Uzyskiwanie dostępu do usługi Key Vault w sieci prywatnej za pośrednictwem udostępnionych prywatnych punktów końcowych

Artykuł
10/26/2023

Usługa Azure Web PubSub może uzyskiwać dostęp do usługi Key Vault w sieci prywatnej za pośrednictwem współużytkowanych prywatnych punktów końcowych. W tym artykule pokazano, jak skonfigurować wystąpienie usługi Web PubSub w celu kierowania wywołań wychodzących do magazynu kluczy za pośrednictwem udostępnionego prywatnego punktu końcowego, a nie sieci publicznej.

Diagram showing architecture of shared private endpoint.

Prywatne punkty końcowe zabezpieczonych zasobów utworzonych za pośrednictwem interfejsów API usługi Azure Web PubSub Service są nazywane udostępnionymi zasobami łącza prywatnego. Dzieje się tak, ponieważ dostęp do zasobu, takiego jak usługa Azure Key Vault, jest "udostępnianie", który został zintegrowany z usługą Azure Private Link. Te prywatne punkty końcowe są tworzone w środowisku wykonywania usługi Azure Web PubSub Service i nie są bezpośrednio widoczne dla Ciebie.

Uwaga

W przykładach w tym artykule użyto następujących identyfikatorów zasobów:

Identyfikator zasobu tej usługi Azure Web PubSub to _/subscriptions/00000000-0000-0000-0000-0000000000000000000/resourceGroups/contoso.SignalRService/webpubsub/contoso-webpubsub.
Identyfikator zasobu usługi Azure Key Vault to /subscriptions/000000000-0000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Podczas wykonywania kroków zastąp identyfikatory zasobów usług Azure Web PubSub Service i Azure Key Vault.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, utwórz [bezpłatne konto]. (https://azure.microsoft.com/free/?WT.mc_id=A261C142F).
Interfejs wiersza polecenia platformy Azure w wersji 2.25.0 lub nowszej (jeśli używasz interfejsu wiersza polecenia platformy Azure)._
Wystąpienie usługi Azure Web PubSub Service w warstwie cenowej Standardowa lub nowszej
Zasób usługi Azure Key Vault.

1. Tworzenie udostępnionego zasobu prywatnego punktu końcowego w usłudze Key Vault

Witryna Azure Portal
Interfejs wiersza polecenia platformy Azure

W witrynie Azure Portal przejdź do strony zasobów usługi Azure Web PubSub Service.
Wybierz pozycję Sieć z menu.
Wybierz kartę Dostęp prywatny.
Wybierz pozycję Dodaj udostępniony prywatny punkt końcowy.
Wprowadź nazwę udostępnionego prywatnego punktu końcowego.
Wprowadź zasób magazynu kluczy, wybierając pozycję Wybierz z zasobów i wybierając zasób z list lub wybierając pozycję Określ identyfikator zasobu i wprowadzając identyfikator zasobu magazynu kluczy.
Wprowadź wartość zatwierdźkomunikat Żądanie.
Wybierz pozycję Dodaj.

Stan aprowizacji współużytkowanego zasobu prywatnego punktu końcowego to Powodzenie. Stan połączenia to Oczekiwanie na zatwierdzenie po stronie zasobu docelowego.

Aby utworzyć udostępniony zasób łącza prywatnego, możesz wykonać następujące wywołanie interfejsu API za pomocą interfejsu wiersza polecenia platformy Azure. Zastąp element uri własną wartością.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Zawartość pliku create-pe.json reprezentująca treść żądania interfejsu API jest następująca:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Proces tworzenia wychodzącego prywatnego punktu końcowego jest długotrwałą operacją (asynchroniczną). Podobnie jak we wszystkich operacjach PUT asynchronicznych platformy Azure wywołanie zwraca wartość nagłówka Azure-AsyncOperation , która wygląda jak następujące dane wyjściowe:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Ten identyfikator URI można okresowo sondować, aby uzyskać stan operacji. Przed przejściem do następnych kroków poczekaj, aż stan zmieni się na "Powodzenie".

Możesz sondować stan, ręcznie wykonując Azure-AsyncOperationHeader zapytanie dotyczące wartości:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

2. Zatwierdź połączenie prywatnego punktu końcowego dla usługi Key Vault

Po utworzeniu połączenia prywatnego punktu końcowego należy zatwierdzić żądanie połączenia z usługi Azure Web PubSub w zasobie magazynu kluczy.

Witryna Azure Portal
Interfejs wiersza polecenia platformy Azure

W witrynie Azure Portal przejdź do strony zasobów magazynu kluczy.
Wybierz pozycję Sieć z menu.
Wybierz pozycję Połączenia prywatnych punktów końcowych.
Wybierz prywatny punkt końcowy utworzony przez usługę Azure Web PubSub Service.
Wybierz pozycję Zatwierdź i Tak , aby potwierdzić.
Poczekaj na zatwierdzenie połączenia prywatnego punktu końcowego.

Wyświetlanie listy połączeń prywatnych punktów końcowych.

az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'

Powinno istnieć oczekujące połączenie prywatnego punktu końcowego. Zanotuj wartość id.

[
    {
        "id": "<id>",
        "location": "",
        "name": "",
        "properties": {
            "privateLinkServiceConnectionState": {
                "actionRequired": "None",
                "description": "Please approve",
                "status": "Pending"
           }
        }
    }
]

Zatwierdź połączenie prywatnego punktu końcowego.

az network private-endpoint-connection approve --id <private-endpoint-connection-id>

3. Wykonywanie zapytań o stan zasobu udostępnionego łącza prywatnego

Propagowanie zatwierdzenia do usługi Azure Web PubSub service trwa kilka minut. Stan można sprawdzić przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure. Współużytkowany prywatny punkt końcowy między usługą Azure Web PubSub Service i usługą Azure Key Vault jest aktywny po zatwierdzeniu stanu kontenera.

Witryna Azure Portal
Interfejs wiersza polecenia platformy Azure

Przejdź do zasobu usługi Azure Web PubSub Service w witrynie Azure Portal.
Wybierz pozycję Sieć z menu.
Wybierz pozycję Udostępnione zasoby łącza prywatnego.

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

To polecenie zwróci kod JSON, w którym stan połączenia będzie wyświetlany jako "status" w sekcji "properties".

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Gdy stan "Stan aprowizacji" (properties.provisioningState) zasobu to Succeeded "stan Połączenie ion" (properties.status) to Approved, współużytkowany zasób łącza prywatnego działa, a usługa Azure Web PubSub może komunikować się za pośrednictwem prywatnego punktu końcowego.

Teraz możesz skonfigurować funkcje, takie jak domena niestandardowa, jak zwykle. Nie musisz używać specjalnej domeny dla usługi Key Vault. Usługa Azure Web PubSub automatycznie obsługuje rozpoznawanie nazw DNS.

Następne kroki

Więcej informacji: