Erişim denetimi için özel uç noktaları kullanma

  • Makale

Sanal ağdaki (VNet) istemcilerin özel bağlantı üzerinden verilere güvenli bir şekilde erişmesine izin vermek için Azure Web PubSub kaynağınız için özel uç noktaları kullanabilirsiniz. Özel uç nokta, Web PubSub kaynağınız için sanal ağ adres alanından bir IP adresi kullanır. Sanal ağ üzerindeki istemciler ile Web PubSub kaynağınız arasındaki ağ trafiği, Microsoft ağındaki özel bir bağlantıdan geçirerek genel İnternet'te etkilenmeyi ortadan kaldırır.

Web PubSub kaynağınız için özel uç noktaları kullanmanız size yardımcı olur:

  • Web PubSub için genel uç noktadaki tüm bağlantıları engellemek için ağ erişim denetimini kullanarak Web PubSub kaynağınızın güvenliğini sağlayın.
  • Sanal ağdan veri sızdırmayı engellemenizi sağlayarak sanal ağ güvenliğini artırın.
  • Özel eşleme ile VPN veya Azure ExpressRoute kullanarak sanal ağa bağlanan şirket içi ağlardan Web PubSub'a güvenli bir şekilde bağlanın.

Sanal ağda özel uç noktaları kullanma

Azure Web PubSub için özel uç noktalara genel bir bakış gösteren diyagram.

Özel uç nokta, sanal ağınızdaki bir Azure hizmeti için özel bir ağ arabirimidir. Web PubSub kaynağınız için özel bir uç nokta oluşturduğunuzda, sanal ağınızdaki istemciler ile hizmetiniz arasında güvenli bağlantı sağlar. Özel uç noktaya sanal ağınızın IP adresi aralığından bir IP adresi atanır. Özel uç nokta ile Web PubSub arasındaki bağlantı güvenli bir özel bağlantı kullanır.

VNet'teki uygulamalar, özel uç noktayı kullanarak Web PubSub kaynaklarına sorunsuz bir şekilde bağlanabilir. Uygulamalar, aksi takdirde kullanacakları aynı bağlantı dizesi ve yetkilendirme mekanizmalarını kullanır.

Özel uç noktalar, REST API de dahil olmak üzere Web PubSub kaynağının desteklediği tüm protokollerle kullanılabilir.

Sanal ağınızda bir Web PubSub kaynağı için özel uç nokta oluşturduğunuzda, Web PubSub kaynak sahibine onay için bir onay isteği gönderilir. Özel uç noktayı isteyen kullanıcı aynı zamanda Web PubSub kaynağının da sahibiyse, bu onay isteği otomatik olarak onaylanır.

Web PubSub kaynağınız için onay isteklerini ve özel uç noktaları Azure portalındaki Özel uç noktalar sekmesinde yönetebilirsiniz.

İpucu

Web PubSub kaynağınıza erişimi yalnızca özel uç nokta üzerinden kısıtlamak istiyorsanız, genel uç nokta üzerinden erişimi reddetmek veya denetlemek için ağ erişim denetimini ayarlayın.

Özel uç noktaya bağlanma

Özel uç nokta kullanan bir sanal ağ üzerindeki istemciler, genel uç nokta üzerinden bağlanan istemcilerin kullandığı Web PubSub kaynağı için aynı bağlantı dizesi kullanmalıdır. Sanal ağdan Web PubSub'a bağlantıları özel bir bağlantı üzerinden otomatik olarak yönlendirmek için Etki Alanı Adı Sistemi (DNS) çözümlemesine güveniriz.

Önemli

Web PubSub'a bağlanmak için genel uç nokta için kullandığınız özel uç noktaları kullanarak aynı bağlantı dizesi kullanın. Alt etki alanı URL'sini privatelink kullanarak Web PubSub'a bağlanmayın.

Varsayılan olarak, özel uç noktalar için gerekli güncelleştirmelerle sanal ağa bağlı bir özel DNS bölgesi oluştururuz. Kendi DNS sunucunuzu kullanıyorsanız, DNS yapılandırmanızda başka değişiklikler yapmanız gerekebilir. Sonraki bölümde, özel uç noktalar için gereken güncelleştirmeler açıklanmaktadır.

Özel uç noktalar için DNS değişiklikleri

Özel uç nokta oluşturduğunuzda, Web PubSub kaynağınızın DNS CNAME kaynak kaydı ön ekine privatelinksahip bir alt etki alanında bir diğer adla güncelleştirilir. Varsayılan olarak, özel uç noktaların DNS A kaynak kayıtlarıyla birlikte alt etki alanına karşılık gelen privatelink bir özel DNS bölgesi de oluştururuz.

Web PubSub kaynak etki alanı adınızı özel uç noktayla sanal ağın dışından çözümlediğinizde, Web PubSub kaynağının genel uç noktasına çözümler. Özel uç noktayı barındıran sanal ağdan çözümlendiğinde, etki alanı adı özel uç noktanın IP adresine çözümlenir.

Yukarıdaki örnek için, özel uç noktayı barındıran sanal ağın dışından çözümlendiğinde Web PubSub kaynağının DNS kaynağı sample kayıtları:

Adı Tür Değer
sample.webpubsub.azure.com CNAME sample.privatelink.webpubsub.azure.com
sample.privatelink.webpubsub.azure.com A <Web PubSub genel IP adresi>

Ağ erişim denetimini kullanarak genel uç nokta üzerinden sanal ağ dışındaki istemcilerin erişimini reddedebilir veya denetleyebilirsiniz.

Web PubSub kaynağının özel uç noktayı barındıran bir istemci tarafından çözümlendiğinde dns kaynak sample kayıtları şu örneğe benzer:

Adı Tür Değer
sample.webpubsub.azure.com CNAME sample.privatelink.webpubsub.azure.com
sample.privatelink.webpubsub.azure.com A 10.1.1.5

Bu yaklaşım, özel uç noktayı barındıran sanal ağ üzerindeki istemciler ve sanal ağ dışındaki istemciler için aynı bağlantı dizesi kullanarak Web PubSub'a erişim sağlar.

Ağınızda özel bir DNS sunucusu kullanıyorsanız, istemcilerin Web PubSub kaynak uç noktası için tam etki alanı adını (FQDN) özel uç nokta IP adresine çözümleyebilmesi gerekir. DNS sunucunuzu, özel bağlantı alt etki alanınızı sanal ağ için özel DNS bölgesine temsilci olarak atayacak şekilde yapılandırmanız veya A kayıtlarını sample.privatelink.webpubsub.azure.com özel uç nokta IP adresini kullanacak şekilde yapılandırmanız gerekir.

İpucu

Özel veya şirket içi DNS sunucusu kullanıyorsanız, DNS sunucunuzu alt etki alanı içindeki privatelink Web PubSub kaynak adını özel uç nokta IP adresine çözümleyebilmek için yapılandırmanız gerekir. Bunu yapmak için alt etki alanını sanal ağın privatelink özel DNS bölgesine yetki vererek veya DNS sunucunuzda DNS bölgesini yapılandırıp DNS A kayıtlarını ekleyerek yapabilirsiniz.

Web PubSub kaynağındaki özel uç noktalar için DNS bölgesi adı için kullanmanızı privatelink.webpubsub.azure.com öneririz.

Kendi DNS sunucunuzu özel uç noktaları destekleyecek şekilde yapılandırma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Özel uç nokta oluşturma

Aşağıdaki bölümlerde, özel bir uç nokta ve web PubSub'un yeni bir örneğinin nasıl oluşturulacağı ve mevcut bir Web PubSub örneği için özel uç noktanın nasıl oluşturulacağı açıklanmaktadır.

Web PubSub'un yeni bir örneğinde özel uç nokta oluşturma

  1. Azure portalında yeni bir Azure Web PubSub örneği oluşturun. sekmesinde, Bağlantı yöntemi için Özel uç nokta'yı seçin.

    Web PubSub kaynağı oluşturduğunuzda Ağ sekmesini gösteren ekran görüntüsü.

  2. Ekle'yi seçin. Aboneliği, kaynak grubu adını, Azure bölgesini ve yeni özel uç noktanın adını seçin veya girin. Kullanılacak bir sanal ağ ve alt ağ seçin.

  3. Gözden geçir ve oluştur’u seçin.

Mevcut bir Web PubSub kaynağı için özel uç nokta oluşturma

  1. Azure portalında Web PubSub kaynağınıza gidin.

  2. Soldaki menüde Ayarlar'ın altında Özel uç nokta bağlantıları'nı seçin.

  3. Özel uç nokta'ya tıklayın.

  4. Yeni özel uç nokta için abonelik, kaynak grubu, kaynak adı ve bölge değerlerini seçin veya girin.

  5. Hedef Web PubSub kaynağını seçin.

  6. Hedef sanal ağı seçin.

  7. Gözden geçir ve oluştur’u seçin.

Fiyatlandırma

Fiyatlandırma ayrıntıları için bkz. Azure Özel Bağlantı fiyatlandırma.

Bilinen sorunlar

Web PubSub'da özel uç noktaları kullanmayla ilgili aşağıdaki bilinen sorunları göz önünde bulundurun.

Ücretsiz katman kısıtlamaları

Ücretsiz katman kullanılarak oluşturulan bir Azure Web PubSub örneği özel uç noktayla tümleştiremez.

Özel uç noktaları olan sanal ağlardaki istemciler için erişim kısıtlamaları

Mevcut özel uç noktaları olan sanal ağlardaki istemcilerin, özel uç noktaları olan diğer Web PubSub örneklerine erişirken kısıtlamaları vardır. Örneğin, bir VNet N1'in Web PubSub örneği W1 için özel uç noktası vardır. Web PubSub örneği W2'nin bir VNet N2'de özel uç noktası varsa, VNet N1'deki istemcilerin özel uç nokta kullanarak Web PubSub örneği W2'ye de erişmesi gerekir.

Web PubSub örneği W2'de özel uç nokta yoksa, VNet N1'deki istemciler özel uç nokta kullanmadan bu hesaptaki Web PubSub kaynağına erişebilir. Bu kısıtlama, Web PubSub örneği W2 özel bir uç nokta oluşturduğunda yapılan DNS değişikliklerinin bir sonucudur.