Accedere a Key Vault nella rete privata tramite endpoint privati condivisi

Il servizio Web PubSub di Azure può accedere all'insieme di credenziali delle chiavi in una rete privata tramite connessioni di endpoint privati condivisi. Questo articolo illustra come configurare l'istanza del servizio Web PubSub per instradare le chiamate in uscita a un insieme di credenziali delle chiavi tramite un endpoint privato condiviso anziché una rete pubblica.

Gli endpoint privati delle risorse protette create tramite le API del servizio Web PubSub di Azure vengono definiti risorse di collegamento privato condiviso. Ciò è dovuto al fatto che si sta "condividendo" l'accesso a una risorsa, ad esempio un'istanza di Azure Key Vault, integrata con il servizio collegamento privato di Azure. Questi endpoint privati vengono creati all'interno dell'ambiente di esecuzione del servizio Web PubSub di Azure e non sono direttamente visibili all'utente.

Nota

Gli esempi in questo articolo usano gli ID risorsa seguenti:

• L'ID risorsa del servizio Web PubSub di Azure è _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub .
• L'ID risorsa di Azure Key Vault è /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Quando si seguono i passaggi, sostituire gli ID risorsa del servizio Web PubSub di Azure e Azure Key Vault.

Prerequisiti

• Se non si ha una sottoscrizione di Azure, creare un [account gratuito]. (https://azure.microsoft.com/free/?WT.mc_id=A261C142F).
• Interfaccia della riga di comando di Azure 2.25.0 o versione successiva (se si usa l'interfaccia della riga di comando di Azure)._
• Un'istanza del servizio Web PubSub di Azure in un piano tariffario Standard o superiore
• Una risorsa di Azure Key Vault.

1. Creare una risorsa endpoint privato condiviso nell'insieme di credenziali delle chiavi

Azure portal

1. Nella portale di Azure passare alla pagina della risorsa servizio Web PubSub di Azure.

2. Selezionare Rete dal menu.

3. Selezionare la scheda Accesso privato.

4. Selezionare Aggiungi endpoint privato condiviso.

   

5. Immettere un nome per l'endpoint privato condiviso.

6. Immettere la risorsa dell'insieme di credenziali delle chiavi scegliendo Seleziona dalle risorse e selezionando la risorsa negli elenchi oppure scegliendo Specificare l'ID risorsa e immettendo l'ID risorsa dell'insieme di credenziali delle chiavi.

7. Immettere per approvare il messaggio di richiesta.

8. Seleziona Aggiungi.

   

Lo stato di provisioning delle risorse dell'endpoint privato condiviso è Succeeded. Lo stato della connessione è In attesa di approvazione sul lato risorsa di destinazione.

Interfaccia della riga di comando di Azure

È possibile effettuare la chiamata API seguente con l'interfaccia della riga di comando di Azure per creare una risorsa di collegamento privato condiviso. Sostituire con uri il proprio valore.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Il contenuto del file create-pe.json , che rappresenta il corpo della richiesta per l'API, è il seguente:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Il processo di creazione di un endpoint privato in uscita è un'operazione a esecuzione prolungata (asincrona). Come in tutte le operazioni asincrone di Azure, la PUT chiamata restituisce un Azure-AsyncOperation valore di intestazione simile all'output seguente:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

È possibile eseguire periodicamente il polling di questo URI per ottenere lo stato dell'operazione. Attendere che lo stato cambi in "Operazione completata" prima di procedere con i passaggi successivi.

È possibile eseguire il polling dello stato eseguendo manualmente una query sul Azure-AsyncOperationHeader valore:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

2. Approvare la connessione dell'endpoint privato per Key Vault

Dopo aver creato la connessione all'endpoint privato, è necessario approvare la richiesta di connessione dal servizio PubSub di Azure nella risorsa dell'insieme di credenziali delle chiavi.

Azure portal

1. Nella portale di Azure passare alla pagina della risorsa dell'insieme di credenziali delle chiavi.

2. Selezionare Rete dal menu.

3. Selezionare Connessioni all'endpoint privato.

   

4. Selezionare l'endpoint privato creato dal servizio Web PubSub di Azure.

5. Selezionare Approva e Sì per confermare.

6. Attendere che la connessione all'endpoint privato venga approvata.

   

Interfaccia della riga di comando di Azure

1. Elencare le connessioni dell'endpoint privato.

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Deve essere presente una connessione endpoint privato in sospeso. Si noti il relativo idoggetto .

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Approvare la connessione all'endpoint privato.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

3. Eseguire una query sullo stato della risorsa collegamento privato condiviso

La propagazione dell'approvazione al servizio Web PubSub di Azure richiede alcuni minuti. È possibile controllare lo stato usando portale di Azure o l'interfaccia della riga di comando di Azure. L'endpoint privato condiviso tra il servizio Web PubSub di Azure e Azure Key Vault è attivo quando lo stato del contenitore viene approvato.

Azure portal

1. Passare alla risorsa servizio Web PubSub di Azure nella portale di Azure.

2. Selezionare Rete dal menu.

3. Selezionare Risorse collegamento privato condiviso.

   

Interfaccia della riga di comando di Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Questo comando restituisce un codice JSON, in cui lo stato della connessione viene visualizzato come "status" nella sezione "properties".

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Quando lo stato di provisioning (properties.provisioningState) della risorsa è Succeeded e "Connessione ion State" (properties.status) è Approved, la risorsa collegamento privato condiviso è funzionale e il servizio Web PubSub di Azure può comunicare tramite l'endpoint privato.

Ora è possibile configurare funzionalità come un dominio personalizzato come al solito. Non è necessario usare un dominio speciale per Key Vault. Il servizio Web PubSub di Azure gestisce automaticamente la risoluzione DNS.

Passaggi successivi

Altre informazioni:

• Che cosa sono gli endpoint privati?
• Configurare un dominio personalizzato