Azure Web PubSub Service のカスタム ドメインを構成する
Azure Web PubSub サービスによって提供される既定のドメインに加えて、カスタム ドメインを追加することもできます。 カスタム ドメインは、ユーザーが所有し、管理するドメイン名です。 カスタム ドメインを使用して、お使いの Azure Web PubSub サービス リソースにアクセスできます。 たとえば contoso.webpubsub.azure.com の代わりに contoso.example.com を使用して、お使いの Azure Web PubSub サービス リソースにアクセスできます。
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 Azure アカウントをお持ちでない場合は、無料でアカウントを作成することができます。
- Azure Web PubSub サービス (Premium レベルである必要があります)。
- Azure Key Vault リソース。
- Azure Key Vault に格納されている、カスタム ドメインと一致するカスタム証明書。
カスタム証明書を追加する
カスタム ドメインを追加する前に、まず一致するカスタム証明書を追加する必要があります。 カスタム証明書は、Azure Web PubSub サービスのリソースです。 これは Azure Key Vault 内の証明書を参照します。 セキュリティとコンプライアンス上の理由から、Azure Web PubSub Service では証明書を永続的に保存しません。 代わりに、使用時に Key Vault からフェッチされ、メモリに保持されます。
手順 1: Key Vault へのアクセス権を Azure Web PubSub Service リソースに付与する
Azure Web PubSub Service では、マネージド ID を使用して Key Vault にアクセスします。 認可するには、アクセス許可を付与する必要があります。
Azure portal で、Azure Web PubSub サービス リソースに移動します。
メニュー ペインで [ID] を選択します。
[システム割り当て] または [ユーザー割り当て] の ID を選択できます。 ユーザー割り当て ID 使用する場合は、まず作成する必要があります。
システム割り当て ID を追加するには
- [ON] を選択します。
- [はい] を選択して確定します。
- [保存] を選択します。
ユーザー割り当て ID を追加するには
- [ユーザー割り当てマネージド ID の追加] を選択します。
- 既存の ID を選択します。
- [追加] を選択します。
[保存] を選択します。
Key Vault アクセス許可モデルの構成方法によっては、さまざまな場所でアクセス許可を付与することが必要になる場合があります。
Key Vault 組み込みアクセス ポリシーを Key Vault アクセス許可モデルとして使用している場合:
Key Vault リソースに移動します。
メニュー ペインで、[アクセスの構成] を選択します。
[コンテナー アクセス ポリシー] を選択します。
[アクセス ポリシーに移動する] を選択します。
[作成] を選択します。
シークレットの [取得] アクセス許可を選択します。
証明書の [取得] アクセス許可を選択します。
[次へ] を選択します。
Azure Web PubSub サービスのリソース名を検索します。
[次へ] を選択します。
[アプリケーション] タブの [次へ] を選択します。
[作成] を選択します。
手順 2: カスタム証明書要求を作成する
Azure portal で、Azure Web PubSub サービス リソースに移動します。
メニュー ペインで [カスタム ドメイン] を選択します。
[カスタム証明書] セクションで [追加] を選択します。
カスタム証明書の名前を入力します。
[Key Vault から選択] を選択して、Key Vault 証明書を選択します。 次の [Key Vault ベース URI] を選択すると、[Key Vault シークレット名] が自動的に入力されます。 または、これらのフィールドを手動で入力することもできます。
証明書を特定のバージョンに固定する場合は、必要に応じて [Key Vault シークレット バージョン] を指定できます。
[追加] を選択します。
Azure Web PubSub サービスによって証明書がフェッチされ、その内容が検証されます。 成功すると、証明書の [プロビジョニング状態] が [成功] になります。
カスタム ドメインの CNAME を作成する
カスタム ドメインの所有権を検証するには、カスタム ドメインの CNAME レコードを作成して、Azure Web PubSub Service の既定のドメインを指すようにする必要があります。
たとえば、既定のドメインが contoso.webpubsub.azure.com で、カスタム ドメインが contoso.example.com の場合は、次のように example.com に CNAME レコードを作成する必要があります。
contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com.
Azure DNS ゾーンを使用している場合、CNAME レコードを追加する方法については、DNS レコードの管理に関するページを参照してください。
他の DNS プロバイダーを使用している場合は、プロバイダーのガイドに従って CNAME レコードを作成します。
カスタム ドメインの追加
カスタム ドメインは、Azure Web PubSub Service の別のサブ リソースです。 カスタム ドメインのすべての構成が含まれています。
Azure portal で、Azure Web PubSub サービス リソースに移動します。
メニュー ペインで [カスタム ドメイン] を選択します。
[カスタム ドメイン] で [追加] を選択します。
カスタム ドメインの名前を入力します。 これはサブ リソース名です。
ドメイン名を入力します。 これはカスタム ドメインの完全なドメイン名です (
contoso.comなど)。このカスタム ドメインに適用されるカスタム証明書を選択します。
[追加] を選択します。
カスタム ドメインの検証
これで、カスタム ドメイン経由で Azure Web PubSub Service エンドポイントにアクセスできるようになりました。 それを確認するには、正常性 API にアクセスします。
cURL を使用する例を次に示します。
PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com
< HTTP/1.1 200 OK
...
PS C:\>
正常性 API から、証明書エラーなしで状態コード 200 が返されるはずです。
プライベート ネットワークでの Key Vault
Key Vault に対してプライベート エンドポイントを構成している場合、Azure Web PubSub サービスはパブリック ネットワーク経由で Key Vault にアクセスできません。 Azure Web PubSub サービスがプライベート ネットワーク経由で Key Vault にアクセスできるようには、共有プライベート エンドポイントを設定する必要があります。
共有プライベート エンドポイントの作成後は、通常どおりカスタム証明書を作成できます。 Key Vault URI でドメインを変更する必要はありません。 たとえば、Key Vault ベース URI が https://contoso.vault.azure.net の場合、この URI を使用してカスタム証明書を構成します。
Key Vault ファイアウォール設定で、Azure Web PubSub サービス IP を明示的に許可する必要はありません。 詳細については、「Key Vault プライベート リンク診断」を参照してください。
証明書のローテーション
カスタム証明書の作成時にシークレット バージョンを指定しない場合、Azure Web PubSub Service は Key Vault の最新バージョンを定期的にチェックします。 新しいバージョンが観察されると、自動的に適用されます。 通常、遅延は 1 時間以内です。
または、Key Vault の特定のシークレット バージョンにカスタム証明書をピン留めすることもできます。 新しい証明書を適用する必要がある場合は、シークレットバージョンを編集してから、カスタム証明書を事前に更新できます。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示