Usar pontos de extremidade privados para o serviço Azure Web PubSub
Você pode usar pontos de extremidade privados para seu serviço Azure Web PubSub para permitir que clientes em uma rede virtual (VNet) acessem dados com segurança por meio de um Link Privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço VNet para seu serviço Azure Web PubSub. O tráfego de rede entre os clientes na VNet e no serviço Azure Web PubSub atravessa um link privado na rede de backbone da Microsoft, eliminando a exposição da Internet pública.
O uso de pontos de extremidade privados para seu serviço Azure Web PubSub permite que você:
- Proteja seu serviço Azure Web PubSub usando o controle de acesso à rede para bloquear todas as conexões no ponto de extremidade público para o serviço Azure Web PubSub.
- Aumente a segurança da rede virtual (VNet), permitindo que você bloqueie a exfiltração de dados da VNet.
- Conecte-se com segurança ao serviço Azure Web PubSub a partir de redes locais que se conectam à VNet usando VPN ou ExpressRoutes com emparelhamento privado.
Descrição geral conceptual
Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua Rede Virtual (VNet). Quando você cria um ponto de extremidade privado para seu serviço Azure Web PubSub, ele fornece conectividade segura entre clientes em sua rede virtual e seu serviço. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP da sua rede virtual. A conexão entre o ponto de extremidade privado e o serviço Azure Web PubSub usa um link privado seguro.
Os aplicativos na VNet podem se conectar ao serviço Azure Web PubSub através do ponto de extremidade privado perfeitamente, usando as mesmas cadeias de conexão e mecanismos de autorização que usariam de outra forma. Os pontos de extremidade privados podem ser usados com todos os protocolos suportados pelo serviço Azure Web PubSub, incluindo a API REST.
Quando você cria um ponto de extremidade privado para um serviço Azure Web PubSub em sua rede virtual, uma solicitação de consentimento é enviada para aprovação ao proprietário do serviço Azure Web PubSub. Se o usuário que solicita a criação do ponto de extremidade privado também for proprietário do serviço Azure Web PubSub, essa solicitação de consentimento será aprovada automaticamente.
Os proprietários do serviço Azure Web PubSub podem gerenciar solicitações de consentimento e os pontos de extremidade privados, por meio da guia 'Pontos de extremidade privados' para o serviço Azure Web PubSub no portal do Azure.
Gorjeta
Se pretender restringir o acesso ao seu serviço Azure Web PubSub apenas através do ponto de extremidade privado, configure o Controlo de Acesso à Rede para negar ou controlar o acesso através do ponto de extremidade público.
Ligação a terminais privados
Os clientes em uma VNet usando o ponto de extremidade privado devem usar a mesma cadeia de conexão para o serviço Azure Web PubSub, como clientes que se conectam ao ponto de extremidade público. Dependemos da resolução DNS para rotear automaticamente as conexões da VNet para o serviço Azure Web PubSub por meio de um link privado.
Importante
Use a mesma cadeia de conexão para se conectar ao serviço Azure Web PubSub usando pontos de extremidade privados, como você usaria de outra forma. Não se conecte ao serviço Azure Web PubSub usando sua privatelink URL de subdomínio.
Criamos uma zona DNS privada anexada à rede virtual com as atualizações necessárias para os pontos de extremidade privados, por padrão. No entanto, se estiver a utilizar o seu próprio servidor DNS, poderá ter de fazer outras alterações à sua configuração de DNS. A seção sobre alterações de DNS abaixo descreve as atualizações necessárias para pontos de extremidade privados.
Alterações de DNS para pontos de extremidade privados
Quando você cria um ponto de extremidade privado, o registro de recurso DNS CNAME para seu serviço Azure Web PubSub é atualizado para um alias em um subdomínio com o prefixo privatelink. Por padrão, também criamos uma zona DNS privada, correspondente ao privatelink subdomínio, com os registros de recursos DNS A para os pontos de extremidade privados.
Quando você resolve seu nome de domínio do serviço Azure Web PubSub de fora da VNet com o ponto de extremidade privado, ele é resolvido para o ponto de extremidade público do serviço Azure Web PubSub. Quando resolvido a partir da VNet que hospeda o ponto de extremidade privado, o nome de domínio é resolvido para o endereço IP do ponto de extremidade privado.
Para o exemplo ilustrado acima, os registros de recursos DNS para o serviço Azure Web PubSub 'foobar', quando resolvidos de fora da VNet que hospeda o ponto de extremidade privado, serão:
| Nome | Tipo | valor |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | <Endereço IP público do serviço Azure Web PubSub> |
Como mencionado anteriormente, você pode negar ou controlar o acesso para clientes fora da VNet através do ponto de extremidade público usando o controle de acesso à rede.
Os registros de recursos DNS para 'foobar', quando resolvidos por um cliente na VNet que hospeda o ponto de extremidade privado, serão:
| Nome | Tipo | valor |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Essa abordagem permite o acesso ao serviço Azure Web PubSub usando a mesma cadeia de conexão para clientes na VNet que hospeda os pontos de extremidade privados e clientes fora da VNet.
Se você estiver usando um servidor DNS personalizado em sua rede, os clientes deverão ser capazes de resolver o FQDN do ponto de extremidade do serviço Azure Web PubSub para o endereço IP do ponto de extremidade privado. Você deve configurar seu servidor DNS para delegar seu subdomínio de link privado à zona DNS privada para a rede virtual ou configurar os registros A para foobar.privatelink.webpubsub.azure.com com o endereço IP do ponto de extremidade privado.
Gorjeta
Ao usar um servidor DNS personalizado ou local, você deve configurar seu servidor DNS para resolver o nome do serviço Azure Web PubSub no privatelink subdomínio para o endereço IP do ponto de extremidade privado. Você pode fazer isso delegando o privatelink subdomínio à zona DNS privada da rede virtual ou configurando a zona DNS no servidor DNS e adicionando os registros DNS A.
O nome de zona DNS recomendado para pontos de extremidade privados para o serviço Azure Web PubSub é: privatelink.webpubsub.azure.com.
Para obter mais informações sobre como configurar seu próprio servidor DNS para oferecer suporte a pontos de extremidade privados, consulte os seguintes artigos:
- Name resolution for resources in Azure virtual networks (Resolução de nomes para recursos em redes virtuais do Azure)
- Configuração de DNS para pontos de extremidade privados
Criar um ponto final privado
Criar um ponto de extremidade privado junto com um novo serviço Azure Web PubSub no portal do Azure
Ao criar um novo serviço Azure Web PubSub, selecione a guia Rede . Escolha Ponto de extremidade privado como método de conectividade.
Selecione Adicionar. Preencha assinatura, grupo de recursos, local, nome do novo ponto de extremidade privado. Escolha uma rede virtual e uma sub-rede.
Selecione Rever + criar.
Criar um ponto de extremidade privado para um serviço Azure Web PubSub existente no portal do Azure
Vá para o serviço Azure Web PubSub.
Selecione no menu de configurações chamado Private endpoint connections.
Selecione o botão + Ponto final privado na parte superior.
Preencha assinatura, grupo de recursos, nome do recurso e região para o novo ponto de extremidade privado.
Escolha o recurso de serviço Azure Web PubSub de destino.
Escolha a rede virtual de destino
Selecione Rever + criar.
Preços
Para obter detalhes de preços, consulte Preços do Azure Private Link.
Problemas Conhecidos
Lembre-se dos seguintes problemas conhecidos sobre pontos de extremidade privados para o serviço Azure Web PubSub.
Escalão gratuito
A instância de camada gratuita do serviço Azure Web PubSub não pode se integrar ao ponto de extremidade privado.
Restrições de acesso para clientes em redes virtuais com pontos de extremidade privados
Os clientes em redes virtuais com pontos de extremidade privados existentes enfrentam restrições ao acessar outras instâncias do serviço Azure Web PubSub que têm pontos de extremidade privados. Por exemplo, suponha que uma VNet N1 tenha um ponto de extremidade privado para uma instância de serviço W1 do Azure Web PubSub. Se o serviço W2 do Azure Web PubSub tiver um ponto de extremidade privado em uma VNet N2, os clientes na VNet N1 também deverão acessar o serviço W2 do Azure Web PubSub usando um ponto de extremidade privado. Se o serviço Azure Web PubSub W2 não tiver nenhum ponto de extremidade privado, os clientes na VNet N1 poderão acessar o serviço Azure Web PubSub nessa conta sem um ponto de extremidade privado.
Essa restrição é resultado das alterações de DNS feitas quando o serviço W2 do Azure Web PubSub cria um ponto de extremidade privado.