Доступ к Key Vault в частной сети через общие частные конечные точки

Статья
2023-10-24

Служба Azure SignalR доступ к Key Vault в частной сети через общие частные конечные точки. Таким образом, хранилище ключей не предоставляется в общедоступной сети.

Diagram that shows the architecture of a shared private endpoint.

Вы можете создавать частные конечные точки с помощью Служба Azure SignalR API для общего доступа к ресурсу, интегрированному со службой Приватный канал Azure. Эти конечные точки, называемые общими ресурсами приватного канала, создаются в среде выполнения SignalR и недоступны вне этой среды.

В этой статье вы узнаете, как создать общую частную конечную точку в Key Vault.

Необходимые компоненты

Для выполнения этой статьи потребуются следующие ресурсы:

Группа ресурсов Azure.
Экземпляр Служба Azure SignalR.
Экземпляр хранилища ключей Azure.

В примерах в этой статье используется следующее соглашение об именовании, хотя вместо этого можно использовать собственные имена.

Идентификатор ресурса этой Службы Azure SignalR — /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
Идентификатор ресурса Azure Key Vault : /subscriptions/000000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.
В остальных примерах показано, как служба contoso-signalr может быть настроена таким образом, чтобы исходящие вызовы к Key Vault проходили через частную конечную точку, а не через общедоступную сеть.

Создание общего ресурса приватного канала в Key Vault

Портал Azure
Azure CLI

В портал Azure перейдите к ресурсу Служба Azure SignalR.
Выберите Сети.
Выберите вкладку "Закрытый доступ ".

Выберите "Добавить общую частную конечную точку " в разделе "Общие частные конечные точки".

Введите следующие данные:

Поле	описание
Название	Имя общей частной конечной точки.
Тип	Выберите Microsoft.KeyVault/vaults
Подписка	Подписка, содержащая Хранилище ключей.
Ресурс	Введите имя ресурса Key Vault.
Запрос сообщения	Введите "утвердить"

Выберите Добавить.

После успешного добавления частной конечной точки состояние подготовки будет выполнено успешно. Состояние подключения будет ожидалось , пока не утвердите конечную точку на стороне Key Vault.

Выполните следующий вызов API с помощью Azure CLI , чтобы создать общий ресурс приватного канала:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json

Содержимое файла create-pe.json с текстом запроса к интерфейсу API имеет следующий вид:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Процесс создания исходящей частной конечной точки — это длительно выполняемая (асинхронная) операция. Как и во всех асинхронных операциях Azure, PUT вызов возвращает Azure-AsyncOperation значение заголовка, которое выглядит следующим образом:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Вы можете периодически опрашивать этот универсальный код ресурса (URI), чтобы получить состояние операции.

Вы можете пропросить состояние вручную, запрашивая Azure-AsyncOperationHeader это значение:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Подождите, пока состояние не изменится на "Успешно" , прежде чем перейти к следующим шагам.

Утверждение подключения к частной конечной точке для Key Vault

Портал Azure
Azure CLI

Перейдите к ресурсу Key Vault
Выберите сеть.
Перейдите на вкладку "Подключения к частной конечной точке". После успешной асинхронной операции необходимо запросить подключение частной конечной точки к сообщению запроса из предыдущего вызова API.
Выберите частную конечную точку, которая Служба SignalR создана, а затем нажмите кнопку "Утвердить".
Выберите "Да", чтобы утвердить подключение.

Вывод списка подключений к частной конечной точке.

az network private-endpoint-connection list -n <key-vault-resource-name>  -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'

Должно быть ожидание подключения к частной конечной точке. Запишите его идентификатор.

[
    {
        "id": "<id>",
        "location": "",
        "name": "",
        "properties": {
            "privateLinkServiceConnectionState": {
                "actionRequired": "None",
                "description": "Please approve",
                "status": "Pending"
           }
        }
    }
]

Утвердить подключение к частной конечной точке:
```
az network private-endpoint-connection approve --id <private-endpoint-connection-id>
```

Проверка работы общей частной конечной точки

Через несколько минут утверждение распространяется на Служба SignalR, а состояние подключения — "Утверждено". Вы можете проверка состояние с помощью портал Azure или Azure CLI.

Портал Azure
Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

Команда вернет объект JSON, где состояние подключения отображается как состояние "состояние" в разделе "свойства".

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Если параметр "Состояние подготовки" (properties.provisioningState) ресурса имеет Succeeded значение "состояние Подключение ion" (properties.status), Approvedобщий ресурс приватного канала работает, а Служба SignalR может взаимодействовать через частную конечную точку.

Если частная конечная точка между Служба SignalR и Azure Key Vault работает, значение состояния подготовки выполнено успешно, а состояние подключения утверждено.

Очистка

Если вы не планируете использовать ресурсы, созданные в этой статье, можно удалить группу ресурсов.

Внимание

При удалении группы ресурсов все ресурсы, содержащиеся в ней, удаляются. Если в указанной группе ресурсов существуют другие ресурсы, кроме созданных для этой статьи, они также будут удалены.

Поделиться через

Доступ к Key Vault в частной сети через общие частные конечные точки

Необходимые компоненты

Создание общего ресурса приватного канала в Key Vault

Утверждение подключения к частной конечной точке для Key Vault

Проверка работы общей частной конечной точки

Очистка

Следующие шаги

Обратная связь

Дополнительные ресурсы