針對 Azure Web PubSub 服務使用私人端點
您可以為您的 Azure Web PubSub 服務使用私人端點,以允許虛擬網路 (VNet) 上的用戶端透過 Private Link 安全存取資料。 私人端點會為您的 Azure Web PubSub 服務使用 VNet 位址空間中的 IP 位址。 VNet 上的用戶端與 Azure Web PubSub 服務之間的網路流量會周遊 Microsoft 骨幹網路上的私人連結,進而排除在公用網際網路上曝光的風險。
針對 Azure Web PubSub 服務使用私人端點可讓您:
- 使用網路存取控制保護 Azure Web PubSub 服務,以封鎖 Azure Web PubSub 服務公用端點上的所有連線。
- 藉由讓您封鎖從 VNet 外流資料,提高虛擬網路 (VNet) 的安全性。
- 搭配使用 VPN 或 ExpressRoutes 與私人對等互連,安全地從連線至 VNet 的內部部署網路連線到 Azure Web PubSub 服務。
概念概觀
私人端點是您虛擬網路 (VNet) 中的 Azure 資源適用的特殊網路介面。 當您為 Azure Web PubSub 服務建立私人端點時,該私人端點會在您 VNet 上的用戶端與服務之間提供安全的連線。 私人端點獲指派的 IP 位址來自您 VNet 的 IP 位址範圍。 私人端點與 Azure Web PubSub 服務之間的連線會使用安全的私人連結。
VNet 中的應用程式可以使用他們在其他情況下也會使用的相同連接字串和授權機制,透過私人端點順暢連線至 Azure Web PubSub 服務。 使用私人端點時,可搭配 Azure Web PubSub 服務所支援的所有通訊協定,包括 REST API。
在 VNet 中為 Azure Web PubSub 服務建立私人端點時,系統會傳送同意要求給 Azure Web PubSub 服務擁有者,請求核准。 如果要求建立私人端點的使用者也是 Azure Web PubSub 服務的擁有者,則系統會自動核准此同意要求。
Azure Web PubSub 服務擁有者可以在 Azure 入口網站中,透過 Azure Web PubSub 服務的 [私人端點] 索引標籤,管理同意要求和私人端點。
提示
如果您想要限定為只能透過私人端點來存取您的 Azure Web PubSub 服務,請設定網路存取控制,以拒絕或控制透過公用端點的存取。
連線至私人端點
使用私人端點的 VNet 用戶端在連線至公用端點時,應將相同的連接字串用於 Azure Web PubSub 服務。 我們依賴 DNS 解析,透過私人連結自動將來自 VNet 的連線路由至 Azure Web PubSub 服務。
重要
使用相同的連接字串,透過私人端點連線至 Azure Web PubSub 服務,就像在其他情況下一樣。 請勿使用其 privatelink 子網域 URL 連線至 Azure Web PubSub 服務。
根據預設,我們會建立一個附加至 VNet 的私人 DNS 區域,並對私人端點進行必要的更新。 不過,如果您使用的是自己的 DNS 伺服器,則可能需要對 DNS 設定進行其他變更。 下列 DNS 變更一節描述私人端點所需的更新。
私人端點的 DNS 變更
當您建立私人端點時,在首碼為 privatelink 的子網域中,Azure Web PubSub 服務的 DNS CNAME 資源記錄會更新為別名。 根據預設,我們也會建立對應至 privatelink 子網域的私人 DNS 區域,以及私人端點的 DNS A 資源記錄。
當您從具有私人端點的 VNet 外部解析 Azure Web PubSub 服務網域名稱時,其會解析為 Azure Web PubSub 服務的公用端點。 從裝載私人端點的 VNet 解析時,網域名稱會解析為私人端點的 IP 位址。
在上述範例中,從裝載私人端點的 VNet 外部解析時,Azure Web PubSub 服務「foobar」的 DNS 資源記錄將為:
| 名稱 | 類型 | 值 |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | <Azure Web PubSub 服務公用 IP 位址> |
如前所述,您可以使用網路存取控制,來拒絕或控制透過公用端點對 VNet 外部的用戶端進行存取。
由裝載私人端點的 VNet 中的用戶端解析時,「foobar」的 DNS 資源記錄將為:
| 名稱 | 類型 | 值 |
|---|---|---|
foobar.webpubsub.azure.com |
CNAME | foobar.privatelink.webpubsub.azure.com |
foobar.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
此方法讓您可以使用相同的連接字串,在裝載私人端點的 VNet 用戶端,及 VNet 外部的用戶端存取 Azure Web PubSub 服務。
如果您在網路上使用自訂 DNS 伺服器,則用戶端必須能夠將 Azure Web PubSub 服務端點的 FQDN 解析為私人端點 IP 位址。 您應設定 DNS 伺服器,以將私人連結子網域委派給 VNet 的私人 DNS 區域,或為具有私人端點 IP 位址的 foobar.privatelink.webpubsub.azure.com 設定 A 記錄。
提示
使用自訂或內部部署 DNS 伺服器時,您應設定 DNS 伺服器將 privatelink 子網域中的 Azure Web PubSub 服務名稱解析為私人端點 IP 位址。 若要這麼做,您可以將 privatelink 子網域委派給 VNet 的私人 DNS 區域,或在 DNS 伺服器上設定 DNS 區域,然後新增 DNS A 記錄。
Azure Web PubSub 服務私人端點的建議 DNS 區域名稱為:privatelink.webpubsub.azure.com。
如需有關設定您自己的 DNS 伺服器以支援私人端點的詳細資訊,請參閱下列文章:
建立私人端點
在 Azure 入口網站中建立私人端點以及新的 Azure Web PubSub 服務
建立新的 Azure Web PubSub 服務時,請選取 [網路] 索引標籤。選擇 [私人端點] 作為連線方法。
選取 [新增]。 填寫新私人端點的訂用帳戶、資源群組、位置、名稱。 選擇虛擬網路和子網路。
選取 [檢閱 + 建立]。
在 Azure 入口網站中,為現有 Azure Web PubSub 服務建立私人端點
移至 Azure Web PubSub 服務。
選取名稱為 [私人端點連線] 的設定功能表。
選取頂端的 [+ 私人端點] 按鈕。
填寫新私人端點的訂用帳戶、資源群組、資源名稱和區域。
選擇目標 Azure Web PubSub 服務資源。
選擇目標虛擬網路
選取 [檢閱 + 建立]。
定價
如需價格詳細資料,請參閱 Azure Private Link 價格。
已知問題
請記住下列與 Azure Web PubSub 服務私人端點有關的已知問題。
免費層
Azure Web PubSub 服務免費層執行個體無法與私人端點整合。
具有私人端點的 VNet 中,用戶端的存取條件限制
具有現有私人端點的 VNet 中,用戶端在存取其他具有私人端點的 Azure Web PubSub 服務執行個體時,會面臨條件限制。 例如,假設 VNet N1 具有 Azure Web PubSub 服務執行個體 W1 的私人端點。 若 Azure Web PubSub 服務 W2 在 VNet N2 中具有一個私人端點,則 VNet N1 中的用戶端也必須使用私人端點存取 Azure Web PubSub 服務 W2。 若 Azure Web PubSub 服務 W2 沒有任何私人端點,則 VNet N1 中的用戶端在存取該帳戶中的 Azure Web PubSub 服務時可以不使用私人端點。
此條件約束是 Azure Web PubSub 服務 W2 建立私人端點時,DNS 變更所產生的結果。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: