Menggunakan titik akhir privat untuk Azure SignalR Service

Anda dapat menggunakan titik akhir pribadi untuk Azure SignalR Service Anda untuk memungkinkan klien di jaringan virtual (VNet) mengakses data dengan aman melalui Tautan Pribadi. Titik akhir pribadi menggunakan alamat IP dari ruang alamat VNet untuk Azure SignalR Service Anda. Lalu lintas jaringan antara klien di VNet dan Azure SignalR Service melintasi tautan pribadi di jaringan backbone Microsoft, menghilangkan paparan dari internet publik.

Menggunakan titik akhir pribadi untuk Azure SignalR Service memungkinkan Anda untuk:

• Amankan Azure SignalR Service Anda menggunakan kontrol akses jaringan untuk memblokir semua koneksi di titik akhir publik untuk Azure SignalR Service.
• Tingkatkan keamanan untuk jaringan virtual (VNet) dengan memungkinkan Anda memblokir eksfiltrasi data dari VNet.
• Sambungkan dengan aman ke Azure SignalR Service dari jaringan lokal yang terhubung ke VNet menggunakan VPN atau ExpressRoutes dengan peering pribadi.

Artikel ini memperlihatkan kepada Anda cara menggunakan titik akhir privat untuk Azure SignalR Service Anda.

Ringkasan konseptual

Titik akhir privat adalah antarmuka jaringan khusus untuk layanan Azure di Virtual Network (VNet) Anda. Saat Anda membuat titik akhir pribadi untuk Azure SignalR Service Anda, itu menyediakan konektivitas yang aman antara klien di VNet dan penyimpanan Anda. Titik akhir privat akan diberi alamat IP dari rentang alamat IP VNet Anda. Koneksi antara titik akhir pribadi dan Azure SignalR Service menggunakan tautan pribadi yang aman.

Aplikasi di VNet dapat terhubung ke Azure SignalR Service melalui titik akhir pribadi dengan mulus, menggunakan string koneksi dan mekanisme otorisasi yang sama yang akan mereka gunakan sebaliknya. Titik akhir pribadi dapat digunakan dengan semua protokol yang didukung oleh Azure SignalR Service, termasuk REST API.

Saat Anda membuat titik akhir pribadi untuk Azure SignalR Service di VNet Anda, permintaan persetujuan dikirim untuk persetujuan kepada pemilik Azure SignalR Service. Jika pengguna yang meminta pembuatan titik akhir pribadi juga merupakan pemilik Azure SignalR Service, permintaan izin ini akan disetujui secara otomatis.

Pemilik Azure SignalR Service dapat mengelola permintaan izin dan titik akhir pribadi, melalui tab 'Titik akhir pribadi' untuk Azure SignalR Service di portal Microsoft Azure.

Tip

Jika Anda ingin membatasi akses ke Azure SignalR Service Anda hanya melalui titik akhir pribadi, konfigurasikan Kontrol Akses Jaringan untuk menolak atau mengontrol akses melalui titik akhir publik.

Menyambungkan ke titik akhir privat

Klien di VNet yang menggunakan titik akhir pribadi harus menggunakan string koneksi yang sama untuk Azure SignalR Service, sebagai klien yang terhubung ke titik akhir publik. Kami mengandalkan resolusi DNS untuk merutekan koneksi secara otomatis dari VNet ke Azure SignalR Service melalui tautan pribadi.

Penting

Gunakan string koneksi yang sama untuk menyambungkan ke Azure SignalR Service menggunakan titik akhir pribadi, seperti yang akan Anda gunakan sebaliknya. Jangan sambungkan ke Azure SignalR Service menggunakan privatelink URL subdomain.

Kami membuat zona DNS privat yang dilampirkan ke VNet dengan pembaruan yang diperlukan untuk titik akhir privat, secara default. Namun, jika Anda menggunakan server DNS Anda sendiri, Anda mungkin perlu melakukan perubahan lain pada konfigurasi DNS Anda. Bagian DNS berubah untuk titik akhir privat menjelaskan pembaruan yang diperlukan untuk titik akhir privat.

Perubahan DNS untuk titik akhir privat

Saat Anda membuat titik akhir pribadi, catatan sumber daya DNS CNAME untuk Azure SignalR Service Anda diperbarui ke alias dalam subdomain dengan prefiks privatelink. Secara default, kami juga membuat zona DNS pribadi, yang terkait dengan privatelink subdomain, dengan catatan sumber daya DNS A untuk titik akhir pribadi.

Saat Anda menyelesaikan nama domain Azure SignalR Service dari luar VNet dengan titik akhir pribadi, itu akan mengatasi titik akhir publik Layanan SignalR Azure. Ketika diselesaikan dari VNet yang menjadi host titik akhir pribadi, nama domain menjadi alamat IP titik akhir pribadi.

Dalam contoh yang diilustrasikan, catatan sumber daya DNS untuk Azure SignalR Service 'foobar', ketika diselesaikan dari luar VNet yang menghosting titik akhir privat, akan menjadi:

Nama	Jenis	Nilai
foobar.service.signalr.net	CNAME	foobar.privatelink.service.signalr.net
foobar.privatelink.service.signalr.net	A	<Alamat IP publik Azure SignalR Service>

Seperti yang disebutkan sebelumnya, Anda dapat menolak atau mengontrol akses untuk klien di luar VNet melalui titik akhir publik menggunakan kontrol akses jaringan.

Catatan sumber daya DNS untuk 'foobar', ketika diselesaikan oleh klien di VNet yang menjadi host titik akhir pribadi, adalah:

Nama	Jenis	Nilai
foobar.service.signalr.net	CNAME	foobar.privatelink.service.signalr.net
foobar.privatelink.service.signalr.net	A	10.1.1.5

Pendekatan ini memungkinkan akses ke Azure SignalR Service menggunakan string koneksi yang sama untuk klien di VNet yang menghosting titik akhir privat dan klien di luar VNet.

Jika Anda menggunakan server DNS kustom di jaringan Anda, klien harus dapat menyelesaikan FQDN untuk titik akhir Azure SignalR Service ke alamat IP titik akhir privat. Anda harus mendelegasikan server DNS Anda untuk mendelegasikan subdomain tautan pribadi Anda ke zona DNS pribadi untuk VNet, atau konfigurasikan data A untuk foobar.privatelink.service.signalr.net dengan alamat IP titik akhir pribadi.

Tip

Saat menggunakan server DNS kustom atau lokal, Anda harus mengonfigurasi server DNS Anda untuk mengatasi nama Azure SignalR Service privatelink di subdomain ke alamat IP titik akhir pribadi. Anda dapat melakukannya dengan mendelegasikan subdomain privatelink ke zona DNS privat VNet, atau mengonfigurasi zona DNS di server DNS Anda dan menambahkan rekaman DNS A.

Nama zona DNS yang direkomendasikan untuk titik akhir pribadi untuk Azure SignalR Service adalah: privatelink.service.signalr.net.

Untuk informasi lebih lanjut tentang mengonfigurasi server DNS Anda sendiri guna mendukung titik akhir privat, lihat artikel berikut:

• Resolusi nama untuk sumber daya di jaringan virtual Azure
• Konfigurasi DNS untuk titik akhir privat

Membuat titik akhir privat

Buat titik akhir pribadi bersama dengan Azure SignalR Service baru di portal Microsoft Azure

1. Saat membuat Azure SignalR Service baru, pilih tab Jaringan. Pilih Titik akhir pribadi sebagai metode konektivitas.

   

2. Pilih Tambahkan. Isi langganan, grup sumber daya, lokasi, nama untuk titik akhir pribadi baru. Buat jaringan virtual dan subnet.

   

3. Pilih Tinjau + buat.

Buat titik akhir pribadi bersama dengan Azure SignalR Service yang sudah ada di portal Microsoft Azure

1. Buka Azure SignalR Service.

2. Pilih Koneksi titik akhir privat pada menu pengaturan.

3. Pilih tombol + Titik akhir privat di bagian atas.

   

4. Masukkan langganan, grup sumber daya, nama sumber daya, dan wilayah untuk titik akhir privat baru.

   

5. Pilih sumber daya Azure SignalR Service target.

   

6. Pilih target jaringan virtual

   

7. Pilih Tinjau + buat.

Buat titik akhir pribadi menggunakan Azure CLI

1. Masuk ke Azure CLI

   az login
   

2. Mengatur Langganan Azure Anda

   az account set --subscription {AZURE SUBSCRIPTION ID}
   

3. Membuat Grup Sumber Daya baru

   az group create -n {RG} -l {AZURE REGION}
   

4. Mendaftarkan Microsoft.SignalRService sebagai penyedia

   az provider register -n Microsoft.SignalRService
   

5. Membuat Azure SignalR Service baru

   az signalr create --name {NAME} --resource-group {RG} --location {AZURE REGION} --sku Standard_S1
   

6. Membuat Virtual Network

   az network vnet create --resource-group {RG} --name {vNet NAME} --location {AZURE REGION}
   

7. Menambahkan subnet

   az network vnet subnet create --resource-group {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}
   

8. Nonaktifkan Kebijakan Virtual Network

   az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true
   

9. Menambahkan Zona DNS Privat

   az network private-dns zone create --resource-group {RG} --name privatelink.service.signalr.net
   

10. Menautkan Zona DNS Privat ke Virtual Network

    az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.service.signalr.net --name {dnsZoneLinkName} --registration-enabled true
    

11. Membuat Titik Akhir Privat (Setujui Secara Otomatis)

    az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.SignalRService/SignalR/{NAME}" --group-ids signalr --connection-name {Private Link Connection Name} --location {AZURE REGION}
    

12. Membuat Titik Akhir Privat (Minta Persetujuan Secara Manual)

    az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.SignalRService/SignalR/{NAME}" --group-ids signalr --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request
    

13. Perlihatkan Status Koneksi ion

    az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}
    

Harga

Untuk detail harga, lihat Harga Azure Private Link.

Masalah Umum

Ingat bahwa masalah yang diketahui berikut ini tentang titik akhir pribadi untuk Azure SignalR Service

Tingkat gratis

Anda tidak dapat membuat titik akhir privat apa pun untuk Azure SignalR Service tingkat gratis.

Batasan akses untuk klien di VNets dengan titik akhir pribadi

Klien di VNets dengan titik akhir pribadi yang ada menghadapi kendala saat mengakses instans Azure SignalR Service yang memiliki titik akhir pribadi. Contohnya:

• Saat VNet N1 memiliki titik akhir privat untuk instans Azure SignalR Service S1
  • Jika Azure SignalR Service S2 memiliki titik akhir privat di VNet N2, klien di VNet N1 juga harus mengakses Azure SignalR Service S2 menggunakan titik akhir privat.
  • Jika Azure SignalR Service S2 tidak memiliki titik akhir privat, klien di VNet N1 dapat mengakses Azure SignalR Service di akun tersebut tanpa titik akhir privat.

Batasan ini merupakan hasil dari perubahan DNS yang dilakukan saat Azure SignalR Service S2 membuat titik akhir pribadi.

Langkah berikutnya

• Mengonfigurasi Network Access Control