Share via

Использование частных конечных точек для службы Azure Web PubSub

  • Статья

Используя частные конечные точки для службы Azure Web PubSub, можно сделать так, чтобы клиенты в виртуальной сети могли безопасно обращаться к каталогу по Приватному каналу. Частная конечная точка использует IP-адрес из адресного пространства виртуальной сети для вашей службы Azure Web PubSub. Сетевой трафик между клиентами в виртуальной сети и службой Azure Web PubSub проходит через приватный канал в магистральной сети Майкрософт, что позволяет избежать рисков общедоступного Интернета.

Использование частных конечных точек для службы Azure Web PubSub обладает следующими преимуществами:

  • Защита службы Azure Web PubSub с помощью средств управления доступом к сети с целью блокировать для этой службы все подключения к общедоступной конечной точке.
  • Повышение уровня безопасности виртуальной сети благодаря предотвращению кражи данных из виртуальной сети.
  • Безопасное подключение к службе Azure Web PubSub из локальных сетей, которые подключаются к виртуальной сети с использованием VPN или ExpressRoute с частным пирингом.

Общие сведения

Overview of private endpoints for Azure Web PubSub service.

Частная конечная точка — это особый сетевой интерфейс для службы Azure в виртуальной сети. При создании частной конечной точки для службы Azure Web PubSub обеспечивается безопасное подключение между клиентами в виртуальной сети и службе. Частной конечной точке назначается IP-адрес из диапазона IP-адресов вашей виртуальной сети. Для подключения между частной конечной точкой и службой Azure Web PubSub используется защищенный приватный канал.

Приложения в виртуальной сети могут легко подключаться к службе Azure Web PubSub через частную конечную точку, используя те же строки подключения и механизмы авторизации, которые они использовали бы в иных случаях. Частные конечные точки можно использовать со всеми протоколами, поддерживаемыми службой Azure Web PubSub, включая REST API.

Когда вы создаете в виртуальной сети частную конечную точку для службы Azure Web PubSub, соответствующий запрос на предоставление согласия отправляется владельцу учетной записи службы. Если пользователь, запрашивающий создание частной конечной точки, одновременно является владельцем службы Azure Web PubSub, запрос на согласие утверждается автоматически.

Владельцы службы Azure Web PubSub могут управлять запросами на согласие и частными конечными точками на вкладке Частные конечные точки для службы на портале Azure.

Совет

Если вы хотите, чтобы доступ к службе Azure Web PubSub предоставлялся только через частную конечную точку, настройте управление сетевым доступом для запрета или контроля доступа через общедоступную конечную точку.

Подключение к частным конечным точкам

Клиенты в виртуальной сети, работающие с частной конечной точкой, должны использовать ту же строку подключения для службы Azure Web PubSub, что и клиенты, подключающиеся к общедоступной конечной точке. Мы используем разрешение DNS, чтобы автоматически маршрутизировать подключения из виртуальной сети к службе Azure Web PubSub по приватному каналу.

Важно!

Используйте ту же строку подключения для подключения к службе Azure Web PubSub с помощью частных конечных точек, которую вы использовали бы в других ситуациях. Не подключайтесь к службе Azure Web PubSub по URL-адресу ее поддомена privatelink.

Мы создаем частную зону DNS, подключенную к виртуальной сети, с необходимыми обновлениями для частных конечных точек по умолчанию. Однако если вы используете собственный DNS-сервер, то вам может потребоваться внести дополнительные изменения в конфигурацию DNS. В разделе об изменениях DNS ниже описаны обновления, необходимые для частных конечных точек.

Изменения DNS для частных конечных точек

При создании частной конечной точки запись ресурса DNS CNAME для службы Azure Web PubSub обновляется и получает псевдоним в поддомене с префиксом privatelink. По умолчанию также создается Частная зона DNS, соответствующая поддомену privatelink, с записями ресурсов DNS A для частных конечных точек.

Доменное имя службы Azure Web PubSub из-за пределов виртуальной сети с частной конечной точкой разрешается в общедоступную конечную точку службы. При разрешении из виртуальной сети, в которой размещается частная конечная точка, доменное имя конечной точки разрешается в IP-адрес частной конечной точки.

В приведенном выше примере записи ресурсов DNS для службы Azure Web PubSub foobar при разрешении из-за пределов виртуальной сети, в которой размещается частная конечная точка, будут следующими:

Имя. Тип значение
foobar.webpubsub.azure.com CNAME foobar.privatelink.webpubsub.azure.com
foobar.privatelink.webpubsub.azure.com а <Общедоступный IP-адрес службы Azure Web PubSub>

Как упоминалось ранее, вы можете запретить или контролировать доступ клиентов за пределами виртуальной сети через общедоступную конечную точку с помощью средств управления сетевым доступом.

Записи ресурсов DNS для foobar, разрешенные клиентом в виртуальной сети, где размещается частная конечная точка, будут следующими:

Имя. Тип значение
foobar.webpubsub.azure.com CNAME foobar.privatelink.webpubsub.azure.com
foobar.privatelink.webpubsub.azure.com а 10.1.1.5

Такой подход обеспечивает доступ к службе Azure Web PubSub с использованием одной строки подключения для клиентов в виртуальной сети, где размещаются частные конечные точки, а также для клиентов за пределами виртуальной сети.

При использовании пользовательского DNS-сервера в сети клиенты должны иметь возможность разрешить полное доменное имя для конечной точки службы Azure Web PubSub в IP-адрес частной конечной точки. Необходимо настроить DNS-сервер для делегирования поддомена приватного канала в частную зону DNS для виртуальной сети или настроить записи A для foobar.privatelink.webpubsub.azure.com с IP-адресом частной конечной точки.

Совет

При использовании пользовательского или локального DNS-сервера следует настроить DNS-сервер для разрешения имени службы Azure Web PubSub в поддомене privatelink в IP-адрес частной конечной точки. Это можно сделать, делегировав поддомен privatelink частной зоне DNS виртуальной сети или настроив зону DNS на DNS-сервере и добавив записи DNS A.

Рекомендуемое имя зоны DNS для частных конечных точек службы Azure Web PubSub — privatelink.webpubsub.azure.com.

Дополнительные сведения о настройке собственного DNS-сервера для поддержки частных конечных точек см. в следующих статьях:

Создание частной конечной точки

Создание частной конечной точки и новой службы Azure Web PubSub на портале Azure

  1. При создании новой службы Azure Web PubSub откройте вкладку Сеть и выберите вариант Частная конечная точка в качестве метода подключения.

    Create Azure Web PubSub service - Networking tab.

  2. Выберите Добавить. Укажите для новой частной конечной точки подписку, группу ресурсов, расположение и имя. Выберите виртуальную сеть и подсеть.

  3. Выберите Review + create (Просмотреть и создать).

Создание частной конечной точки для имеющейся службы Azure Web PubSub на портале Azure

  1. Перейдите к службе Azure Web PubSub.

  2. Откройте меню параметров Подключения к частной конечной точке.

  3. В верхней части нажмите кнопку + Частная конечная точка.

  4. Укажите для новой частной конечной точки подписку, группу ресурсов, имя ресурса и регион.

  5. Выберите целевой ресурс службы Azure Web PubSub.

  6. Выберите целевую виртуальную сеть.

  7. Выберите Review + create (Просмотреть и создать).

Ценообразование

Дополнительные сведения о ценах см. на странице цен на службу "Приватный канал" Azure.

Известные проблемы

Учитывайте перечисленные ниже известные проблемы, связанные с частными конечными точками для службы Azure Web PubSub.

Уровень служб "Бесплатный"

Экземпляр уровня "Бесплатный" службы Azure Web PubSub нельзя интегрировать с частной конечной точкой.

Ограничения доступа для клиентов в виртуальных сетях с частными конечными точками

При доступе к другим экземплярам службы Azure Web PubSub с частными конечными точками клиенты в виртуальных сетях с имеющимися частными конечными точками сталкиваются с ограничениями. Например, предположим, что у виртуальной сети N1 есть частная конечная точка для экземпляра службы Azure Web PubSub W1. Если у службы Azure Web PubSub W2 есть частная конечная точка в виртуальной сети N2, клиенты в виртуальной сети N1 также должны получать доступ к службе Azure Web PubSub W2 с помощью частной конечной точки. Если у службы Azure Web PubSub W2 нет частных конечных точек, клиенты в виртуальной сети N1 могут получать доступ к службе Azure Web PubSub в этой учетной записи без использования частной конечной точки.

Это ограничение является результатом изменений DNS, внесенных при создании частной конечной точки в службе Azure Web PubSub W2.