Share via

استخدام نقاط النهاية الخاصة لخدمة Azure Web PubSub

  • مقالة

يمكنك استخدام نقاط النهاية الخاصة لخدمة Azure Web PubSub للسماح للعملاء في شبكة ظاهرية (VNet) بالوصول إلى البيانات بأمان عبر ارتباط خاص. تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان VNet لخدمة Azure Web PubSub. تنتقل نسبة استخدام الشبكة بين العملاء على VNet وخدمة Azure Web PubSub عبر رابط خاص على شبكة Microsoft الأساسية، مما يلغي التعرض من الإنترنت العام.

يتيح لك استخدام نقاط النهاية الخاصة لخدمة Azure Web PubSub ما يلي:

  • تأمين خدمة Azure Web PubSub باستخدام التحكم في الوصول إلى الشبكة لمنع جميع الاتصالات على نقطة النهاية العامة لخدمة Azure Web PubSub.
  • زِد الأمان للشبكة الافتراضية (VNet )، من خلال تمكينك من حظر تصفية البيانات من VNet.
  • الاتصال بأمان بخدمة Azure Web PubSub من الشبكات المحلية التي تتصل بالشبكة الظاهرية باستخدام VPN أو ExpressRoutes مع نظير خاص.

نظرة عامة منطقية

Overview of private endpoints for Azure Web PubSub service.

نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في الشبكة الظاهرية (VNet). عند إنشاء نقطة نهاية خاصة لخدمة Azure Web PubSub، فإنها توفر اتصالا آمنا بين العملاء على VNet والخدمة الخاصة بك. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عناوين IP الخاص بشبكة VNet لديك. يستخدم الاتصال بين نقطة النهاية الخاصة وخدمة Azure Web PubSub ارتباطا خاصا آمنا.

يمكن للتطبيقات في VNet الاتصال بخدمة Azure Web PubSub عبر نقطة النهاية الخاصة بسلاسة، باستخدام نفس سلسلة الاتصال وآليات التخويل التي ستستخدمها بخلاف ذلك. يمكن استخدام نقاط النهاية الخاصة مع جميع البروتوكولات المدعومة من قبل خدمة Azure Web PubSub، بما في ذلك REST API.

عند إنشاء نقطة نهاية خاصة لخدمة Azure Web PubSub في VNet الخاص بك، يتم إرسال طلب موافقة للموافقة إلى مالك خدمة Azure Web PubSub. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة هو أيضا مالك خدمة Azure Web PubSub، تتم الموافقة على طلب الموافقة هذا تلقائيا.

يمكن لمالكي خدمة Azure Web PubSub إدارة طلبات الموافقة ونقاط النهاية الخاصة، من خلال علامة التبويب "نقاط النهاية الخاصة" لخدمة Azure Web PubSub في مدخل Microsoft Azure.

تلميح

إذا كنت تريد تقييد الوصول إلى خدمة Azure Web PubSub من خلال نقطة النهاية الخاصة فقط، فكون التحكم في الوصول إلى الشبكة لرفض الوصول أو التحكم فيه من خلال نقطة النهاية العامة.

الاتصال بنقاط النهاية الخاصة

يجب على العملاء على VNet الذين يستخدمون نقطة النهاية الخاصة استخدام نفس سلسلة الاتصال لخدمة Azure Web PubSub، حيث يتصل العملاء بنقطة النهاية العامة. نعتمد على دقة DNS لتوجيه الاتصالات تلقائيا من VNet إلى خدمة Azure Web PubSub عبر ارتباط خاص.

هام

استخدم نفس سلسلة الاتصال للاتصال بخدمة Azure Web PubSub باستخدام نقاط النهاية الخاصة، كما ستستخدم خلاف ذلك. يرجى عدم الاتصال بخدمة Azure Web PubSub باستخدام عنوان URL للمجال الفرعي الخاص بها privatelink .

نقوم بشكل افتراضي بإنشاء Private DNS Zone مرتبطة بشبكة VNet مع التحديثات اللازمة لنقاط النهاية الخاصة. ومع ذلك، إذا كنت تستخدم خادم DNS الخاص بك، فقد تحتاج إلى إجراء تغييرات أخرى على تكوين DNS الخاص بك. يصف القسم الخاص بتغييرات DNS أدناه التحديثات المطلوبة لنقاط النهاية الخاصة.

تغييرات DNS لنقاط النهاية الخاصة

عند إنشاء نقطة نهاية خاصة، يتم تحديث سجل مورد DNS CNAME لخدمة Azure Web PubSub إلى اسم مستعار في مجال فرعي بالبادئة privatelink. بشكل افتراضي، نقوم أيضا بإنشاء منطقة DNS خاصة، مطابقة للمجال privatelink الفرعي، مع سجلات موارد DNS A لنقاط النهاية الخاصة.

عند حل اسم مجال خدمة Azure Web PubSub من خارج VNet مع نقطة النهاية الخاصة، فإنه يحل إلى نقطة النهاية العامة لخدمة Azure Web PubSub. عند حلها من VNet التي تستضيف نقطة النهاية الخاصة، يتم حل اسم المجال إلى عنوان IP لنقطة النهاية الخاصة.

للمثال الموضح أعلاه، ستكون سجلات موارد DNS لخدمة Azure Web PubSub 'foobar'، عند حلها من خارج الشبكة الظاهرية التي تستضيف نقطة النهاية الخاصة:

الاسم النوع القيمة‬
foobar.webpubsub.azure.com CNAME foobar.privatelink.webpubsub.azure.com
foobar.privatelink.webpubsub.azure.com ش <عنوان IP العام لخدمة Azure Web PubSub>

كما ذكرنا سابقا، يمكنك رفض أو التحكم في الوصول للعملاء خارج VNet من خلال نقطة النهاية العامة باستخدام التحكم في الوصول إلى الشبكة.

ستكون سجلات موارد DNS ل "foobar"، عند حلها بواسطة عميل في الشبكة الظاهرية التي تستضيف نقطة النهاية الخاصة:

الاسم النوع القيمة‬
foobar.webpubsub.azure.com CNAME foobar.privatelink.webpubsub.azure.com
foobar.privatelink.webpubsub.azure.com ش 10.1.1.5

يتيح هذا الأسلوب الوصول إلى خدمة Azure Web PubSub باستخدام نفس سلسلة الاتصال للعملاء على الشبكة الظاهرية التي تستضيف نقاط النهاية الخاصة والعملاء خارج VNet.

إذا كنت تستخدم خادم DNS مخصصا على شبكتك، يجب أن يكون العملاء قادرين على حل FQDN لنقطة نهاية خدمة Azure Web PubSub إلى عنوان IP لنقطة النهاية الخاصة. يجب تكوين خادم DNS لتفويض المجال الفرعي للارتباط الخاص بك إلى منطقة DNS الخاصة للشبكة الظاهرية، أو تكوين سجلات A ل foobar.privatelink.webpubsub.azure.com مع عنوان IP لنقطة النهاية الخاصة.

تلميح

عند استخدام خادم DNS مخصص أو محلي، يجب تكوين خادم DNS الخاص بك لحل اسم خدمة Azure Web PubSub في privatelink المجال الفرعي إلى عنوان IP لنقطة النهاية الخاصة. يمكنك القيام بذلك عن طريق تفويض النطاق الفرعي privatelink إلى منطقة DNS الخاصة في VNet أو عن طريق تكوين منطقة DNS على خادم DNS وإضافة سجلات DNS A.

اسم منطقة DNS الموصى به لنقاط النهاية الخاصة لخدمة Azure Web PubSub هو: privatelink.webpubsub.azure.com.

لمزيد من المعلومات حول تكوين خادم DNS الخاص بك لدعم نقاط النهاية الخاصة، راجع المقالات التالية:

قم بإنشاء نقطة نهاية خاصة

إنشاء نقطة نهاية خاصة مع خدمة Azure Web PubSub جديدة في مدخل Microsoft Azure

  1. عند إنشاء خدمة Azure Web PubSub جديدة، حدد علامة التبويب Networking . اختر Private endpoint كأسلوب اتصال.

    Create Azure Web PubSub service - Networking tab.

  2. حدد إضافة. املأ الاشتراك، ومجموعة الموارد، والموقع، واسم نقطة النهاية الخاصة الجديدة. اختر شبكة ظاهرية وشبكة فرعية.

  3. حدد "Review + create".

إنشاء نقطة نهاية خاصة لخدمة Azure Web PubSub الموجودة في مدخل Microsoft Azure

  1. انتقل إلى خدمة Azure Web PubSub.

  2. حدد في قائمة الإعدادات التي تسمى اتصالات نقطة النهاية الخاصة.

  3. حدد الزر + نقطة النهاية الخاصة في الأعلى.

  4. املأ الاشتراك ومجموعة الموارد واسم المورد والمنطقة لنقطة النهاية الخاصة الجديدة.

  5. اختر مورد خدمة Azure Web PubSub الهدف.

  6. اختيار الشبكة الظاهرية المستهدفة

  7. حدد "Review + create".

التسعير

للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.

المشكلات المعروفة

ضع في اعتبارك المشكلات المعروفة التالية حول نقاط النهاية الخاصة لخدمة Azure Web PubSub.

المستوى المجاني

لا يمكن دمج مثيل الطبقة المجانية لخدمة Azure Web PubSub مع نقطة النهاية الخاصة.

قيود الوصول للعملاء في VNets مع نقاط النهاية الخاصة

يواجه العملاء في VNets الذين لديهم نقاط نهاية خاصة موجودة قيودا عند الوصول إلى مثيلات خدمة Azure Web PubSub الأخرى التي تحتوي على نقاط نهاية خاصة. على سبيل المثال، افترض أن VNet N1 يحتوي على نقطة نهاية خاصة لمثيل خدمة Azure Web PubSub W1. إذا كانت خدمة Azure Web PubSub W2 تحتوي على نقطة نهاية خاصة في VNet N2، فيجب على العملاء في VNet N1 أيضا الوصول إلى خدمة Azure Web PubSub W2 باستخدام نقطة نهاية خاصة. إذا لم يكن لدى خدمة Azure Web PubSub W2 أي نقاط نهاية خاصة، فيمكن للعملاء في VNet N1 الوصول إلى خدمة Azure Web PubSub في هذا الحساب دون نقطة نهاية خاصة.

هذا القيد هو نتيجة لتغييرات DNS التي تم إجراؤها عندما تقوم خدمة Azure Web PubSub W2 بإنشاء نقطة نهاية خاصة.