Настройка личного домена для Служба Azure SignalR

  • Статья

Помимо домена по умолчанию, предоставленного Служба Azure SignalR, вы также можете добавить в службу личный ДОМЕН DNS. В этой статье вы узнаете, как добавить личный домен в Служба SignalR.

Примечание.

Личные домены — это функция уровня "Премиум". Ресурсы уровня "Стандартный" можно обновить до уровня "Премиум" без простоя.

Чтобы настроить личный домен, необходимо выполнить следующие действия.

  1. Добавьте сертификат личного домена.
  2. Создайте запись CNAME DNS.
  3. Добавьте личный домен.

Необходимые компоненты

  • Личный домен, зарегистрированный через службу приложение Azure или сторонний регистратор.
  • Учетная запись Azure с активной подпиской.
  • Группа ресурсов Azure.
  • Ресурс Служба Azure SignalR.
  • Экземпляр хранилища ключей Azure.
  • SSL-сертификат личного домена, хранящийся в экземпляре Key Vault. См. статью "Начало работы с сертификатами Key Vault"
  • Зона Azure DNS. (Необязательно)

Добавление настраиваемого сертификата

Прежде чем добавить личный домен, необходимо добавить пользовательский SSL-сертификат. Служба SignalR обращается к сертификату, хранящейся в хранилище ключей, с помощью управляемого удостоверения.

Существует три шага для добавления сертификата домена.

  1. Включите управляемое удостоверение в Служба SignalR.
  2. Предоставьте управляемому удостоверению доступ к хранилищу ключей.
  3. Добавьте настраиваемый сертификат в Служба SignalR.

Включение управляемого удостоверения в Служба SignalR

Вы можете использовать управляемое удостоверение, назначаемое системой или назначаемое пользователем. В этой статье показано использование управляемого удостоверения, назначаемого системой.

  1. В портал Azure перейдите к ресурсу службы SignalR.

  2. Выберите удостоверение в меню слева.

  3. В таблице, назначаемой системой, установите значение "Состояние включено".

    Screenshot of enabling managed identity.

  4. Нажмите кнопку "Сохранить", а затем нажмите кнопку "Да ", когда появится запрос на включение управляемого удостоверения, назначаемого системой.

После создания удостоверения отображается идентификатор объекта (субъекта). Служба SignalR будет использовать идентификатор объекта управляемого удостоверения, назначаемого системой, для доступа к хранилищу ключей. Имя управляемого удостоверения совпадает с именем экземпляра Служба SignalR. В следующем разделе необходимо выполнить поиск субъекта (управляемого удостоверения) с помощью имени или идентификатора объекта.

Предоставление управляемому удостоверению доступа к хранилищу ключей

Служба SignalR использует управляемое удостоверение для доступа к хранилищу ключей. Чтобы получить доступ к хранилищу ключей, необходимо предоставить управляемому удостоверению разрешение.

Шаги предоставления разрешения зависят от того, выбрана политика доступа к хранилищу или управление доступом на основе ролей Azure в качестве модели разрешений хранилища ключей.

Если вы используете политику доступа Vault в качестве модели разрешений хранилища ключей, выполните следующую процедуру, чтобы добавить новую политику доступа.

  1. Перейдите к ресурсу хранилища ключей.

  2. Выберите политики доступа в меню слева.

  3. Выберите Создать. Screenshot of Key Vault's access policy page.

  4. На вкладке "Разрешения" :

    1. Выберите " Получить " в разделе "Разрешения секрета".
    2. Выберите " Получить " в разделе "Разрешения сертификата".

  5. Нажмите кнопку "Рядом", чтобы перейти на вкладку "Субъект".

    Screenshot of Permissions tab of Key Vault's Create an access policy page.

  6. Введите идентификатор объекта управляемого удостоверения в поле поиска.

  7. Выберите управляемое удостоверение из результатов поиска.

  8. Перейдите на вкладку Review + create (Просмотр и создание).

    Screenshot of the Principal tab of Key Vault's Create an access policy page.

  9. Выберите "Создать" на вкладке "Просмотр и создание ".

Управляемое удостоверение для экземпляра Служба SignalR отображается в таблице политик доступа.

Screenshot of Key Vault's Access policies page.

Добавление пользовательского сертификата в Служба SignalR

Чтобы добавить пользовательский сертификат в Служба SignalR, выполните следующие действия.

  1. В портал Azure перейдите к ресурсу Служба SignalR.

  2. В области меню выберите личный домен.

  3. В разделе "Настраиваемый сертификат" выберите "Добавить".

    Screenshot of custom certificate management.

  4. Введите имя настраиваемого сертификата.

  5. Выберите в Key Vault , чтобы выбрать сертификат хранилища ключей. Выбрав следующий универсальный код ресурса (URI) base Key Vault, необходимо автоматически заполнить имя секрета Key Vault. Кроме того, вы также можете заполнить эти поля вручную.

  6. При необходимости можно указать версию секрета Key Vault, если требуется закрепить сертификат на определенную версию.

  7. Выберите Добавить.

Screenshot of adding a custom certificate.

Служба SignalR извлекает сертификат и проверяет его содержимое. После успешного выполнения состояние подготовки сертификата будет выполнено успешно.

Screenshot of an added custom certificate.

Создание записи CNAME личного домена

Необходимо создать запись CNAME для личного домена в зоне Azure DNS или в сторонней службе регистратора. Запись CNAME создает псевдоним из личного домена в домен по умолчанию Служба SignalR. Служба SignalR использует запись для проверки владения личным доменом.

Например, если домен по умолчанию имеет значение , а личный домен contoso.example.comcontoso.service.signalr.netэто, необходимо создать запись CNAME.example.com

После создания записи CNAME можно выполнить поиск DNS, чтобы просмотреть сведения CNAME. Например, выходные данные из команды поиска linux (ПОДстановка DNS) должны выглядеть примерно так:

 contoso.example.com. 0 IN CNAME contoso.service.signalr.net.

Если вы используете зону Azure DNS, см . сведения об управлении записями DNS, чтобы узнать, как добавить запись CNAME.

Screenshot of adding a CNAME record in Azure DNS Zone.

Если вы используете другие поставщики DNS, следуйте инструкциям поставщика, чтобы создать запись CNAME.

Добавление личного домена

Теперь добавьте личный домен в Служба SignalR.

  1. В портал Azure перейдите к ресурсу Служба SignalR.

  2. В области меню выберите личный домен.

  3. В разделе "Личный домен" выберите "Добавить".

    Screenshot of custom domain management.

  4. Введите имя личного домена.

  5. Введите полное доменное имя личного домена, например contoso.com.

  6. Выберите пользовательский сертификат, который применяется к этому пользовательскому домену.

  7. Выберите Добавить.

    Screenshot of adding a custom domain.

Проверка личного домена

Чтобы проверить личный домен, можно использовать API работоспособности. API работоспособности — это общедоступная конечная точка, которая возвращает состояние работоспособности экземпляра Служба SignalR. API работоспособности доступен по адресу https://<your custom domain>/api/health.

Ниже приведен пример использования cURL:

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK

Он должен возвращать 200 код состояния без ошибки сертификата.

Доступ к Key Vault в частной сети

Если вы настроили частную конечную точку в хранилище ключей, Служба SignalR не сможет получить доступ к хранилищу ключей через общедоступную сеть. Вы можете предоставить Служба SignalR доступ к хранилищу ключей через частную сеть, создав общую частную конечную точку.

После создания общей частной конечной точки можно добавить пользовательский сертификат, как описано в разделе "Добавление пользовательского сертификата" в раздел Служба SignalR выше.

Важно!

Вам не нужно изменять домен в URI хранилища ключей. Например, если базовый универсальный код ресурса (URI) хранилища ключей используется https://contoso.vault.azure.netдля настройки пользовательского сертификата.

Вам не нужно явно разрешать Служба SignalR IP-адреса в параметрах брандмауэра хранилища ключей. Дополнительные сведения см. в диагностика приватного канала Key Vault.

смены сертификатов;

Если при создании пользовательского сертификата не указана секретная версия, Служба Azure SignalR периодически проверка последней версии в Key Vault. Когда наблюдается новая версия, она автоматически применяется. Задержка обычно составляет 1 час.

Кроме того, можно закрепить пользовательский сертификат в определенной версии секрета в Key Vault. При необходимости применить новый сертификат можно изменить версию секрета, а затем заранее обновить пользовательский сертификат.

Очистка

Если вы не планируете использовать ресурсы, созданные в этой статье, можно удалить группу ресурсов.

Внимание

При удалении группы ресурсов все ресурсы, содержащиеся в ней, удаляются. Если в указанной группе ресурсов существуют другие ресурсы, кроме созданных для этой статьи, они также будут удалены.

Следующие шаги