Přístup ke službě Key Vault v privátní síti prostřednictvím sdílených privátních koncových bodů

Článek
10/24/2023

Služba Azure SignalR má přístup ke službě Key Vault v privátní síti prostřednictvím sdílených privátních koncových bodů. Tímto způsobem není vaše služba Key Vault vystavená ve veřejné síti.

Diagram that shows the architecture of a shared private endpoint.

Privátní koncové body můžete vytvářet prostřednictvím rozhraní API služby Azure SignalR pro sdílený přístup k prostředku integrovanému se službou Azure Private Link. Tyto koncové body označované jako sdílené prostředky privátního propojení se vytvářejí uvnitř spouštěcího prostředí SignalR a nejsou přístupné mimo toto prostředí.

V tomto článku se dozvíte, jak vytvořit sdílený privátní koncový bod do služby Key Vault.

Předpoklady

K dokončení tohoto článku budete potřebovat následující zdroje informací:

Skupina prostředků Azure.
Instance služby Azure SignalR.
Instance služby Azure Key Vault.

Příklady v tomto článku používají následující zásady vytváření názvů, i když místo toho můžete použít vlastní názvy.

ID prostředku této služby Azure SignalR je /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
ID prostředku služby Azure Key Vault je /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.
Zbývající příklady ukazují, jak se dá služba contoso-signalr nakonfigurovat tak, aby její odchozí volání do služby Key Vault procházela privátním koncovým bodem místo veřejné sítě.

Vytvoření prostředku sdíleného privátního propojení se službou Key Vault

Azure Portal
Azure CLI

Na webu Azure Portal přejděte k prostředku služby Azure SignalR.
Vyberte Sítě.
Vyberte kartu Soukromý přístup.

V části Sdílené privátní koncové body vyberte Přidat sdílený privátní koncový bod.

Zadejte následující informace:

Pole	popis
Name	Název sdíleného privátního koncového bodu.
Typ	Vyberte Microsoft.KeyVault/vaults.
Předplatné	Předplatné obsahující vaši službu Key Vault.
Prostředek	Zadejte název prostředku služby Key Vault.
Žádost o zprávu	Zadejte "prosím schválit"

Vyberte Přidat.

Po úspěšném přidání privátního koncového bodu bude stav zřizování úspěšný. Stav připojení bude čeká na vyřízení , dokud neschválíte koncový bod na straně služby Key Vault.

Provedením následujícího volání rozhraní API pomocí Azure CLI vytvořte prostředek sdíleného privátního propojení:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json

Obsah souboru create-pe.json, který představuje text požadavku rozhraní API, je následující:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Proces vytvoření odchozího privátního koncového bodu je dlouhotrvající (asynchronní) operace. Stejně jako ve všech asynchronních operacích PUT Azure volání vrátí Azure-AsyncOperation hodnotu záhlaví, která vypadá jako následující text:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Tento identifikátor URI můžete pravidelně dotazovat, abyste získali stav operace.

Stav můžete dotazovat ručním dotazem na Azure-AsyncOperationHeader hodnotu:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Než přejdete k dalším krokům, počkejte, až se stav změní na Úspěch .

Schválení připojení privátního koncového bodu pro key Vault

Azure Portal
Azure CLI

Přechod na prostředek služby Key Vault
Vyberte síť.
Vyberte kartu připojení privátního koncového bodu. Po úspěšném dokončení asynchronní operace by mělo existovat požadavek na připojení privátního koncového bodu se zprávou požadavku z předchozího volání rozhraní API.
Vyberte privátní koncový bod, který služba SignalR vytvořila, a pak vyberte Schválit.
Výběrem možnosti Ano připojení schválíte.

Vypíše připojení privátního koncového bodu.

az network private-endpoint-connection list -n <key-vault-resource-name>  -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'

Mělo by existovat nevyřízené připojení privátního koncového bodu. Poznamenejte si jeho ID.

[
    {
        "id": "<id>",
        "location": "",
        "name": "",
        "properties": {
            "privateLinkServiceConnectionState": {
                "actionRequired": "None",
                "description": "Please approve",
                "status": "Pending"
           }
        }
    }
]

Schválení připojení privátního koncového bodu:

az network private-endpoint-connection approve --id <private-endpoint-connection-id>

Ověření funkčnosti sdíleného privátního koncového bodu

Po několika minutách se schválení rozšíří do služby SignalR a stav připojení je nastavený na Schváleno. Stav můžete zkontrolovat pomocí webu Azure Portal nebo Azure CLI.

Azure Portal
Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

Příkaz vrátí objekt JSON, ve kterém se stav připojení zobrazí jako stav v části Vlastnosti.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Pokud je "Stav zřizování" (properties.provisioningState) prostředku a "Připojení ion State" (properties.status) je Approved, sdílený prostředek privátního propojení je Succeeded funkční a služba SignalR může komunikovat přes privátní koncový bod.

Pokud je privátní koncový bod mezi službou SignalR a službou Azure Key Vault funkční, hodnota stavu zřizování je úspěšná a stav připojení se schválí.

Vyčištění

Pokud nechcete používat prostředky, které jste vytvořili v tomto článku, můžete odstranit skupinu prostředků.

Upozornění

Odstraněním skupiny prostředků odstraníte všechny prostředky obsažené v této skupině. Pokud prostředky mimo rozsah tohoto článku existují v zadané skupině prostředků, odstraní se také.

Sdílet prostřednictvím

Přístup ke službě Key Vault v privátní síti prostřednictvím sdílených privátních koncových bodů

Předpoklady

Vytvoření prostředku sdíleného privátního propojení se službou Key Vault

Schválení připojení privátního koncového bodu pro key Vault

Ověření funkčnosti sdíleného privátního koncového bodu

Vyčištění

Další kroky

Váš názor

Další materiály