Přístup k trezoru klíčů v privátní síti prostřednictvím sdílených privátních koncových bodů

Článek
11/06/2024

Azure Web PubSub má přístup k trezoru klíčů v privátní síti prostřednictvím sdílených připojení privátních koncových bodů. V tomto článku se dozvíte, jak nakonfigurovat prostředek Web PubSub tak, aby směrovali odchozí volání do trezoru klíčů prostřednictvím sdíleného privátního koncového bodu místo přes veřejnou síť.

Diagram znázorňující architekturu sdíleného privátního koncového bodu

Privátní koncové body zabezpečených prostředků vytvořených prostřednictvím rozhraní API Azure Web PubSub se nazývají sdílené prostředky privátního propojení. Sdílíte přístup k prostředku, jako je instance služby Azure Key Vault, která je integrovaná se službou Azure Private Link. Tyto privátní koncové body se vytvářejí v spouštěcím prostředí Web PubSub a nejsou pro vás přímo viditelné.

Poznámka:

Příklady v tomto článku používají následující ID prostředků:

ID prostředku této instance Azure Web PubSub je _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub.
ID prostředku instance služby Azure Key Vault je /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Pokud chcete použít postup v následujících příkladech, nahraďte tyto hodnoty vlastním ID předplatného, názvem prostředku Web PubSub a názvem prostředku služby Azure Key Vault.

Požadavky

Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
Azure CLI 2.25.0 nebo novější (pokud používáte Azure CLI).
Instance Azure Web PubSub v minimální cenové úrovni Standard
Prostředek služby Azure Key Vault.

Vytvoření prostředku sdíleného privátního koncového bodu do trezoru klíčů

Azure Portal
Azure CLI

Na webu Azure Portal přejděte k prostředku Azure Web PubSub.
V nabídce vlevo vyberte Sítě.
Vyberte kartu Soukromý přístup.
Vyberte Přidat sdílený privátní koncový bod.
Jako název zadejte název, který se má použít pro sdílený privátní koncový bod.
Pokud chcete vybrat prostředek trezoru klíčů, proveďte jeden z následujících kroků:
- Vyberte ze svých prostředků a ze seznamů vyberte prostředek.
- Vyberte Zadat ID prostředku a zadejte ID prostředku trezoru klíčů.
Pokud chcete požádat o zprávu, zadejte prosím schválit.
Vyberte Přidat.

Stav zřizování prostředků sdíleného privátního koncového bodu je úspěšný. Stav připojení čeká na vyřízení a čeká na schválení cílového prostředku.

Pomocí Azure CLI můžete provést následující volání rozhraní API, které vytvoří prostředek sdíleného privátního propojení. Nahraďte hodnotu uri identifikátorem URI ve vašem scénáři.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Obsah souboru create-pe.json představuje text požadavku do rozhraní API:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Proces vytvoření odchozího privátního koncového bodu je dlouhotrvající (asynchronní) operace. Stejně jako ve všech asynchronních operacích Azure vrátí Azure-AsyncOperation volání PUT hodnotu hlavičky, která vypadá jako v následujícím příkladu:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Tento identifikátor URI můžete pravidelně dotazovat, abyste získali stav operace. Než přejdete k další části, počkejte, až se stav změní na Úspěch.

Pokud chcete dotazovat stav, ručně zadejte dotaz na Azure-AsyncOperationHeader hodnotu:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

Schválení připojení privátního koncového bodu pro trezor klíčů

Po vytvoření připojení privátního koncového bodu musí být žádost o připojení z webu PubSub schválena ve vašem prostředku služby Key Vault.

Azure Portal
Azure CLI

Na webu Azure Portal přejděte k prostředku Key Vault.
V nabídce vlevo vyberte Sítě.
Vyberte Připojení privátních koncových bodů.
Vyberte privátní koncový bod, který web pubSub vytvořil.
Vyberte Schválit a pak potvrďte výběr možnosti Ano .

Změna stavu připojení privátního koncového bodu na Schváleno může trvat několik minut.

Výpis připojení privátních koncových bodů:

az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'

Zkontrolujte nevyřízené připojení privátního koncového bodu. Poznamenejte si ID připojení.

[
    {
        "id": "<ID>",
        "location": "",
        "name": "",
        "properties": {
            "privateLinkServiceConnectionState": {
                "actionRequired": "None",
                "description": "Please approve",
                "status": "Pending"
           }
        }
    }
]

Schválení připojení privátního koncového bodu:

az network private-endpoint-connection approve --id <private-endpoint-connection-ID>

Dotaz na stav sdíleného prostředku privátního propojení

Rozšíření schválení do služby Azure Web PubSub trvá několik minut. Stav můžete zkontrolovat pomocí webu Azure Portal nebo Azure CLI. Sdílený privátní koncový bod mezi službou Azure Web PubSub a službou Azure Key Vault je aktivní při schválení stavu kontejneru.

Azure Portal
Azure CLI

Na webu Azure Portal přejděte k prostředku Azure Web PubSub.
V nabídce vlevo vyberte Sítě.
Vyberte Sdílené prostředky privátního propojení.

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Tento příkaz vrátí JSON. Stav připojení je uveden v status části properties.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Kdy properties.provisioningState je Succeeded Approvedprostředek sdíleného privátního propojení funkční a properties.status web pubSub může komunikovat přes privátní koncový bod.

Teď můžete nakonfigurovat funkce, jako je vlastní doména, jako obvykle. Pro trezor klíčů nemusíte používat speciální doménu. Web PubSub automaticky zpracovává překlad DNS (Domain Name System).

Sdílet prostřednictvím

Přístup k trezoru klíčů v privátní síti prostřednictvím sdílených privátních koncových bodů

Požadavky

Vytvoření prostředku sdíleného privátního koncového bodu do trezoru klíčů

Schválení připojení privátního koncového bodu pro trezor klíčů

Dotaz na stav sdíleného prostředku privátního propojení

Váš názor

Další materiály

Sdílet prostřednictvím

Přístup k trezoru klíčů v privátní síti prostřednictvím sdílených privátních koncových bodů

Požadavky

Vytvoření prostředku sdíleného privátního koncového bodu do trezoru klíčů

Schválení připojení privátního koncového bodu pro trezor klíčů

Dotaz na stav sdíleného prostředku privátního propojení

Související obsah

Váš názor

Další materiály