透過共用私人端點存取私人網路中的 Key Vault

Azure Web PubSub 服務可以透過共用私人端點連線，存取私人網路中的 Key Vault。 本文說明如何設定 Web PubSub 服務執行個體，以透過共用私人端點 (而非公用網路) 將輸出呼叫路由傳送至金鑰保存庫。

透過 Azure Web PubSub 服務 API 所建立受保護資源的私人端點，稱為「共用私人連結資源」。 這是因為您已針對與 Azure Private Link 服務整合的資源 (例如 Azure Key Vault)「共用」存取權。 這些私人端點在 Azure Web PubSub 服務執行環境中建立，不會直接顯示出來。

注意

本文中範例使用下列資源識別碼：

• 此 Azure Web PubSub 服務的資源識別碼是 _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webPubSub/contoso-webpubsub。
• Azure Key Vault 的資源識別碼是 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv。

遵循步驟時，請取代 Azure Web PubSub 服務和 Azure Key Vault 的資源識別碼。

必要條件

• Azure 訂用帳戶，如果您還沒有訂用帳戶，請建立一個 [免費帳戶]。(https://azure.microsoft.com/free/?WT.mc_id=A261C142F)。
• Azure CLI 2.25.0 或更新版本 (若使用 Azure CLI)。_
• 標準定價層或更高層級中的 Azure Web PubSub 服務執行個體
• Azure Key Vault 資源。

1.建立 Key Vault 的共用私人端點資源

Azure 入口網站

1. 在 Azure 入口網站中，移至您的 Azure Web PubSub 服務資源頁面。

2. 從功能表中選取 [網路]。

3. 選取 [私人存取] 索引標籤。

4. 選取 [新增共用私人端點]。

   

5. 填入共用私人端點的名稱。

6. 選擇 [從您的資源選取] 並從清單中選取您的資源，或選擇 [指定資源識別碼] 並輸入金鑰保存庫資源識別碼，以輸入您的金鑰保存庫資源。

7. 針對 [要求訊息] 輸入「請核准」。

8. 選取 [新增]。

   

共用私人端點資源的佈建狀態為 [成功]。 連線狀態在目標資源端為 [待決] 核准。

Azure CLI

您可以使用 Azure CLI 進行下列 API 呼叫，以建立共用私人連結資源。 將 uri 取代為您自己的值。

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

create-pe.json 檔案的內容，其代表 API 的要求本文，如下所示：

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

建立輸出私人端點的程序是長時間執行 (非同步) 的作業。 如同所有非同步 Azure 作業，PUT 呼叫會傳回類似下列輸出的 Azure-AsyncOperation 標頭值：

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

您可以定期輪詢此 URI，以取得作業的狀態。 等待狀態變更為 [成功]，再繼續進行後續步驟。

您可以手動查詢 Azure-AsyncOperationHeader 值來輪詢狀態：

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

2.核准 Key Vault 的私人端點連線

建立私人端點連線之後，您必須在金鑰保存庫資源中核准來自 Azure Web PubSub 服務的連線要求。

Azure 入口網站

1. 在 Azure 入口網站中，移至您的 Azure 金鑰保存庫資源頁面。

2. 從功能表中選取 [網路]。

3. 選取 [私人端點連線]。

   

4. 選取 Azure Web PubSub 服務建立的私人端點。

5. 選取 [核准]，然後選取 [是] 以確認。

6. 等候私人端點連線獲得核准。

   

Azure CLI

1. 列出私人端點連線。

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   應該會有擱置的私人端點連線。 請記下其 id。

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. 核准該私人端點連線。

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

3.查詢共用私人連結資源的狀態

核准需要幾分鐘時間才會傳播至 Azure Web PubSub 服務。 您可以使用 Azure 入口網站或 Azure CLI 來檢查狀態。 在核准容器狀態時，Azure Web PubSub 服務和 Azure Key Vault 之間的共用私人端點會處於作用中狀態。

Azure 入口網站

1. 移至 Azure 入口網站中的 Azure Web PubSub 服務資源。

2. 從功能表中選取 [網路]。

3. 選取 [共用私人連結資源]。

   

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

此命令會傳回 JSON，其中連線狀態會顯示為 [屬性] 區段底下的 [狀態]。

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

當資源的 [佈建狀態] (properties.provisioningState) 為 Succeeded，而 [連線狀態] (properties.status) 為 Approved，則共用私人連結資源會正常運作，而且 Azure Web PubSub 服務可以透過私人端點進行通訊。

現在您可以像往常一樣設定自訂網域等功能。 您不需要針對 Key Vault 使用特殊網域。 Azure Web PubSub 服務會自動處理 DNS 解析。

下一步

深入了解：

• 什麼是私人端點？ (機器翻譯)
• 設定自訂網域