Använda privata slutpunkter för Azure SignalR Service

Du kan använda privata slutpunkter för Din Azure SignalR Service för att tillåta klienter i ett virtuellt nätverk (VNet) att på ett säkert sätt komma åt data via en privat länk. Den privata slutpunkten använder en IP-adress från det virtuella nätverkets adressutrymme för Azure SignalR Service. Nätverkstrafiken mellan klienterna på det virtuella nätverket och Azure SignalR Service passerar via en privat länk i Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet.

Med privata slutpunkter för Azure SignalR Service kan du:

• Skydda Azure SignalR Service med hjälp av nätverksåtkomstkontrollen för att blockera alla anslutningar på den offentliga slutpunkten för Azure SignalR Service.
• Öka säkerheten för det virtuella nätverket (VNet) genom att göra det möjligt för dig att blockera exfiltrering av data från det virtuella nätverket.
• Anslut säkert till Azure SignalR Services från lokala nätverk som ansluter till det virtuella nätverket med VPN eller ExpressRoutes med privat peering.

Den här artikeln visar hur du använder privata slutpunkter för Din Azure SignalR Service.

Begreppsmässig översikt

En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk (VNet). När du skapar en privat slutpunkt för Azure SignalR Service ger den säker anslutning mellan klienter i ditt virtuella nätverk och din tjänst. Den privata slutpunkten tilldelas en IP-adress från IP-adressintervallet för ditt virtuella nätverk. Anslutningen mellan den privata slutpunkten och Azure SignalR Service använder en säker privat länk.

Program i det virtuella nätverket kan ansluta till Azure SignalR Service via den privata slutpunkten sömlöst, med samma anslutningssträng och auktoriseringsmekanismer som de skulle använda annars. Privata slutpunkter kan användas med alla protokoll som stöds av Azure SignalR Service, inklusive REST API.

När du skapar en privat slutpunkt för en Azure SignalR Service i ditt virtuella nätverk skickas en begäran om medgivande för godkännande till Azure SignalR Service-ägaren. Om användaren som begär att den privata slutpunkten ska skapas också är ägare till Azure SignalR Service godkänns begäran om medgivande automatiskt.

Azure SignalR Service-ägare kan hantera begäranden om medgivande och privata slutpunkter via fliken Privata slutpunkter för Azure SignalR Service i Azure-portalen.

Anslut till privata slutpunkter

Klienter i ett virtuellt nätverk som använder den privata slutpunkten bör använda samma anslutningssträng för Azure SignalR Service som klienter som ansluter till den offentliga slutpunkten. Vi förlitar oss på DNS-matchning för att automatiskt dirigera anslutningarna från det virtuella nätverket till Azure SignalR Service via en privat länk.

Vi skapar en privat DNS-zon som är kopplad till det virtuella nätverket med nödvändiga uppdateringar för de privata slutpunkterna som standard. Men om du använder din egen DNS-server kan du behöva göra andra ändringar i DNS-konfigurationen. Avsnittet DNS-ändringar för privata slutpunkter beskriver de uppdateringar som krävs för privata slutpunkter.

DNS-ändringar för privata slutpunkter

När du skapar en privat slutpunkt uppdateras DNS CNAME-resursposten för Azure SignalR Service till ett alias i en underdomän med prefixet privatelink. Som standard skapar vi också en privat DNS-zon som motsvarar underdomänen privatelink med DNS A-resursposterna för de privata slutpunkterna.

När du löser ditt Azure SignalR Service-domännamn utanför det virtuella nätverket med den privata slutpunkten matchas det mot den offentliga slutpunkten för Azure SignalR Service. När det löses från det virtuella nätverk som är värd för den privata slutpunkten matchas domännamnet till den privata slutpunktens IP-adress.

I det illustrerade exemplet kommer DNS-resursposterna för Azure SignalR Service "foobar", när de matchas utanför det virtuella nätverk som är värd för den privata slutpunkten, att vara:

Som tidigare nämnts kan du neka eller kontrollera åtkomst för klienter utanför det virtuella nätverket via den offentliga slutpunkten med hjälp av nätverksåtkomstkontrollen.

DNS-resursposterna för "foobar", när de matchas av en klient i det virtuella nätverk som är värd för den privata slutpunkten, blir:

Den här metoden ger åtkomst till Azure SignalR Service med samma anslutningssträng för klienter på det virtuella nätverket som är värd för de privata slutpunkterna och klienterna utanför det virtuella nätverket.

Om du använder en anpassad DNS-server i nätverket måste klienterna kunna matcha FQDN för Azure SignalR Service-slutpunkten till ip-adressen för den privata slutpunkten. Du bör konfigurera DNS-servern för att delegera din privata länkunderdomän till den privata DNS-zonen för det virtuella nätverket eller konfigurera A-posterna för med ip-adressen för foobar.privatelink.service.signalr.net den privata slutpunkten.

Det rekommenderade DNS-zonnamnet för privata slutpunkter för Azure SignalR Service är: privatelink.service.signalr.net.

Mer information om hur du konfigurerar din egen DNS-server för att stödja privata slutpunkter finns i följande artiklar:

• Namnmatchning för resurser i virtuella nätverk i Azure
• DNS-konfiguration för privata slutpunkter

Skapa en privat slutpunkt

Skapa en privat slutpunkt tillsammans med en ny Azure SignalR Service i Azure-portalen

1. När du skapar en ny Azure SignalR Service väljer du fliken Nätverk . Välj Privat slutpunkt som anslutningsmetod.

   

2. Markera Lägga till. Fyll i prenumeration, resursgrupp, plats, namn för den nya privata slutpunkten. Välj ett virtuellt nätverk och undernät.

   

3. Välj Granska + skapa.

Skapa en privat slutpunkt för en befintlig Azure SignalR Service i Azure-portalen

1. Gå till Azure SignalR Service.

2. Välj på inställningsmenyn med namnet Privata slutpunktsanslutningar.

3. Välj knappen + Privat slutpunkt längst upp.

   

4. Ange prenumeration, resursgrupp, resursnamn och region för den nya privata slutpunkten.

   

5. Välj Azure SignalR Service-målresurs.

   

6. Välj virtuellt målnätverk

   

7. Välj Granska + skapa.

Skapa en privat slutpunkt med Hjälp av Azure CLI

1. Logga in på Azure CLI

   az login
   

2. Ange din Azure-prenumeration

   az account set --subscription {AZURE SUBSCRIPTION ID}
   

3. Skapa en ny resursgrupp

   az group create -n {RG} -l {AZURE REGION}
   

4. Registrera Microsoft.SignalRService som leverantör

   az provider register -n Microsoft.SignalRService
   

5. Skapa en ny Azure SignalR Service

   az signalr create --name {NAME} --resource-group {RG} --location {AZURE REGION} --sku Standard_S1
   

6. Skapa ett virtuellt nätverk

   az network vnet create --resource-group {RG} --name {vNet NAME} --location {AZURE REGION}
   

7. Lägga till ett undernät

   az network vnet subnet create --resource-group {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}
   

8. Inaktivera principer för virtuellt nätverk

   az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true
   

9. Lägga till en Privat DNS zon

   az network private-dns zone create --resource-group {RG} --name privatelink.service.signalr.net
   

10. Länka Privat DNS zon till virtuellt nätverk

    az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.service.signalr.net --name {dnsZoneLinkName} --registration-enabled true
    

11. Skapa en privat slutpunkt (godkänn automatiskt)

    az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.SignalRService/SignalR/{NAME}" --group-ids signalr --connection-name {Private Link Connection Name} --location {AZURE REGION}
    

12. Skapa en privat slutpunkt (begära godkännande manuellt)

    az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.SignalRService/SignalR/{NAME}" --group-ids signalr --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request
    

13. Visa Anslut ionsstatus

    az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}
    

Prissättning

Prisinformation finns i Priser för Azure Private Link.

Kända problem

Tänk på följande kända problem med privata slutpunkter för Azure SignalR Service

Kostnadsfri nivå

Du kan inte skapa någon privat slutpunkt för Azure SignalR Service på den kostnadsfria nivån.

Åtkomstbegränsningar för klienter i virtuella nätverk med privata slutpunkter

Klienter i virtuella nätverk med befintliga privata slutpunkter har begränsningar vid åtkomst till andra Azure SignalR Service-instanser som har privata slutpunkter. Till exempel:

• När VNet N1 har en privat slutpunkt för en Azure SignalR Service-instans S1
  • Om Azure SignalR Service S2 har en privat slutpunkt i ett VNet N2 måste klienterna i VNet N1 också komma åt Azure SignalR Service S2 med hjälp av en privat slutpunkt.
  • Om Azure SignalR Service S2 inte har några privata slutpunkter kan klienterna i VNet N1 komma åt Azure SignalR Service i det kontot utan en privat slutpunkt.

Den här begränsningen är ett resultat av DE DNS-ändringar som gjordes när Azure SignalR Service S2 skapar en privat slutpunkt.

Nästa steg

• Konfigurera åtkomstkontroll för nätverk