Use endpoints privados para controle de acesso

Você pode usar pontos de extremidade privados para permitir que clientes em uma rede virtual (VNet) acessem dados com segurança por meio de um link privado para seu recurso do Azure Web PubSub. O endpoint privado utiliza um endereço IP do espaço de endereços da VNet do seu recurso Web PubSub. O tráfego de rede entre os clientes na VNet e seu recurso do Web PubSub percorre um link privado na rede da Microsoft, eliminando a exposição na Internet pública.

O uso de pontos de extremidade privados para o recurso do Web PubSub ajuda você a:

• Proteger o recurso do Web PubSub usando o controle de acesso à rede para bloquear todas as conexões no ponto de extremidade público do Web PubSub.
• Aumente a segurança da VNet permitindo que você bloqueie o vazamento de dados da VNet.
• Conecte-se com segurança ao Web PubSub a partir de redes locais que se conectam à VNet por meio de uma VPN ou do Azure ExpressRoute com pareamento privado.

Usar pontos de extremidade privados em uma rede virtual

Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure na sua VNet. Quando você cria um ponto de extremidade privado para seu recurso do Web PubSub, ele fornece conectividade segura entre clientes na sua VNet e seu serviço. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP de sua VNet. A conexão entre o endpoint privado e o Web PubSub utiliza um link privado seguro.

As aplicações na VNet podem se conectar aos recursos do Web PubSub de forma integrada, utilizando o ponto de extremidade privado. Os aplicativos usam as mesmas cadeias de conexão e mecanismos de autorização que usariam de outra forma.

Pontos de extremidade privados podem ser usados com todos os protocolos aos quais o recurso do Web PubSub dá suporte, incluindo a API REST.

Quando você cria um ponto de extremidade privado para um recurso do Web PubSub em sua VNet, uma solicitação de consentimento é enviada para aprovação do proprietário do recurso do Web PubSub. Se o usuário que solicita o ponto de extremidade privado também for proprietário do recurso do Web PubSub, essa solicitação de consentimento será automaticamente aprovada.

Você pode gerenciar solicitações de consentimento e pontos de extremidade privados para o recurso do Web PubSub na guia Pontos de Extremidade Privados no portal do Azure.

Conectar-se a um endpoint privado

Os clientes em uma VNet que usa um ponto de extremidade privado devem usar a mesma cadeia de conexão para o recurso do Web PubSub que os clientes que se conectam por meio de um ponto de extremidade público usam. Contamos com a resolução DNS (Sistema de Nomes de Domínio) para rotear automaticamente as conexões da VNet para o Web PubSub por meio de um link privado.

Criamos uma zona DNS privada anexada à VNet com as atualizações necessárias para os pontos de extremidade privados, por padrão. Se você estiver usando seu servidor DNS, talvez seja necessário fazer alterações adicionais na configuração do DNS. A próxima seção descreve as atualizações necessárias para pontos de extremidade privados.

Alterações no DNS para pontos de extremidade privados

Quando você cria um ponto de extremidade privado, o registro de recurso DNS CNAME para seu recurso do Web PubSub é atualizado para um alias em um subdomínio com o prefixo privatelink. Por padrão, também criamos uma zona DNS privada que corresponde ao subdomínio privatelink, com os registros do recurso DNS A para os pontos de extremidade privados.

Quando você resolve o nome de domínio do recurso Web PubSub de fora da VNet usando o endpoint privado, ele é redirecionado para o endpoint público do recurso Web PubSub. Quando resolvido da VNet que hospeda o ponto de extremidade privado, o nome de domínio é resolvido para o endereço IP do ponto de extremidade privado.

No exemplo ilustrado acima, os registros de recursos DNS do recurso Web PubSub sample quando ele é resolvido de fora da rede virtual (VNet) que hospeda o ponto de extremidade privado:

Você pode negar ou controlar o acesso para clientes fora da VNet por meio do ponto de extremidade público usando o controle de acesso à rede.

Os registros de recursos do DNS para o recurso Web PubSub sample, quando são resolvidos por um cliente na VNet que hospeda o ponto de extremidade privado, são semelhantes ao exemplo a seguir:

Essa abordagem fornece acesso ao Web PubSub usando a mesma cadeia de conexão para clientes na VNet que hospeda o ponto de extremidade privado e para clientes fora da VNet.

Se você usar um servidor DNS personalizado na sua rede, os clientes devem ser capazes de resolver o nome de domínio totalmente qualificado (FQDN) do ponto de extremidade do recurso Web PubSub para o endereço IP privado do ponto de extremidade. Você deve configurar seu servidor DNS para delegar o subdomínio da sua ligação privada à zona DNS privada da VNet ou configurar os registros A para sample.privatelink.webpubsub.azure.com usar o endereço IP do ponto de extremidade privado.

Recomendamos que você utilize privatelink.webpubsub.azure.com como nome da zona DNS para pontos de extremidade privados em um recurso Web PubSub.

Para saber mais sobre como configurar seu servidor DNS para ter compatibilidade com pontos de extremidade privados, veja os seguintes artigos:

• Resolução de nomes para recursos em redes virtuais do Azure
• Configuração de DNS para endpoints privados

Criar um ponto de extremidade privado

As seções a seguir descrevem como criar um ponto de extremidade privado e uma nova instância do Web PubSub e como criar um ponto de extremidade privado para uma instância existente do Web PubSub.

Criar um ponto de extremidade privado em uma nova instância do Web PubSub

1. No portal do Azure, crie uma nova instância do Azure Web PubSub. Na guia Rede, em Método de conectividade, selecione Ponto de extremidade privado.

   

2. Selecione Adicionar. Selecione ou insira a assinatura, o nome do grupo de recursos, a região do Azure e um nome para o novo ponto de extremidade privado. Escolha uma rede virtual e sub-rede para usar.

3. Selecione Examinar + criar.

Crie um endpoint privado para um recurso existente do Web PubSub

1. No portal do Azure, acesse o recurso do Web PubSub.

2. No menu à esquerda, em Configurações, selecione Conexões de ponto de extremidade privado.

3. Selecione Ponto de extremidade privado.

4. Selecione ou insira os valores de assinatura, grupo de recursos, nome do recurso e região para o novo ponto de extremidade privado.

5. Selecione o recurso do Web PubSub de destino.

6. Selecione a rede virtual de destino.

7. Selecione Examinar + criar.

Pontos de extremidade privados com replicação geográfica

O Azure Web PubSub é disponibilizado por meio de um ponto de extremidade privado como um todo. Não se deve criar um ponto de extremidade privado que aponte para uma réplica específica. Em vez disso, um endpoint privado no recurso pai é suficiente — ele roteia automaticamente o tráfego para uma réplica saudável, da mesma forma que na rede pública, com base nas métricas de integridade e desempenho.

O diagrama a seguir ilustra como o tráfego flui de um cliente em uma rede virtual para uma réplica por meio de um único ponto de extremidade privado:

            ┌──────────────────────────────────┐
            │  Client in VNet                  │
            └────────────────┬─────────────────┘
                             │
                             ▼
            ┌──────────────────────────────────┐
            │  Private endpoint                │
            │  (private IP in your subnet)     │
            └────────────────┬─────────────────┘
                             │
                             ▼
            ┌──────────────────────────────────┐
            │  Closest healthy replica         │
            └──────────────────────────────────┘

Exemplo. Suponha que a VM do cliente esteja no leste dos EUA, o principal recurso do Web PubSub está no oeste dos EUA e uma réplica está no leste dos EUA. Quando o cliente se conecta ao Web PubSub por meio do ponto de extremidade privado, a réplica leste dos EUA é selecionada para seu melhor desempenho no roteamento.

Failover

Se a réplica que está atendendo ao tráfego no momento ficar indisponível, a infraestrutura de rede do Azure roteará automaticamente o novo tráfego para outra réplica saudável. O ponto de extremidade privado sempre aponta para o mesmo endereço IP privado dentro da sua rede virtual, portanto, não é necessária nenhuma alteração no lado do cliente. O failover pode levar vários minutos para ser concluído.

Para acionar e validar manualmente o failover, interrompa a réplica conectada, aguarde alguns minutos e reconecte-se a partir de um cliente de teste. O cliente deve ser direcionado para uma réplica diferente.

Preços

Para obter detalhes de preço, confira Preço do Link Privado do Azure.

Problemas conhecidos

Lembre-se dos seguintes problemas conhecidos relacionados ao uso de pontos de extremidade privados no Web PubSub.

Limitações do plano gratuito

Uma instância do Azure Web PubSub criada usando a camada gratuita não pode se integrar a um ponto de extremidade privado.

Restrições de acesso para clientes em VNets com pontos de extremidade privados

Os clientes em VNets que têm pontos de extremidade privados existentes têm restrições quando acessam outras instâncias do Web PubSub que têm pontos de extremidade privados. Por exemplo, uma VNet N1 tem um endpoint privado para a instância W1 do Web PubSub. Se a instância do Web PubSub W2 tiver um ponto de extremidade privado em uma VNet N2, os clientes na VNet N1 também deverão acessar a instância W2 do Web PubSub usando um ponto de extremidade privado.

Se a instância W2 do Web PubSub não tiver pontos de extremidade privados, os clientes na VNet N1 poderão acessar o recurso do Web PubSub nessa conta sem usar um ponto de extremidade privado. Essa restrição é resultado das alterações de DNS feitas quando a instância W2 do Web PubSub cria um ponto de extremidade privado.