Använda privata slutpunkter för Azure Web PubSub-tjänsten
Du kan använda privata slutpunkter för din Azure Web PubSub-tjänst för att tillåta klienter i ett virtuellt nätverk (VNet) att på ett säkert sätt komma åt data via en Private Link. Den privata slutpunkten använder en IP-adress från VNet-adressutrymmet för din Azure Web PubSub-tjänst. Nätverkstrafiken mellan klienterna på det virtuella nätverket och Azure Web PubSub-tjänsten passerar via en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet.
Med privata slutpunkter för din Azure Web PubSub-tjänst kan du:
- Skydda din Azure Web PubSub-tjänst med hjälp av nätverksåtkomstkontrollen för att blockera alla anslutningar på den offentliga slutpunkten för Azure Web PubSub-tjänsten.
- Öka säkerheten för det virtuella nätverket (VNet) genom att göra det möjligt för dig att blockera exfiltrering av data från det virtuella nätverket.
- Anslut säkert till Azure Web PubSub-tjänsten från lokala nätverk som ansluter till det virtuella nätverket med VPN eller ExpressRoutes med privat peering.
Begreppsmässig översikt
En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk (VNet). När du skapar en privat slutpunkt för din Azure Web PubSub-tjänst ger den säker anslutning mellan klienter i ditt virtuella nätverk och din tjänst. Den privata slutpunkten tilldelas en IP-adress från IP-adressintervallet för ditt virtuella nätverk. Anslutningen mellan den privata slutpunkten och Azure Web PubSub-tjänsten använder en säker privat länk.
Program i det virtuella nätverket kan ansluta till Azure Web PubSub-tjänsten via den privata slutpunkten sömlöst, med samma anslutningssträng och auktoriseringsmekanismer som de skulle använda annars. Privata slutpunkter kan användas med alla protokoll som stöds av Azure Web PubSub-tjänsten, inklusive REST API.
När du skapar en privat slutpunkt för en Azure Web PubSub-tjänst i ditt virtuella nätverk skickas en begäran om medgivande för godkännande till Azure Web PubSub-tjänstens ägare. Om användaren som begär att den privata slutpunkten ska skapas också är ägare till Azure Web PubSub-tjänsten godkänns den här medgivandebegäran automatiskt.
Azure Web PubSub-tjänstägare kan hantera begäranden om medgivande och privata slutpunkter via fliken Privata slutpunkter för Azure Web PubSub-tjänsten i Azure-portalen.
Dricks
Om du bara vill begränsa åtkomsten till din Azure Web PubSub-tjänst via den privata slutpunkten konfigurerar du nätverksåtkomstkontrollen för att neka eller kontrollera åtkomst via den offentliga slutpunkten.
Anslut till privata slutpunkter
Klienter i ett virtuellt nätverk som använder den privata slutpunkten bör använda samma anslutningssträng för Azure Web PubSub-tjänsten som klienter som ansluter till den offentliga slutpunkten. Vi förlitar oss på DNS-matchning för att automatiskt dirigera anslutningarna från det virtuella nätverket till Azure Web PubSub-tjänsten via en privat länk.
Viktigt!
Använd samma anslutningssträng för att ansluta till Azure Web PubSub-tjänsten med hjälp av privata slutpunkter, som du annars skulle använda. Anslut inte till Azure Web PubSub-tjänsten med dess privatelink underdomän-URL.
Vi skapar en privat DNS-zon som är kopplad till det virtuella nätverket med nödvändiga uppdateringar för de privata slutpunkterna som standard. Men om du använder din egen DNS-server kan du behöva göra andra ändringar i DNS-konfigurationen. I avsnittet om DNS-ändringar nedan beskrivs de uppdateringar som krävs för privata slutpunkter.
DNS-ändringar för privata slutpunkter
När du skapar en privat slutpunkt uppdateras DNS CNAME-resursposten för din Azure Web PubSub-tjänst till ett alias i en underdomän med prefixet privatelink. Som standard skapar vi också en privat DNS-zon som motsvarar underdomänen privatelink med DNS A-resursposterna för de privata slutpunkterna.
När du löser ditt domännamn för Azure Web PubSub-tjänsten utanför det virtuella nätverket med den privata slutpunkten matchas det mot den offentliga slutpunkten för Azure Web PubSub-tjänsten. När det löses från det virtuella nätverk som är värd för den privata slutpunkten matchas domännamnet till den privata slutpunktens IP-adress.
I det illustrerade exemplet ovan är DNS-resursposterna för Azure Web PubSub-tjänsten "foobar", när de matchas utanför det virtuella nätverk som är värd för den privata slutpunkten:
| Namn | Typ | Värde |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | <Offentlig IP-adress för Azure Web PubSub-tjänsten> |
Som tidigare nämnts kan du neka eller kontrollera åtkomst för klienter utanför det virtuella nätverket via den offentliga slutpunkten med hjälp av nätverksåtkomstkontrollen.
DNS-resursposterna för "foobar", när de matchas av en klient i det virtuella nätverk som är värd för den privata slutpunkten, blir:
| Namn | Typ | Värde |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Den här metoden ger åtkomst till Azure Web PubSub-tjänsten med samma anslutningssträng för klienter på det virtuella nätverket som är värd för de privata slutpunkterna och klienter utanför det virtuella nätverket.
Om du använder en anpassad DNS-server i nätverket måste klienterna kunna matcha FQDN för Azure Web PubSub-tjänstslutpunkten till IP-adressen för den privata slutpunkten. Du bör konfigurera DNS-servern för att delegera din privata länkunderdomän till den privata DNS-zonen för det virtuella nätverket eller konfigurera A-posterna för med ip-adressen för foobar.privatelink.webpubsub.azure.com den privata slutpunkten.
Dricks
När du använder en anpassad eller lokal DNS-server bör du konfigurera DNS-servern så att den matchar Azure Web PubSub-tjänstnamnet i underdomänen privatelink till IP-adressen för den privata slutpunkten. Du kan göra detta genom att delegera underdomänen privatelink till det virtuella nätverkets privata DNS-zon eller konfigurera DNS-zonen på DNS-servern och lägga till DNS A-posterna.
Det rekommenderade DNS-zonnamnet för privata slutpunkter för Azure Web PubSub-tjänsten är: privatelink.webpubsub.azure.com.
Mer information om hur du konfigurerar din egen DNS-server för att stödja privata slutpunkter finns i följande artiklar:
Skapa en privat slutpunkt
Skapa en privat slutpunkt tillsammans med en ny Azure Web PubSub-tjänst i Azure-portalen
När du skapar en ny Azure Web PubSub-tjänst väljer du fliken Nätverk . Välj Privat slutpunkt som anslutningsmetod.
Markera Lägga till. Fyll i prenumeration, resursgrupp, plats, namn för den nya privata slutpunkten. Välj ett virtuellt nätverk och undernät.
Välj Granska + skapa.
Skapa en privat slutpunkt för en befintlig Azure Web PubSub-tjänst i Azure-portalen
Gå till Azure Web PubSub-tjänsten.
Välj på inställningsmenyn med namnet Privata slutpunktsanslutningar.
Välj knappen + Privat slutpunkt längst upp.
Fyll i prenumeration, resursgrupp, resursnamn och region för den nya privata slutpunkten.
Välj azure web pubsub-tjänstresurs för mål.
Välj virtuellt målnätverk
Välj Granska + skapa.
Prissättning
Prisinformation finns i Priser för Azure Private Link.
Kända problem
Tänk på följande kända problem med privata slutpunkter för Azure Web PubSub-tjänsten.
Kostnadsfri nivå
Azure Web PubSub-tjänstens kostnadsfria nivåinstans kan inte integreras med en privat slutpunkt.
Åtkomstbegränsningar för klienter i virtuella nätverk med privata slutpunkter
Klienter i virtuella nätverk med befintliga privata slutpunkter har begränsningar vid åtkomst till andra Azure Web PubSub-tjänstinstanser som har privata slutpunkter. Anta till exempel att ett VNet N1 har en privat slutpunkt för en Azure Web PubSub-tjänstinstans W1. Om Azure Web PubSub-tjänsten W2 har en privat slutpunkt i ett VNet N2 måste klienter i VNet N1 också komma åt Azure Web PubSub-tjänsten W2 med hjälp av en privat slutpunkt. Om Azure Web PubSub-tjänsten W2 inte har några privata slutpunkter kan klienter i VNet N1 komma åt Azure Web PubSub-tjänsten på det kontot utan en privat slutpunkt.
Den här begränsningen är ett resultat av DE DNS-ändringar som gjordes när Azure Web PubSub-tjänsten W2 skapar en privat slutpunkt.