Aceda ao Cofre da Chave na rede privada através de terminais privados partilhados

O Serviço Azure Web PubSub pode acessar seu Cofre da Chave em uma rede privada por meio de conexões de pontos de extremidade privados compartilhados. Este artigo mostra como configurar sua instância de serviço Web PubSub para rotear chamadas de saída para um cofre de chaves por meio de um ponto de extremidade privado compartilhado em vez de uma rede pública.

Os pontos de extremidade privados de recursos protegidos criados por meio das APIs do Serviço PubSub da Web do Azure são chamados de recursos de link privado compartilhados. Isso ocorre porque você está "compartilhando" o acesso a um recurso, como um Cofre da Chave do Azure, que foi integrado ao serviço Azure Private Link. Esses pontos de extremidade privados são criados dentro do ambiente de execução do Serviço Web PubSub do Azure e não são diretamente visíveis para você.

Nota

Os exemplos neste artigo usam as seguintes IDs de recurso:

• A ID de recurso deste Serviço PubSub Web do Azure é _/subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub .
• A ID de recurso do Azure Key Vault é /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Ao seguir as etapas, substitua as IDs de recurso do seu Serviço Azure Web PubSub e do Azure Key Vault.

Pré-requisitos

• Uma subscrição do Azure, se não tiver uma, crie uma [conta gratuita]. (https://azure.microsoft.com/free/?WT.mc_id=A261C142F).
• CLI do Azure 2.25.0 ou posterior (se estiver usando a CLI do Azure)._
• Uma instância do Serviço Web PubSub do Azure em uma camada de preço padrão ou superior
• Um recurso do Azure Key Vault.

1. Crie um recurso de ponto final privado compartilhado para o Cofre da Chave

Portal do Azure

1. No portal do Azure, vá para a página de recursos do Serviço Azure Web PubSub.

2. Selecione Rede no menu.

3. Selecione a guia Acesso privado .

4. Selecione Adicionar ponto de extremidade privado compartilhado.

   

5. Insira um Nome para o ponto de extremidade privado compartilhado.

6. Insira seu recurso do cofre de chaves escolhendo Selecionar entre seus recursos e selecionando seu recurso nas listas, ou escolhendo Especificar ID do recurso e inserindo o ID do recurso do cofre de chaves.

7. Digite por favor aprovar para a mensagem de solicitação.

8. Selecione Adicionar.

   

O estado de provisionamento de recursos de ponto de extremidade privado compartilhado é Bem-sucedido. O estado da conexão é Aprovação pendente no lado do recurso de destino.

CLI do Azure

Você pode fazer a seguinte chamada de API com a CLI do Azure para criar um recurso de link privado compartilhado. Substitua o uri pelo seu próprio valor.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

O conteúdo do arquivo create-pe.json , que representa o corpo da solicitação para a API, é o seguinte:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

O processo de criação de um ponto de extremidade privado de saída é uma operação de longa execução (assíncrona). Como em todas as operações assíncronas do Azure, a PUT chamada retorna um Azure-AsyncOperation valor de cabeçalho semelhante à seguinte saída:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Você pode sondar esse URI periodicamente para obter o status da operação. Aguarde até que o status mude para "Aprovado" antes de prosseguir para as próximas etapas.

Você pode pesquisar o status consultando manualmente o Azure-AsyncOperationHeader valor:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

2. Aprove a conexão de ponto de extremidade privado para o Cofre da Chave

Depois que a conexão de ponto de extremidade privado tiver sido criada, você precisará aprovar a solicitação de conexão do Serviço Web PubSub do Azure em seu recurso de cofre de chaves.

Portal do Azure

1. No portal do Azure, vá para a página de recursos do cofre de chaves.

2. Selecione Rede no menu.

3. Selecione Ligações de ponto final privado.

   

4. Selecione o ponto de extremidade privado que o Serviço Web PubSub do Azure criou.

5. Selecione Aprovar e Sim para confirmar.

6. Aguarde até que a conexão de ponto de extremidade privado seja aprovada.

   

CLI do Azure

1. Listar conexões de ponto de extremidade privadas.

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Deve haver uma conexão de ponto de extremidade privada pendente. Observe o seu id.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Aprove a conexão de ponto de extremidade privado.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

3. Consultar o status do recurso de link privado compartilhado

Leva alguns minutos para que a aprovação seja propagada para o Serviço PubSub da Web do Azure. Você pode verificar o estado usando o portal do Azure ou a CLI do Azure. O ponto de extremidade privado compartilhado entre o Serviço PubSub da Web do Azure e o Cofre da Chave do Azure fica ativo quando o estado do contêiner é aprovado.

Portal do Azure

1. Vá para o recurso Serviço PubSub da Web do Azure no portal do Azure.

2. Selecione Rede no menu.

3. Selecione Recursos de link privado compartilhado.

   

CLI do Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Esse comando retornaria um JSON, onde o estado da conexão apareceria como "status" na seção "propriedades".

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Quando o "Estado de Provisionamento" () do recurso é e "Estado de Conexão" (properties.provisioningStateproperties.status) é , o recurso de link privado compartilhado é SucceededApprovedfuncional e o Serviço Azure Web PubSub pode se comunicar pelo ponto de extremidade privado.

Agora você pode configurar recursos como um domínio personalizado como de costume. Você não precisa usar um domínio especial para o Cofre de Chaves. O Serviço Web PubSub do Azure lida automaticamente com a resolução DNS.

Próximos passos

Saiba mais:

• O que são endpoints privados?
• Configurar um domínio personalizado