Toegang tot Key Vault in een privénetwerk via gedeelde privé-eindpunten

Azure SignalR Service heeft toegang tot uw Key Vault in een particulier netwerk via gedeelde privé-eindpunten. Op deze manier wordt uw Sleutelkluis niet weergegeven in een openbaar netwerk.

U kunt privé-eindpunten maken via Azure SignalR Service-API's voor gedeelde toegang tot een resource die is geïntegreerd met de Azure Private Link-service. Deze eindpunten, gedeelde private link-resources genoemd, worden gemaakt in de SignalR-uitvoeringsomgeving en zijn niet toegankelijk buiten deze omgeving.

In dit artikel leert u hoe u een gedeeld privé-eindpunt maakt voor Key Vault.

Vereisten

U hebt de volgende resources nodig om dit artikel te voltooien:

• Een Azure-resourcegroep.
• Een Azure SignalR Service-exemplaar.
• Een Azure Key Vault-exemplaar.

In de voorbeelden in dit artikel wordt de volgende naamconventie gebruikt, hoewel u in plaats daarvan uw eigen namen kunt gebruiken.

• De resource-id van deze Azure SignalR-service is /subscriptions/0000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• De resource-id van Azure Key Vault is /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.
• De rest van de voorbeelden laten zien hoe de contoso-signalr-service kan worden geconfigureerd, zodat de uitgaande aanroepen naar Key Vault een privé-eindpunt doorlopen in plaats van een openbaar netwerk.

Een gedeelde private link-resource maken naar de Key Vault

Azure-portal

1. Ga in Azure Portal naar uw Azure SignalR Service-resource.

2. Selecteer Netwerken.

3. Selecteer het tabblad Persoonlijke toegang .

4. Selecteer Gedeeld privé-eindpunt toevoegen in de sectie Gedeelde privé-eindpunten .

   

   Voer de volgende gegevens in:

   Veld	Omschrijving
   Naam	De naam van het gedeelde privé-eindpunt.
   Type	Microsoft.KeyVault /kluizen selecteren
   Abonnement	Het abonnement met uw Key Vault.
   Resource	Voer de naam van uw Key Vault-resource in.
   Bericht aanvragen	Voer 'alsjeblieft goedkeuren' in

5. Selecteer Toevoegen.

   

Wanneer u het privé-eindpunt hebt toegevoegd, wordt de inrichtingsstatus voltooid. De verbindingsstatus is in behandeling totdat u het eindpunt aan de key vault-zijde goedkeurt.

Azure-CLI

Voer de volgende API-aanroep uit met de Azure CLI om een gedeelde private link-resource te maken:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json

De inhoud van het bestand create-pe.json , die de aanvraagbody voor de API vertegenwoordigt, is als volgt:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Het proces voor het maken van een uitgaand privé-eindpunt is een langdurige (asynchrone) bewerking. Net als bij alle asynchrone Azure-bewerkingen retourneert de PUT aanroep een Azure-AsyncOperation headerwaarde die eruitziet als de volgende tekst:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

U kunt deze URI periodiek peilen om de status van de bewerking te verkrijgen.

U kunt de status opvragen door handmatig een query uit te voeren op de Azure-AsyncOperationHeader waarde:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Wacht totdat de status is gewijzigd in Geslaagd voordat u verdergaat met de volgende stappen.

De privé-eindpuntverbinding voor de Sleutelkluis goedkeuren

Azure-portal

1. Ga naar uw Key Vault-resource

2. Selecteer het netwerk.

3. Selecteer het tabblad Privé-eindpuntverbindingen . Nadat de asynchrone bewerking is geslaagd, moet er een aanvraag zijn voor een privé-eindpuntverbinding met het aanvraagbericht van de vorige API-aanroep.

4. Selecteer het privé-eindpunt dat SignalR Service heeft gemaakt en selecteer vervolgens Goedkeuren.

5. Selecteer Ja om de verbinding goed te keuren.

   

Azure-CLI

1. Lijst met privé-eindpuntverbindingen.

   az network private-endpoint-connection list -n <key-vault-resource-name>  -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Er moet een verbinding met een privé-eindpunt in behandeling zijn. Noteer de id.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. De privé-eindpuntverbinding goedkeuren:

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Controleren of het gedeelde privé-eindpunt functioneel is

Na een paar minuten wordt de goedkeuring doorgegeven aan de SignalR-service en wordt de verbindingsstatus ingesteld op Goedgekeurd. U kunt de status controleren met behulp van Azure Portal of Azure CLI.

Azure-portal

Azure-CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

Met de opdracht wordt een JSON-object geretourneerd, waarbij de verbindingsstatus wordt weergegeven als status in de sectie Eigenschappen.

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Wanneer de 'Inrichtingsstatus' (properties.provisioningState) van de resource is Succeeded en 'Verbinding maken ion State' (properties.status) is, is Approvedde gedeelde private link-resource functioneel en kan de SignalR-service communiceren via het privé-eindpunt.

Wanneer het privé-eindpunt tussen de SignalR-service en Azure Key Vault functioneel is, wordt de waarde van de inrichtingsstatus voltooid en wordt de verbindingsstatus goedgekeurd.

Opschonen

Als u niet van plan bent om de resources te gebruiken die u in dit artikel hebt gemaakt, kunt u de resourcegroep verwijderen.

Let op

Als u de resourcegroep verwijdert, worden alle resources erin verwijderd. Als resources buiten het bereik van dit artikel in de opgegeven resourcegroep bestaan, worden ze ook verwijderd.

Volgende stappen

• Wat zijn privé-eindpunten?
• Een aangepast domein configureren