Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Помимо домена по умолчанию, предоставленного службой Azure SignalR, вы также можете добавить домен пользовательской системы доменных имен (DNS) в службу. Из этой статьи вы узнаете, как добавить личный домен в ресурс службы Azure SignalR.
Предварительные условия
- Личный домен, зарегистрированный через Службу приложений Azure или регистратор, отличный от Майкрософт.
- Учетная запись Azure с активной подпиской. Если у вас нет учетной записи, вы можете создать ее бесплатно.
- Группа ресурсов Azure.
- Ресурс службы Azure SignalR.
- Экземпляр хранилища ключей Azure.
- TLS/SSL-сертификат для пользовательского домена, хранящийся в экземпляре Key Vault. Дополнительные сведения см. в статье "Начало работы с сертификатами Key Vault".
- Зона Azure DNS (необязательно).
Добавление настраиваемого сертификата
Прежде чем добавить личный домен, необходимо добавить пользовательский TLS/SSL-сертификат. Ресурс службы Azure SignalR обращается к сертификату, хранящемуся в хранилище ключей, с помощью управляемого удостоверения.
Примечание.
Функция пользовательских доменов — это функция уровня "Премиум". Вы можете обновить ресурсы уровня "Стандартный" до уровня "Премиум" без простоя.
Включение управляемой идентичности в службе Azure SignalR
Вы можете использовать управляемое удостоверение, назначаемое системой или назначаемое пользователем. В этой статье показано, как использовать управляемое удостоверение, назначаемое системой.
На портале Azure перейдите к ресурсу службы Azure SignalR.
На левой панели выберите "Удостоверение".
В таблице, назначаемой системой, установите Состояние на Включено.
Выберите Сохранить. Когда появится запрос на включение управляемого удостоверения, назначаемого системой, нажмите кнопку "Да".
После создания учетной записи появится идентификатор объекта (главы). Служба Azure SignalR использует идентификатор объекта управляемого удостоверения, назначаемого системой, для доступа к хранилищу ключей. Имя управляемого удостоверения совпадает с именем экземпляра службы Azure SignalR. В следующем разделе вы ищете главного объекта (управляемого удостоверения) по имени или идентификатору объекта.
Дайте управляемому удостоверению доступ к хранилищу ключей
Служба Azure SignalR использует управляемое удостоверение для доступа к хранилищу ключей. Вы должны предоставить управляемому удостоверению разрешение на доступ к вашему хранилищу ключей.
Действия для предоставления разрешения зависят от того, выбрана ли политика доступа Vault или управление доступом на основе ролей Azure в качестве модели разрешений хранилища ключей.
Если вы используете политику доступа Vault в качестве модели разрешений хранилища ключей, выполните следующую процедуру, чтобы добавить новую политику доступа.
Перейдите к ресурсу хранилища ключей.
На левой панели выберите политики доступа.
Нажмите кнопку создания.
На вкладке "Разрешения" :
- В разделе "Разрешения секрета" нажмите кнопку "Получить".
- В разделе "Разрешения сертификата" нажмите кнопку "Получить".
Нажмите кнопку "Рядом", чтобы перейти на вкладку "Субъект".
Введите идентификатор управляемого удостоверения в строку поиска.
Выберите управляемое удостоверение из результатов поиска.
Выберите вкладку Review + create.
На вкладке Проверить и создать выберите Создать.
Управляемая идентичность для вашего экземпляра службы Azure SignalR перечислена в таблице политик доступа.
Добавление настраиваемого сертификата в ресурс службы Azure SignalR
Чтобы добавить пользовательский сертификат в ресурс службы Azure SignalR, выполните следующие действия.
На портале Azure перейдите к ресурсу службы Azure SignalR.
На левой панели выберите личный домен.
В разделе "Настраиваемый сертификат" выберите "Добавить".
Введите имя настраиваемого сертификата.
Чтобы выбрать сертификат из Key Vault, выберите Выбрать из вашего Key Vault. После того как вы сделаете выбор, URI базы ключей Key Vault и имя секрета Key Vault будут автоматически заполнены. Кроме того, заполните поля вручную.
При необходимости можно указать значение для секретной версии Key Vault , если вы хотите закрепить сертификат на определенную версию.
Выберите Добавить.
Служба Azure SignalR извлекает сертификат и проверяет его содержимое. После успешного выполнения для сертификата Состояние конфигурации показывает Успешно.
Создание записи CNAME личного домена
Необходимо создать CNAME запись для личного домена в зоне Azure DNS или с помощью службы регистратора, отличной от Майкрософт. Запись CNAME создает псевдоним из вашего собственного домена в домен Azure SignalR Service по умолчанию. Служба Azure SignalR использует запись для проверки владения личным доменом.
Например, если ваш домен по умолчанию — это contoso.service.signalr.net, а ваш пользовательский домен — contoso.example.com, вам нужно создать запись CNAME на example.com.
После создания CNAME записи вы можете выполнить поиск DNS, чтобы просмотреть CNAME информацию. В примере выходные данные команды linux dig поиска DNS выглядят примерно так:
contoso.example.com. 0 IN CNAME contoso.service.signalr.net.
Если вы используете зону Azure DNS, см. статью "Управление записями DNS ", чтобы узнать, как добавить CNAME запись.
Если вы используете другие поставщики DNS, следуйте инструкциям поставщика, чтобы создать CNAME запись.
Добавление личного домена
Теперь добавьте личный домен в ресурс службы Azure SignalR.
На портале Azure перейдите к ресурсу службы Azure SignalR.
На левой панели выберите личный домен.
В разделе "Личный домен" выберите "Добавить".
Введите имя личного домена.
Введите полное доменное имя личного домена. Например, используйте contoso.com.
Выберите пользовательский сертификат, который применяется к этому пользовательскому домену.
Выберите Добавить.
Проверка личного домена
Чтобы проверить личный домен, можно использовать API работоспособности. API работоспособности — это общедоступная конечная точка, которая возвращает состояние работоспособности экземпляра службы Azure SignalR. API работоспособности доступен по адресу https://<your custom domain>/api/health.
Ниже приведен пример, использующий cURL:
PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com
< HTTP/1.1 200 OK
Он должен возвращать 200 код состояния без ошибки сертификата.
Доступ к Key Vault в частной сети
Если вы настроили частную конечную точку в хранилище ключей, служба Azure SignalR не может получить доступ к хранилищу ключей через общедоступную сеть. Вы можете предоставить Службе Azure SignalR доступ к хранилищу ключей через частную сеть, создав общую частную конечную точку.
После создания общей частной конечной точки добавьте пользовательский сертификат. Дополнительные сведения см. в статье "Добавление пользовательского сертификата в ресурс службы Azure SignalR".
Внимание
Вам не нужно изменять домен в URI хранилища ключей. Например, если базовый универсальный код ресурса (URI) хранилища ключей используется https://contoso.vault.azure.netдля настройки пользовательского сертификата.
Вам не нужно явно разрешать IP-адреса службы Azure SignalR в параметрах брандмауэра хранилища ключей. Дополнительные сведения см. в разделе диагностики приватного канала Key Vault.
Ротация сертификатов
Если при создании пользовательского сертификата не указана секретная версия, служба Azure SignalR периодически проверяет последнюю версию в Key Vault. Когда наблюдается новая версия, она автоматически применяется. Задержка обычно составляет один час.
Кроме того, можно закрепить пользовательский сертификат в определенной версии секрета в Key Vault. При необходимости применения нового сертификата вы можете изменить версию секрета, а затем проактивно обновить пользовательский сертификат.
Очистка ресурсов
Если вы не планируете использовать ресурсы, созданные в этой статье, можно удалить группу ресурсов.
Внимание
При удалении группы ресурсов все ресурсы, содержащиеся в ней, удаляются. Если ресурсы вне области этой статьи существуют в указанной группе ресурсов, они также удаляются.