Share via

Konfigurowanie domeny niestandardowej dla usługi Azure Web PubSub Service

  • Artykuł

Oprócz domeny domyślnej udostępnionej przez usługę Azure Web PubSub można również dodać domenę niestandardową. Domena niestandardowa to nazwa domeny, której jesteś właścicielem i którymi zarządzasz. Możesz użyć domeny niestandardowej, aby uzyskać dostęp do zasobu usługi Azure Web PubSub Service. Możesz na przykład użyć contoso.example.com zamiast contoso.webpubsub.azure.com uzyskać dostęp do zasobu usługi Azure Web PubSub Service.

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Jeśli nie masz konta platformy Azure, możesz bezpłatnie utworzyć konto.
  • Usługa Azure Web PubSub (musi być warstwą Premium).
  • Zasób usługi Azure Key Vault.
  • Niestandardowy certyfikat pasujący do domeny niestandardowej przechowywanej w usłudze Azure Key Vault.

Dodawanie certyfikatu niestandardowego

Przed dodaniem domeny niestandardowej należy najpierw dodać pasujący certyfikat niestandardowy. Certyfikat niestandardowy to zasób usługi Azure Web PubSub Service. Odwołuje się do certyfikatu w usłudze Azure Key Vault. Ze względów bezpieczeństwa i zgodności usługa Azure Web PubSub Service nie przechowuje trwale certyfikatu. Zamiast tego pobiera go z usługi Key Vault na bieżąco i przechowuje go w pamięci.

Krok 1. Udzielanie zasobowi usługi Azure Web PubSub Service dostępu do usługi Key Vault

Usługa Azure Web PubSub service używa tożsamości zarządzanej do uzyskiwania dostępu do usługi Key Vault. Aby autoryzować, musi mieć przyznane uprawnienia.

  1. W witrynie Azure Portal przejdź do zasobu usługi Azure Web PubSub Service.

  2. W okienku menu wybierz pozycję Tożsamość.

  3. Możesz wybrać opcję Tożsamość przypisana przez system lub Tożsamość przypisana przez użytkownika. Jeśli chcesz użyć tożsamości przypisanej przez użytkownika, musisz najpierw utworzyć jedną z nich.

    1. Aby dodać tożsamość przypisaną przez system

      1. Wybierz pozycję Włączone.
      2. Wybierz Tak, aby potwierdzić.
      3. Wybierz pozycję Zapisz.

      Screenshot of enabling system assigned managed identity.

    2. Aby dodać tożsamość przypisaną przez użytkownika;

      1. Wybierz pozycję Dodaj tożsamość zarządzaną przypisaną przez użytkownika.
      2. Wybierz istniejącą tożsamość.
      3. Wybierz opcję Dodaj.

      Screenshot of enabling user assigned managed identity.

  4. Wybierz pozycję Zapisz.

W zależności od sposobu konfigurowania modelu uprawnień usługi Key Vault może być konieczne przyznanie uprawnień w różnych miejscach.

Jeśli używasz wbudowanych zasad dostępu usługi Key Vault jako modelu uprawnień usługi Key Vault:

Screenshot of built-in access policy selected as Key Vault permission model.

  1. Przejdź do zasobu usługi Key Vault.

  2. W okienku menu wybierz pozycję Konfiguracja dostępu.

  3. Wybierz pozycję Zasady dostępu do magazynu.

  4. Wybierz pozycję Przejdź, aby uzyskać dostęp do zasad.

  5. Wybierz pozycję Utwórz.

  6. Wybierz pozycję Wpis tajny Pobierz uprawnienie.

  7. Wybierz pozycję Certyfikat Uzyskaj uprawnienie.

  8. Wybierz Dalej.

    Screenshot of permissions selection in Key Vault.

  9. Wyszukaj nazwę zasobu usługi Azure Web PubSub Service.

  10. Wybierz Dalej.

    Screenshot of principal selection in Key Vault.

  11. Wybierz pozycję Dalej na karcie Aplikacja .

  12. Wybierz pozycję Utwórz.

Krok 2. Tworzenie certyfikatu niestandardowego

  1. W witrynie Azure Portal przejdź do zasobu usługi Azure Web PubSub Service.

  2. W okienku menu wybierz pozycję Domena niestandardowa.

  3. W sekcji Certyfikat niestandardowy wybierz pozycję Dodaj.

    Screenshot of custom certificate management.

  4. Wprowadź nazwę certyfikatu niestandardowego.

  5. Wybierz pozycję Wybierz z usługi Key Vault , aby wybrać certyfikat usługi Key Vault. Po wybraniu następującego podstawowego identyfikatora URI usługi Key Vault nazwa wpisu tajnego usługi Key Vault zostanie automatycznie wypełniona. Możesz również ręcznie wypełnić te pola.

  6. Opcjonalnie możesz określić wersję wpisu tajnego usługi Key Vault, jeśli chcesz przypiąć certyfikat do określonej wersji.

  7. Wybierz pozycję Dodaj.

    Screenshot of adding a custom certificate.

Usługa Azure Web PubSub pobiera certyfikat i weryfikuje jego zawartość. Po pomyślnym zakończeniu stan aprowizacji certyfikatu będzie mieć wartość Powodzenie.

Screenshot of an added custom certificate.

Tworzenie domeny niestandardowej CNAME

Aby zweryfikować własność domeny niestandardowej, należy utworzyć rekord CNAME dla domeny niestandardowej i wskazać ją na domyślną domenę usługi Azure Web PubSub Service.

Jeśli na przykład domeną domyślną jest contoso.webpubsub.azure.com, a domeną niestandardową jest contoso.example.com, musisz utworzyć rekord CNAME na example.com przykład:

contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com.

Jeśli używasz strefy usługi Azure DNS, zobacz Zarządzanie rekordami DNS, aby dowiedzieć się, jak dodać rekord CNAME.

Screenshot of adding a CNAME record in Azure DNS Zone.

Jeśli używasz innych dostawców DNS, postępuj zgodnie z przewodnikiem dostawcy, aby utworzyć rekord CNAME.

Dodawanie domeny niestandardowej

Domena niestandardowa to kolejny zasób podrzędny usługi Azure Web PubSub. Zawiera wszystkie konfiguracje domeny niestandardowej.

  1. W witrynie Azure Portal przejdź do zasobu usługi Azure Web PubSub Service.

  2. W okienku menu wybierz pozycję Domena niestandardowa.

  3. W obszarze Domena niestandardowa wybierz pozycję Dodaj.

    Screenshot of custom domain management.

  4. Wprowadź nazwę domeny niestandardowej. Jest to nazwa zasobu podrzędnego.

  5. Wprowadź nazwę domeny. Jest to pełna nazwa domeny domeny niestandardowej, na przykład contoso.com.

  6. Wybierz certyfikat niestandardowy, który ma zastosowanie do tej domeny niestandardowej.

  7. Wybierz pozycję Dodaj.

    Screenshot of adding a custom domain.

Weryfikowanie domeny niestandardowej

Teraz możesz uzyskać dostęp do punktu końcowego usługi Azure Web PubSub Za pośrednictwem domeny niestandardowej. Aby to sprawdzić, możesz uzyskać dostęp do interfejsu API kondycji.

Oto przykład użycia biblioteki cURL:

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK
...
PS C:\>

Interfejs API kondycji powinien zwracać 200 kod stanu bez żadnego błędu certyfikatu.

Usługa Key Vault w sieci prywatnej

Jeśli skonfigurowano prywatny punkt końcowy w usłudze Key Vault, usługa Azure Web PubSub Service nie może uzyskać dostępu do usługi Key Vault za pośrednictwem sieci publicznej. Musisz skonfigurować udostępniony prywatny punkt końcowy , aby umożliwić usłudze Azure Web PubSub dostęp do usługi Key Vault za pośrednictwem sieci prywatnej.

Po utworzeniu udostępnionego prywatnego punktu końcowego można utworzyć certyfikat niestandardowy w zwykły sposób. Nie musisz zmieniać domeny w identyfikatorze URI usługi Key Vault. Jeśli na przykład podstawowy identyfikator URI usługi Key Vault to https://contoso.vault.azure.net, nadal używasz tego identyfikatora URI do konfigurowania certyfikatu niestandardowego.

Nie musisz jawnie zezwalać na adresy IP usługi Azure Web PubSub Service w ustawieniach zapory usługi Key Vault. Aby uzyskać więcej informacji, zobacz Diagnostyka łącza prywatnego usługi Key Vault.

Rotacja certyfikatów

Jeśli nie określisz wersji wpisu tajnego podczas tworzenia certyfikatu niestandardowego, usługa Azure Web PubSub Service okresowo sprawdza najnowszą wersję w usłudze Key Vault. Gdy zostanie zaobserwowana nowa wersja, zostanie ona automatycznie zastosowana. Opóźnienie wynosi zwykle w ciągu 1 godziny.

Alternatywnie można również przypiąć certyfikat niestandardowy do określonej wersji wpisu tajnego w usłudze Key Vault. Jeśli musisz zastosować nowy certyfikat, możesz edytować wersję wpisu tajnego, a następnie aktywnie aktualizować certyfikat niestandardowy.

Następne kroki