新增自訂網域

除了 Azure Web PubSub 執行個體中包括的預設網域之外，您還可以新增自訂網域。 自訂網域是您擁有和管理的網路名稱。 您可以使用自訂網域來存取您的 Web PubSub 資源。 例如，您可以使用 contoso.example.com 代替 contoso.webpubsub.azure.com 來存取您的資源。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 如果您沒有 Azure 帳戶，可以免費建立帳戶。
• 最低進階層的 Azure Web PubSub 資源。
• Azure Key Vault 資源。
• 符合自訂網域的自訂憑證儲存在 Azure Key Vault 中。

新增自訂憑證

新增相符的自訂憑證，然後才能新增自訂網域。 自訂憑證是您 Web PubSub 執行個體的資源。 其會參考您金鑰保存庫中的憑證。 為了安全性和合規性，Web PubSub 不會永久儲存您的憑證。 相反地，其會從您的金鑰保存庫擷取憑證，並將其保留在記憶體中。

使用受控識別存取金鑰保存庫

Azure Web PubSub 會使用受控識別存取您的金鑰保存庫。 若要授權存取權，必須取得權限。

建立受控識別

1. 在 Azure 入口網站中，移至您的 Web PubSub 資源。

2. 在左側功能表上，選取 [身分識別]。

3. 選取要使用的身分識別類型：[系統指派] 或 [使用者指派]。 若要使用使用者指派的身分識別，請先建立一個身分識別。

   使用系統指派的身分識別：

   1. 選取 [開啟]。

   2. 選取是以確認。

   3. 選取 [儲存]。

   

   若要新增使用者指派的身分識別：

   1. 選取 [新增使用者指派的受控識別]。

   2. 選取現有的身分識別。

   3. 選取 [新增]。

   

4. 選取 [儲存]。

授與受控識別金鑰保存庫存取權

依設定 Azure Key Vault 權限模型的方式而定，您可能需要在 Azure 入口網站中的不同位置授與權限。

金鑰保存庫存取原則

如果您使用金鑰保存庫內建存取原則作為金鑰保存庫權限模型：

1. 在 Azure 入口網站中，前往您的金鑰保存庫。

2. 在左側功能表中，選取 [存取控制設定]。

3. 選取 [保存庫存取原則]。

4. 選取 [前往存取原則]。

5. 選取 建立。

6. 在 [建立存取原則] 窗格上，選取 [權限] 索引標籤。

7. 針對 [祕密權限]，選取 [取得]。

8. 針對 [憑證權限]，選取 [取得]。

9. 選取 [下一步]。

   

10. 搜尋 Web PubSub 資源名稱。

11. 選取 [下一步]。

    

12. 選取 [應用程式] 索引標籤，然後選取 [下一步]。

13. 選取 建立。

Azure 角色型存取控制

如果您使用 Azure 角色型存取控制 (Azure RBAC) 作為金鑰保存庫權限模型：

1. 在 Azure 入口網站中，前往您的金鑰保存庫。

2. 在左側功能表中，選取 [存取控制 (IAM)]。

3. 選取 [新增>][新增角色指派]。

   

4. 選取 [角色] 索引標籤，然後選取 [Key Vault 秘密使用者]。 選取 [下一步]。

   

5. 選取 [成員] 索引標籤，然後選取 [受控識別]。

6. 進行搜尋，然後選取 Web PubSub 資源名稱或使用者指派的身分識別的名稱。

   

7. 選取 [下一步]。

8. 選取檢閱+指派。

建立自訂憑證

1. 在 Azure 入口網站中，移至您的 Web PubSub 資源。

2. 在左側功能表中，選取 [自訂網域]。

3. 在 [自訂憑證] 窗格中，選取 [新增]。

   

4. 輸入自訂憑證的名稱。

5. 選擇 [從您的 Key Vault 選取]，以選擇金鑰保存庫憑證。 選取金鑰保存庫之後，[Key Vault 基底 URI] 和 [Key Vault 秘密名稱] 的值即會新增。 您也必須選擇手動編輯這些欄位。

6. (選用) 若要將憑證釘選到特定版本，可輸入 Key Vault 祕密版本的值。

7. 選取 [新增]。

   

Web PubSub 會擷取憑證並驗證其內容。 憑證驗證成功時，憑證的 [佈建狀態] 為 [成功]。

建立自訂網域 CNAME 記錄

若要驗證自訂網域的擁有權，請為自訂網域建立 CNAME 記錄，並將其指向您 Web PubSub 資源的預設網域。

例如，如果您的預設網域為 contoso.webpubsub.azure.com，而自訂網域為 contoso.example.com，請在 example.com 上建立 CNAME 記錄，如下列範例所示：

contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com

如果您使用 Azure DNS 區域，若要了解如何新增 CNAME 記錄，請參閱管理 DNS 記錄。

如果您使用其他 DNS 提供者，請依照提供者文件中的指引來建立 CNAME 記錄。

將自訂網域新增至 Web PubSub

自訂網域是您的 Web PubSub 執行個體的另一項子資源。 其包含自訂網域所需的所有設定。

1. 在 Azure 入口網站中，移至您的 Web PubSub 資源。

2. 在左側功能表中，選取 [自訂網域]。

3. 在 [自訂網域] 窗格中，選取 [新增]。

   

4. 輸入自訂網域的名稱。 使用子資源名稱。

5. 輸入網域名稱。 使用您自訂網域的完整網域名稱，例如 contoso.com。

6. 選取套用至此自訂網域的自訂憑證。

7. 選取 [新增]。

   

驗證自訂網域

您現在可以使用自訂網域來存取您的 Web PubSub 端點。

若要驗證網域，您可以存取健康情況 API。 下列範例會使用 cURL。

PowerShell

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK
...
PS C:\>

Bash

$ curl -vvv https://contoso.example.com/api/health
...
*  SSL certificate verify ok.
...
> GET /api/health HTTP/2
> Host: contoso.example.com
...
< HTTP/2 200
...

健康情況 API 應該會傳回 200 狀態碼，而不會發生任何憑證錯誤。

設定私人網路金鑰保存庫

如果您將私人端點設定至金鑰保存庫，Web PubSub 即無法使用公用網路來存取金鑰保存庫。 您必須設定共用私人端點，以便讓 Web PubSub 透過私人網路存取您的金鑰保存庫。

建立共用私人端點之後，您可以像往常一樣建立自訂憑證。 您不需要變更金鑰保存庫 URI 中的網域。 例如，如果您的金鑰保存庫基底 URI 為 https://contoso.vault.azure.net，請繼續使用此 URI 來設定自訂憑證。

您不需要在金鑰保存庫防火牆設定中明確允許 Web PubSub IP 位址。 如需詳細資訊，請參閱金鑰保存庫私人連結診斷。

輪替憑證

如果您在建立自訂憑證時未指定秘密版本，Web PubSub 會定期檢查金鑰保存庫中的最新版本。 偵測到新版本時，會自動套用。 延遲通常不超過一小時。

或者，您也可以將自訂憑證釘選到您的金鑰保存庫中的特定秘密版本。 需要套用新的憑證時，您可以編輯秘密版本，然後主動更新自訂憑證。

相關內容

• 開啟 Azure Web PubSub 的受控識別
• 開始使用 Azure Key Vault 憑證
• 什麼是 Azure DNS？