Aceda ao Cofre da Chave numa rede privada através de terminais privados partilhados

O Serviço Azure SignalR pode aceder ao seu Cofre da Chave numa rede privada através de Pontos de Extremidade Privados Partilhados. Desta forma, o Cofre da Chave não fica exposto numa rede pública.

Você pode criar pontos de extremidade privados por meio das APIs do Serviço SignalR do Azure para acesso compartilhado a um recurso integrado ao serviço Azure Private Link. Esses pontos de extremidade, chamados recursos de link privado compartilhado, são criados dentro do ambiente de execução do SignalR e não são acessíveis fora desse ambiente.

Neste artigo, você aprenderá a criar um ponto de extremidade privado compartilhado para o Cofre de Chaves.

Pré-requisitos

Você precisará dos seguintes recursos para concluir este artigo:

• Um grupo de recursos do Azure.
• Uma instância do Serviço Azure SignalR.
• Uma instância do Azure Key Vault.

Os exemplos neste artigo usam a seguinte convenção de nomenclatura, embora você possa usar seus próprios nomes.

• A ID de recurso deste Serviço SignalR do Azure é /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• A ID de recurso do Azure Key Vault é /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.
• O restante dos exemplos mostra como o serviço contoso-signalr pode ser configurado para que suas chamadas de saída para o Cofre da Chave passem por um ponto de extremidade privado em vez de rede pública.

Criar um recurso de link privado compartilhado para o Cofre da Chave

Portal do Azure

1. No portal do Azure, vá para o recurso do Serviço Azure SignalR.

2. Selecione Rede.

3. Selecione a guia Acesso privado .

4. Selecione Adicionar ponto de extremidade privado compartilhado na seção Pontos de extremidade privados compartilhados.

   

   Introduza as informações seguintes:

   Campo	Descrição
   Name	O nome do ponto de extremidade privado compartilhado.
   Tipo	Selecione Microsoft.KeyVault/vaults
   Subscrição	A subscrição que contém o Cofre da Chave.
   Recurso	Introduza o nome do recurso Cofre da Chave.
   Solicitar Mensagem	Digite "por favor aprove"

5. Selecione Adicionar.

   

Quando você tiver adicionado com êxito o ponto de extremidade privado, o estado de provisionamento será Bem-sucedido. O estado da conexão será Pendente até que você aprove o ponto de extremidade no lado do Cofre da Chave.

CLI do Azure

Faça a seguinte chamada de API com a CLI do Azure para criar um recurso de link privado compartilhado:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json

O conteúdo do arquivo create-pe.json , que representa o corpo da solicitação para a API, é o seguinte:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

O processo de criação de um ponto de extremidade privado de saída é uma operação de longa execução (assíncrona). Como em todas as operações assíncronas do Azure, a PUT chamada retorna um Azure-AsyncOperation valor de cabeçalho semelhante ao seguinte texto:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Você pode sondar esse URI periodicamente para obter o status da operação.

Você pode pesquisar o status consultando manualmente o Azure-AsyncOperationHeader valor:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Aguarde até que o status mude para Êxito antes de prosseguir para as próximas etapas.

Aprovar a conexão de ponto de extremidade privado para o Cofre da Chave

Portal do Azure

1. Vá para o recurso Key Vault

2. Selecione a opção Rede.

3. Selecione a guia Private endpoint connections . Depois que a operação assíncrona for bem-sucedida, deve haver uma solicitação para uma conexão de ponto de extremidade privada com a mensagem de solicitação da chamada de API anterior.

4. Selecione o ponto de extremidade privado que o Serviço SignalR criou e, em seguida, selecione Aprovar.

5. Selecione Sim para aprovar a conexão.

   

CLI do Azure

1. Listar conexões de ponto de extremidade privadas.

   az network private-endpoint-connection list -n <key-vault-resource-name>  -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Deve haver uma conexão de ponto de extremidade privada pendente. Anote o seu ID.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Aprove a conexão de ponto de extremidade privado:

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Verifique se o ponto de extremidade privado compartilhado está funcional

Após alguns minutos, a aprovação é propagada para o Serviço SignalR e o estado da conexão é definido como Aprovado. Você pode verificar o estado usando o portal do Azure ou a CLI do Azure.

Portal do Azure

CLI do Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

O comando retornará um objeto JSON, onde o estado da conexão é mostrado como "status" na seção "properties".

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Quando o "Estado de provisionamento" () do recurso é e "Estado de conexão" (properties.provisioningStateproperties.status) é , o recurso de link privado compartilhado é SucceededApprovedfuncional e o serviço SignalR pode se comunicar através do ponto de extremidade privado.

Quando o ponto de extremidade privado entre o Serviço SignalR e o Cofre de Chaves do Azure é funcional, o valor do estado de provisionamento é Bem-sucedido e o estado da conexão é Aprovado.

Limpeza

Se não planeia utilizar os recursos que criou neste artigo, pode eliminar o Grupo de Recursos.

Atenção

A exclusão do grupo de recursos exclui todos os recursos contidos nele. Se existirem recursos fora do escopo deste artigo no grupo de recursos especificado, eles também serão excluídos.

Próximos passos

• O que são endpoints privados?
• Configurar um domínio personalizado