Privát végpontok használata az Azure SignalR Service-hez

  • Cikk

Az Azure SignalR-szolgáltatás privát végpontjaival engedélyezheti, hogy a virtuális hálózaton (VNeten) lévő ügyfelek biztonságosan hozzáférhessenek az adatokhoz privát kapcsolaton keresztül. A privát végpont egy IP-címet használ az Azure SignalR-szolgáltatás virtuális hálózati címteréből. A virtuális hálózat és az Azure SignalR szolgáltatás ügyfelei közötti hálózati forgalom a Microsoft gerinchálózatán található privát kapcsolaton keresztül halad át, kiküszöbölve a nyilvános internetről való kitettséget.

Privát végpontok használata az Azure SignalR Szolgáltatáshoz lehetővé teszi a következőket:

  • Az Azure SignalR-szolgáltatás védelme a hálózati hozzáférés-vezérléssel az Azure SignalR Szolgáltatás nyilvános végpontján lévő összes kapcsolat letiltásához.
  • Növelje a virtuális hálózat (VNet) biztonságát azáltal, hogy letiltja az adatok kiszivárgását a virtuális hálózatról.
  • Biztonságosan csatlakozhat az Azure SignalR Serviceshez olyan helyszíni hálózatokról, amelyek VPNvagy ExpressRoutes használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítéssel.

Ez a cikk bemutatja, hogyan használhat privát végpontokat az Azure SignalR-szolgáltatáshoz.

Fogalmi áttekintés

Overview of private endpoints for Azure SignalR Service

A privát végpont egy speciális hálózati adapter a virtuális hálózaton (VNet) található Azure-szolgáltatásokhoz. Amikor privát végpontot hoz létre az Azure SignalR Szolgáltatáshoz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és a szolgáltatás között. A privát végpont a virtuális hálózat IP-címtartományából kap IP-címet. A privát végpont és az Azure SignalR Szolgáltatás közötti kapcsolat biztonságos privát kapcsolatot használ.

A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak az Azure SignalR Service-hez a privát végponton keresztül ugyanazokkal a kapcsolati sztring és engedélyezési mechanizmusokkal, amelyeket egyébként használnának. A privát végpontok az Azure SignalR Szolgáltatás által támogatott összes protokollhoz használhatók, beleértve a REST API-t is.

Amikor privát végpontot hoz létre egy Azure SignalR-szolgáltatáshoz a virtuális hálózaton, a rendszer jóváhagyásra vonatkozó kérelmet küld az Azure SignalR szolgáltatás tulajdonosának. Ha a privát végpont létrehozását kérő felhasználó egyben az Azure SignalR szolgáltatás tulajdonosa is, a rendszer automatikusan jóváhagyja ezt a hozzájárulási kérést.

Az Azure SignalR-szolgáltatás tulajdonosai az Azure PortalOn az Azure SignalR Szolgáltatás "Privát végpontok" lapján kezelhetik a hozzájárulási kérelmeket és a privát végpontokat.

Tipp.

Ha csak a privát végponton keresztül szeretné korlátozni az Azure SignalR-szolgáltatáshoz való hozzáférést, konfigurálja a hálózati hozzáférés-vezérlést a nyilvános végponton keresztüli hozzáférés megtagadására vagy szabályozására.

Csatlakozás privát végpontokra

A privát végpontot használó virtuális hálózaton lévő ügyfeleknek ugyanazt a kapcsolati sztring kell használniuk az Azure SignalR szolgáltatáshoz, mint a nyilvános végponthoz csatlakozó ügyfeleknek. A DNS-feloldásra támaszkodunk, hogy automatikusan átirányítsuk a kapcsolatokat a virtuális hálózatról az Azure SignalR Szolgáltatásba egy privát kapcsolaton keresztül.

Fontos

Használja ugyanazt a kapcsolati sztring az Azure SignalR Service-hez való csatlakozáshoz privát végpontok használatával, ahogyan egyébként is használná. Ne csatlakozzon az Azure SignalR Service-hez az altartomány URL-címével privatelink .

Alapértelmezés szerint létrehozunk egy privát DNS-zónát a virtuális hálózathoz a privát végpontok szükséges frissítéseivel. Ha azonban saját DNS-kiszolgálót használ, előfordulhat, hogy más módosításokat kell végeznie a DNS-konfiguráción. A privát végpontok DNS-módosításai című szakasz a privát végpontokhoz szükséges frissítéseket ismerteti.

DNS-módosítások privát végpontokhoz

Privát végpont létrehozásakor az Azure SignalR-szolgáltatás DNS CNAME erőforrásrekordja egy altartományban lévő aliasra frissül az előtaggal privatelink. Alapértelmezés szerint az altartománynak privatelink megfelelő privát DNS-zónát is létrehozunk a privát végpontok DNS A erőforrásrekordjaival.

Ha az Azure SignalR-szolgáltatás tartománynevét a virtuális hálózaton kívülről oldja fel a privát végponttal, az az Azure SignalR szolgáltatás nyilvános végpontjára lesz feloldva. A privát végpontot üzemeltető virtuális hálózatról feloldva a tartománynév a privát végpont IP-címére lesz feloldva.

Az illusztrált példában az Azure SignalR szolgáltatás "foobar" DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton kívülről oldódnak fel:

Name Típus Érték
foobar.service.signalr.net CNAME foobar.privatelink.service.signalr.net
foobar.privatelink.service.signalr.net A <Az Azure SignalR Szolgáltatás nyilvános IP-címe>

Ahogy korábban említettük, a hálózati hozzáférés-vezérléssel megtagadhatja vagy szabályozhatja a virtuális hálózaton kívüli ügyfelek hozzáférését a nyilvános végponton keresztül.

A "foobar" DNS-erőforrásrekordjai, amikor egy ügyfél feloldja a privát végpontot üzemeltető virtuális hálózatban, a következő lesz:

Name Típus Érték
foobar.service.signalr.net CNAME foobar.privatelink.service.signalr.net
foobar.privatelink.service.signalr.net A 10.1.1.5

Ez a megközelítés lehetővé teszi az Azure SignalR szolgáltatáshoz való hozzáférést ugyanazzal a kapcsolati sztring a virtuális hálózaton lévő ügyfelek számára, amely a privát végpontokat és a virtuális hálózaton kívüli ügyfeleket üzemelteti.

Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfeleknek képesnek kell lenniük az Azure SignalR szolgáltatás végpontjának teljes tartománynevét a privát végpont IP-címére feloldani. Konfigurálja úgy a DNS-kiszolgálót, hogy delegálja a privát kapcsolat altartományát a virtuális hálózat privát DNS-zónájához, vagy konfigurálja az A rekordokat foobar.privatelink.service.signalr.net a privát végpont IP-címével.

Tipp.

Egyéni vagy helyszíni DNS-kiszolgáló használata esetén a DNS-kiszolgálót úgy kell konfigurálnia, hogy az altartományban feloldja az privatelink Azure SignalR-szolgáltatás nevét a privát végpont IP-címére. Ezt úgy teheti meg, hogy az altartományt a privatelink virtuális hálózat privát DNS-zónájára delegálja, vagy konfigurálja a DNS-kiszolgálón a DNS-zónát, és hozzáadja a DNS A rekordokat.

Az Azure SignalR Szolgáltatás privát végpontjaihoz ajánlott DNS-zónanév: privatelink.service.signalr.net.

A saját DNS-kiszolgáló privát végpontok támogatásához való konfigurálásáról az alábbi cikkekben talál további információt:

Privát végpont létrehozása

Privát végpont létrehozása egy új Azure SignalR-szolgáltatással együtt az Azure Portalon

  1. Új Azure SignalR-szolgáltatás létrehozásakor válassza a Hálózatkezelés lapot. Kapcsolati módszerként válassza a Privát végpont lehetőséget.

    Create Azure SignalR Service - Networking tab

  2. Select Add. Töltse ki az előfizetést, az erőforráscsoportot, a helyet, az új privát végpont nevét. Válasszon ki egy virtuális hálózatot és alhálózatot.

    Create Azure SignalR Service - Add private endpoint

  3. Select Review + create.

Privát végpont létrehozása meglévő Azure SignalR-szolgáltatáshoz az Azure Portalon

  1. Nyissa meg az Azure SignalR szolgáltatást.

  2. Válassza a Privát végpontkapcsolatok nevű beállítások menüt.

  3. Válassza ki a gombot és a privát végpontot a tetején.

    Private endpoint connections blade

  4. Adja meg az új privát végpont előfizetését, erőforráscsoportját, erőforrásnevét és régióját.

    Create private endpoint - Basics

  5. Válassza ki a cél Azure SignalR Service-erőforrást.

    Create private endpoint - Resource

  6. Cél virtuális hálózat kiválasztása

    Create private endpoint - Configuration

  7. Select Review + create.

Privát végpont létrehozása az Azure CLI használatával

  1. Bejelentkezés az Azure CLI-be 
    az login
  2. Az Azure-előfizetés beállítása 
    az account set --subscription {AZURE SUBSCRIPTION ID}
  3. Új erőforráscsoport létrehozása 
    az group create -n {RG} -l {AZURE REGION}
  4. A Microsoft.SignalRService regisztrálása szolgáltatóként 
    az provider register -n Microsoft.SignalRService
  5. Új Azure SignalR-szolgáltatás létrehozása 
    az signalr create --name {NAME} --resource-group {RG} --location {AZURE REGION} --sku Standard_S1
  6. Virtuális hálózat létrehozása 
    az network vnet create --resource-group {RG} --name {vNet NAME} --location {AZURE REGION}
  7. Alhálózat hozzáadása 
    az network vnet subnet create --resource-group {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}
  8. Virtuális hálózati házirendek letiltása 
    az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true
  9. Saját DNS zóna hozzáadása
    az network private-dns zone create --resource-group {RG} --name privatelink.service.signalr.net
  10. Saját DNS zóna csatolása virtuális hálózathoz
    az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.service.signalr.net --name {dnsZoneLinkName} --registration-enabled true
  11. Privát végpont létrehozása (automatikus jóváhagyás) 
    az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.SignalRService/SignalR/{NAME}" --group-ids signalr --connection-name {Private Link Connection Name} --location {AZURE REGION}
  12. Privát végpont létrehozása (manuális jóváhagyás kérése) 
    az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.SignalRService/SignalR/{NAME}" --group-ids signalr --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request
  13. Csatlakozás ion állapotának megjelenítése
    az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

Pricing

A díjszabás részleteiért tekintse meg az Azure Private Link díjszabását.

Ismert problémák

Tartsa szem előtt az Azure SignalR Szolgáltatás privát végpontjaival kapcsolatos alábbi ismert problémákat

Ingyenes szint

Nem hozhat létre privát végpontot az ingyenes szintű Azure SignalR Szolgáltatáshoz.

Hozzáférési korlátozások a privát végpontokkal rendelkező virtuális hálózatok ügyfelei számára

A meglévő privát végpontokkal rendelkező virtuális hálózatokban lévő ügyfelek korlátozásokkal szembesülnek, amikor más, privát végpontokkal rendelkező Azure SignalR-szolgáltatáspéldányokhoz férnek hozzá. Például:

  • Ha a VNet N1 privát végponttal rendelkezik egy Azure SignalR Service S1-példányhoz
    • Ha az Azure SignalR Service S2 privát végponttal rendelkezik egy VNet N2-ben, az N1 virtuális hálózat ügyfeleinek privát végponttal is hozzá kell férniük az Azure SignalR Service S2 szolgáltatáshoz.
    • Ha az Azure SignalR Service S2 nem rendelkezik privát végpontokkal, a VNet N1 ügyfelei privát végpont nélkül is hozzáférhetnek az Azure SignalR Szolgáltatáshoz a fiókban.

Ez a korlátozás az Azure SignalR Service S2 privát végpont létrehozásakor végrehajtott DNS-módosítások eredménye.

Következő lépések