticamente.
È possibile gestire le richieste di consenso e gli endpoint privati per la risorsa Web PubSub nella scheda Endpoint privati del portale di Azure.
Suggerimento
Se si vuole limitare l'accesso alla risorsa Web PubSub solo tramite l'endpoint privato, configurare il controllo di accesso di rete per negare o controllare l'accesso tramite l'endpoint pubblico.
Connettersi a un endpoint privato
I client in una rete virtuale che utilizza un endpoint privato devono usare la stessa stringa di connessione per la risorsa PubSub Web utilizzata dai client che si connettono tramite un endpoint pubblico. Ci si basa sulla risoluzione Domain Name System (DNS) per instradare automaticamente le connessioni dalla rete virtuale a Web PubSub tramite un collegamento privato.
Importante
Usare la stessa stringa di connessione per connettersi a Web PubSub utilizzando endpoint privati usati per un endpoint pubblico. Non connettersi a Web PubSub usando il relativo URL privatelink del sottodominio.
Per impostazione predefinita, viene creata una zona DNS privata collegata alla rete virtuale con gli aggiornamenti necessari per gli endpoint privati. Se si usa il proprio server DNS, potrebbe essere necessario apportare altre modifiche alla configurazione del DNS. Nella sezione successiva vengono descritti gli aggiornamenti necessari per gli endpoint privati.
Modifiche al DNS per gli endpoint privati
Quando si crea un endpoint privato, il record di risorse DNS CNAME per la risorsa Web PubSub viene aggiornato a un alias in un sottodominio con il prefisso privatelink. Per impostazione predefinita, viene anche creata una zona DNS privata, che corrisponde al sottodominio privatelink, con i record di risorse A del DNS per gli endpoint privati.
Quando si risolve il nome di dominio della risorsa Web PubSub dall'esterno della VNet con l'endpoint privato, questo si risolve nell'endpoint pubblico della risorsa Web PubSub. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, il nome del dominio viene risolto nell'indirizzo IP dell'endpoint privato.
Per l'esempio precedente illustrato, i record di risorse DNS per la risorsa sample di Web PubSub quando vengono risolti dall'esterno della rete virtuale che ospita l'endpoint privato:
| Nome | Type | Valore |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
Un | <Indirizzo IP pubblico Web PubSub> |
È possibile negare o controllare l'accesso per i client esterni alla rete virtuale tramite l'endpoint pubblico usando il controllo di accesso alla rete.
I record di risorse DNS per la risorsa sample Web PubSub quando vengono risolti da un client nella rete virtuale che ospita l'endpoint privato è simile a questo esempio:
| Nome | Type | Valore |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
Un | 10.1.1.5 |
Questo approccio consente l'accesso a Web PubSub usando la stessa stringa di connessione per i client nella rete virtuale che ospita l'endpoint privato e per i client esterni alla rete virtuale.
Se si usa un server DNS personalizzato nella rete, i client devono essere in grado di risolvere il nome di dominio completo (FQDN) per l'endpoint della risorsa Web PubSub all'indirizzo IP dell'endpoint privato. È necessario configurare il server DNS per delegare il sottodominio di collegamento privato alla zona DNS privata per la rete virtuale, o configurare i record A per sample.privatelink.webpubsub.azure.com da utilizzare con l'indirizzo IP dell'endpoint privato.
Suggerimento
Se si usa un server DNS personalizzato o locale, è consigliabile configurare il server DNS in modo da risolvere il nome della risorsa Web PubSub nel sottodominio privatelink nell'indirizzo IP dell'endpoint privato. A tale scopo, è possibile delegare il sottodominio privatelink alla zona DNS privata della rete virtuale oppure configurare la zona DNS nel server DNS e poi aggiungere i record A del DNS.
È consigliabile usare privatelink.webpubsub.azure.com per il nome della zona DNS per gli endpoint privati in una risorsa PubSub Web.
Per altre informazioni sulla configurazione di un server DNS personalizzato per supportare gli endpoint privati, vedere gli articoli seguenti:
- Risoluzione dei nomi per le risorse in reti virtuali di Azure
- Configurazione DNS per gli endpoint privati
Creare un endpoint privato
Le sezioni seguenti descrivono come creare un endpoint privato e una nuova istanza di Web PubSub e come creare un endpoint privato per un'istanza esistente di Web PubSub.
Creare un endpoint privato in una nuova istanza di Web PubSub
Nel portale di Azure creare una nuova istanza di PubSub Web di Azure. Nella scheda Rete selezionare Endpoint privato in Metodo di connettività.
Selezionare Aggiungi. Selezionare o immettere la sottoscrizione, il nome del gruppo di risorse, l'area di Azure e un nome per il nuovo endpoint privato. Scegliere una rete virtuale e la subnet da utilizzare.
Selezionare Rivedi e crea.
Creare un endpoint privato per una risorsa PubSub Web esistente
Nel portale di Azure passare alla risorsa Web PubSub.
Nel menu a sinistra in Impostazioni selezionare Connessioni endpoint privati.
Selezionare Endpoint privato.
Selezionare o immettere i valori per sottoscrizione, gruppo di risorse, nome della risorsa e area per il nuovo endpoint privato.
Selezionare la risorsa Web PubSub di destinazione.
Selezionare la rete virtuale di destinazione.
Selezionare Rivedi e crea.
Prezzi
Per informazioni dettagliate sui prezzi, vedere Prezzi di Collegamento privato di Azure.
Problemi noti
Tenere presente i problemi noti seguenti relativi all'uso di endpoint privati in Web PubSub.
Vincoli di livello gratuito
Un'istanza Web PubSub di Azure creata usando il livello gratuito non può essere integrata con un endpoint privato.
Vincoli di accesso per i client in reti virtuali con endpoint privati
I client nelle reti virtuali con endpoint privati esistenti hanno vincoli quando accedono ad altre istanze PubSub Web con endpoint privati. Ad esempio, una rete virtuale N1 ha un endpoint privato per un'istanza PubSub Web W1. Se l'istanza Web PubSub W2 ha un endpoint privato in una rete virtuale N2, i client nella rete virtuale N1 devono accedere anche all'istanza PubSub Web W2 usando un endpoint privato.
Se l'istanza Web PubSub W2 non dispone di endpoint privati, i client nella rete virtuale N1 possono accedere alla risorsa Web PubSub in tale account senza usare un endpoint privato. Questo vincolo è il risultato delle modifiche DNS apportate quando l'istanza Web PubSub W2 crea un endpoint privato.