Få åtkomst till Key Vault i ett privat nätverk via delade privata slutpunkter

Azure Web PubSub Service kan komma åt ditt Key Vault i ett privat nätverk via delade privata slutpunkter. Den här artikeln visar hur du konfigurerar din Web PubSub-tjänstinstans för att dirigera utgående anrop till ett nyckelvalv via en delad privat slutpunkt i stället för ett offentligt nätverk.

Privata slutpunkter för skyddade resurser som skapats via Api:er för Azure Web PubSub Service kallas delade privata länkresurser. Det beror på att du "delar" åtkomsten till en resurs, till exempel ett Azure Key Vault, som har integrerats med Azure Private Link-tjänsten. Dessa privata slutpunkter skapas i Azure Web PubSub Service-körningsmiljön och är inte direkt synliga för dig.

Kommentar

Exemplen i den här artikeln använder följande resurs-ID:

• Resurs-ID:t för den här Azure Web PubSub-tjänsten är _/subscriptions/0000000-0000-0000-0000-0000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub .
• Resurs-ID för Azure Key Vault är /subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

När du följer stegen ersätter du resurs-ID:t för Azure Web PubSub Service och Azure Key Vault.

Förutsättningar

• Om du inte har en Azure-prenumeration skapar du ett [kostnadsfritt konto]. (https://azure.microsoft.com/free/?WT.mc_id=A261C142F).
• Azure CLI 2.25.0 eller senare (om du använder Azure CLI)._
• En Azure Web PubSub Service-instans på en standardprisnivå eller högre
• En Azure Key Vault-resurs.

1. Skapa en delad privat slutpunktsresurs till Key Vault

Azure-portalen

1. I Azure-portalen går du till resurssidan för Azure Web PubSub Service.

2. Välj Nätverk på menyn.

3. Välj fliken Privat åtkomst .

4. Välj Lägg till delad privat slutpunkt.

   

5. Ange ett namn för den delade privata slutpunkten.

6. Ange nyckelvalvsresursen genom att välja Välj från dina resurser och välja din resurs i listorna, eller genom att välja Ange resurs-ID och ange ditt resurs-ID för nyckelvalvet.

7. Ange godkänn för meddelandet Begäran.

8. Markera Lägga till.

   

Etableringstillståndet för resursetablering för delad privat slutpunkt har slutförts. Anslutningstillståndet väntar på godkännande på målresurssidan.

Azure CLI

Du kan göra följande API-anrop med Azure CLI för att skapa en resurs för delad privat länk. uri Ersätt med ditt eget värde.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Innehållet i filen create-pe.json , som representerar begärandetexten till API:et, är följande:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Processen att skapa en utgående privat slutpunkt är en tidskrävande (asynkron) åtgärd. Precis som i alla asynkrona Azure-åtgärder returnerar anropet PUT ett Azure-AsyncOperation huvudvärde som ser ut som följande utdata:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Du kan avsöka den här URI:n med jämna mellanrum för att få status för åtgärden. Vänta tills statusen har ändrats till "Lyckades" innan du fortsätter till nästa steg.

Du kan söka efter statusen genom att manuellt fråga efter Azure-AsyncOperationHeader värdet:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

2. Godkänn den privata slutpunktsanslutningen för Key Vault

När den privata slutpunktsanslutningen har skapats måste du godkänna anslutningsbegäran från Azure Web PubSub-tjänsten i nyckelvalvsresursen.

Azure-portalen

1. I Azure-portalen går du till resurssidan för nyckelvalvet.

2. Välj Nätverk på menyn.

3. Välj Privata slutpunktsanslutningar.

   

4. Välj den privata slutpunkt som Azure Web PubSub Service skapade.

5. Välj Godkänn och Ja för att bekräfta.

6. Vänta tills den privata slutpunktsanslutningen har godkänts.

   

Azure CLI

1. Lista privata slutpunktsanslutningar.

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Det bör finnas en väntande privat slutpunktsanslutning. Anteckna dess id.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Godkänn den privata slutpunktsanslutningen.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

3. Fråga efter status för resursen för delad privat länk

Det tar några minuter innan godkännandet sprids till Azure Web PubSub Service. Du kan kontrollera tillståndet med antingen Azure-portalen eller Azure CLI. Den delade privata slutpunkten mellan Azure Web PubSub Service och Azure Key Vault är aktiv när containertillståndet godkänns.

Azure-portalen

1. Gå till Azure Web PubSub Service-resursen i Azure-portalen.

2. Välj Nätverk på menyn.

3. Välj Delade privata länkresurser.

   

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Det här kommandot returnerar en JSON, där anslutningstillståndet visas som "status" under avsnittet "egenskaper".

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

När "Etableringstillstånd" (properties.provisioningState) för resursen är Succeeded och "Anslut ion State" (properties.status) är Approvedfungerar resursen för delad privat länk och Azure Web PubSub Service kan kommunicera via den privata slutpunkten.

Nu kan du konfigurera funktioner som en anpassad domän som vanligt. Du behöver inte använda en särskild domän för Key Vault. Azure Web PubSub Service hanterar automatiskt DNS-matchning.

Nästa steg

Läs mer:

• Vad är privata slutpunkter?
• Konfigurera ett anpassat domännamn