Używanie prywatnych punktów końcowych dla usługi Azure Web PubSub
Możesz użyć prywatnych punktów końcowych dla usługi Azure Web PubSub, aby umożliwić klientom w sieci wirtualnej bezpieczny dostęp do danych za pośrednictwem usługi Private Link. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej dla usługi Azure Web PubSub. Ruch sieciowy między klientami w sieci wirtualnej a usługą Azure Web PubSub przechodzi przez łącze prywatne w sieci szkieletowej firmy Microsoft, eliminując narażenie z publicznego Internetu.
Korzystanie z prywatnych punktów końcowych dla usługi Azure Web PubSub umożliwia:
- Zabezpiecz usługę Azure Web PubSub przy użyciu kontroli dostępu do sieci, aby zablokować wszystkie połączenia w publicznym punkcie końcowym usługi Azure Web PubSub.
- Zwiększ bezpieczeństwo sieci wirtualnej, umożliwiając blokowanie eksfiltracji danych z sieci wirtualnej.
- Bezpiecznie nawiąż połączenie z usługą Azure Web PubSub z sieci lokalnych łączących się z siecią wirtualną przy użyciu sieci VPN lub usługi ExpressRoutes z prywatną komunikacją równorzędną.
Omówienie pojęć
Prywatny punkt końcowy to specjalny interfejs sieciowy dla usługi platformy Azure w sieci wirtualnej. Podczas tworzenia prywatnego punktu końcowego dla usługi Azure Web PubSub zapewnia bezpieczną łączność między klientami w sieci wirtualnej a usługą. Prywatny punkt końcowy ma przypisany adres IP z zakresu adresów IP sieci wirtualnej. Połączenie między prywatnym punktem końcowym a usługą Azure Web PubSub używa bezpiecznego łącza prywatnego.
Aplikacje w sieci wirtualnej mogą bezproblemowo łączyć się z usługą Azure Web PubSub za pośrednictwem prywatnego punktu końcowego przy użyciu tych samych parametry połączenia i mechanizmów autoryzacji, które będą używane w przeciwnym razie. Prywatne punkty końcowe mogą być używane ze wszystkimi protokołami obsługiwanymi przez usługę Azure Web PubSub, w tym interfejs API REST.
Po utworzeniu prywatnego punktu końcowego dla usługi Azure Web PubSub w sieci wirtualnej żądanie zgody zostanie wysłane do właściciela usługi Azure Web PubSub. Jeśli użytkownik żądający utworzenia prywatnego punktu końcowego jest również właścicielem usługi Azure Web PubSub, to żądanie zgody zostanie automatycznie zatwierdzone.
Właściciele usługi Azure Web PubSub mogą zarządzać żądaniami zgody i prywatnymi punktami końcowymi za pośrednictwem karty "Prywatne punkty końcowe" dla usługi Azure Web PubSub w witrynie Azure Portal.
Napiwek
Jeśli chcesz ograniczyć dostęp do usługi Azure Web PubSub tylko za pośrednictwem prywatnego punktu końcowego, skonfiguruj kontrolę dostępu do sieci, aby blokować lub kontrolować dostęp za pośrednictwem publicznego punktu końcowego.
Połączenie do prywatnych punktów końcowych
Klienci w sieci wirtualnej korzystającej z prywatnego punktu końcowego powinni używać tego samego parametry połączenia dla usługi Azure Web PubSub, ponieważ klienci łączący się z publicznym punktem końcowym. Polegamy na rozpoznawaniu nazw DNS w celu automatycznego kierowania połączeń z sieci wirtualnej do usługi Azure Web PubSub za pośrednictwem łącza prywatnego.
Ważne
Użyj tego samego parametry połączenia, aby nawiązać połączenie z usługą Azure Web PubSub przy użyciu prywatnych punktów końcowych, jak w przeciwnym razie. Nie łącz się z usługą Azure Web PubSub przy użyciu adresu privatelink URL poddomeny.
Domyślnie tworzymy prywatną strefę DNS dołączoną do sieci wirtualnej z niezbędnymi aktualizacjami dla prywatnych punktów końcowych. Jeśli jednak używasz własnego serwera DNS, może być konieczne wprowadzenie innych zmian w konfiguracji DNS. W sekcji dotyczącej zmian DNS poniżej opisano aktualizacje wymagane dla prywatnych punktów końcowych.
Zmiany DNS dla prywatnych punktów końcowych
Podczas tworzenia prywatnego punktu końcowego rekord zasobu CNAME dns dla usługi Azure Web PubSub jest aktualizowany do aliasu w poddomenie z prefiksem privatelink. Domyślnie tworzymy również prywatną strefę DNS odpowiadającą privatelink poddomenie z rekordami zasobów DNS A dla prywatnych punktów końcowych.
Po rozpoznaniu nazwy domeny usługi Azure Web PubSub spoza sieci wirtualnej przy użyciu prywatnego punktu końcowego jest rozpoznawana jako publiczny punkt końcowy usługi Azure Web PubSub. Po rozpoznaniu z sieci wirtualnej obsługującej prywatny punkt końcowy nazwa domeny jest rozpoznawana jako adres IP prywatnego punktu końcowego.
W przedstawionym przykładzie powyżej rekordy zasobów DNS dla usługi Azure Web PubSub "foobar" po rozpoznaniu spoza sieci wirtualnej hostujące prywatny punkt końcowy będą następujące:
| Imię i nazwisko/nazwa | Typ | Wartość |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | <Publiczny adres IP usługi Azure Web PubSub> |
Jak wspomniano wcześniej, można blokować lub kontrolować dostęp dla klientów spoza sieci wirtualnej za pośrednictwem publicznego punktu końcowego przy użyciu kontroli dostępu do sieci.
Rekordy zasobów DNS dla "foobar", po rozpoznaniu przez klienta w sieci wirtualnej hostująca prywatny punkt końcowy, będą następujące:
| Imię i nazwisko/nazwa | Typ | Wartość |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Takie podejście umożliwia dostęp do usługi Azure Web PubSub przy użyciu tych samych parametry połączenia dla klientów w sieci wirtualnej hostujące prywatne punkty końcowe i klientów spoza sieci wirtualnej.
Jeśli używasz niestandardowego serwera DNS w sieci, klienci muszą mieć możliwość rozpoznawania nazwy FQDN punktu końcowego usługi Azure Web PubSub do prywatnego adresu IP punktu końcowego. Należy skonfigurować serwer DNS, aby delegować poddomenę łącza prywatnego do prywatnej strefy DNS dla sieci wirtualnej lub skonfigurować rekordy A dla foobar.privatelink.webpubsub.azure.com z prywatnym adresem IP punktu końcowego.
Napiwek
W przypadku korzystania z niestandardowego lub lokalnego serwera DNS należy skonfigurować serwer DNS, aby rozpoznać nazwę usługi Azure Web PubSub w privatelink poddomenie na prywatny adres IP punktu końcowego. Można to zrobić, delegując poddomenę do prywatnej strefy DNS sieci wirtualnej lub konfigurując privatelink strefę DNS na serwerze DNS i dodając rekordy DNS A.
Zalecana nazwa strefy DNS dla prywatnych punktów końcowych dla usługi Azure Web PubSub to: privatelink.webpubsub.azure.com.
Aby uzyskać więcej informacji na temat konfigurowania własnego serwera DNS do obsługi prywatnych punktów końcowych, zobacz następujące artykuły:
- Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure
- Konfiguracja DNS dla prywatnych punktów końcowych
Tworzenie prywatnego punktu końcowego
Tworzenie prywatnego punktu końcowego wraz z nową usługą Azure Web PubSub w witrynie Azure Portal
Podczas tworzenia nowej usługi Azure Web PubSub wybierz kartę Sieć. Wybierz prywatny punkt końcowy jako metodę łączności.
Wybierz pozycję Dodaj. Wypełnij pola subskrypcja, grupa zasobów, lokalizacja, nazwa nowego prywatnego punktu końcowego. Wybierz sieć wirtualną i podsieć.
Wybierz pozycję Przejrzyj i utwórz.
Tworzenie prywatnego punktu końcowego dla istniejącej usługi Azure Web PubSub w witrynie Azure Portal
Przejdź do usługi Azure Web PubSub.
Wybierz menu ustawień o nazwie Połączenia prywatnego punktu końcowego.
Wybierz przycisk + Prywatny punkt końcowy u góry.
Wypełnij pola subskrypcja, grupa zasobów, nazwa zasobu i region dla nowego prywatnego punktu końcowego.
Wybierz docelowy zasób usługi Azure Web PubSub.
Wybieranie docelowej sieci wirtualnej
Wybierz pozycję Przejrzyj i utwórz.
Kalkulacja cen
Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Azure Private Link.
Znane problemy
Pamiętaj o następujących znanych problemach dotyczących prywatnych punktów końcowych dla usługi Azure Web PubSub.
Warstwa Bezpłatna
Wystąpienie usługi Azure Web PubSub w warstwie Bezpłatna nie może zintegrować się z prywatnym punktem końcowym.
Ograniczenia dostępu dla klientów w sieciach wirtualnych z prywatnymi punktami końcowymi
Klienci w sieciach wirtualnych z istniejącymi prywatnymi punktami końcowymi napotykają ograniczenia podczas uzyskiwania dostępu do innych wystąpień usługi Azure Web PubSub, które mają prywatne punkty końcowe. Załóżmy na przykład, że sieć wirtualna N1 ma prywatny punkt końcowy dla wystąpienia usługi Azure Web PubSub W1. Jeśli usługa Azure Web PubSub W2 ma prywatny punkt końcowy w sieci wirtualnej N2, klienci w sieci wirtualnej N1 muszą również uzyskać dostęp do usługi Azure Web PubSub W2 przy użyciu prywatnego punktu końcowego. Jeśli usługa Azure Web PubSub W2 nie ma żadnych prywatnych punktów końcowych, klienci w sieci wirtualnej N1 mogą uzyskać dostęp do usługi Azure Web PubSub na tym koncie bez prywatnego punktu końcowego.
To ograniczenie jest wynikiem zmian DNS wprowadzonych, gdy usługa Azure Web PubSub W2 tworzy prywatny punkt końcowy.