Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Pode utilizar pontos finais privados para o seu recurso Azure Web PubSub, para permitir que os clientes numa rede virtual (VNet) acedam aos dados em segurança através de uma ligação privada. O ponto de extremidade privado utiliza um endereço IP do espaço de endereços da VNet para o seu recurso Web PubSub. O tráfego de rede entre os clientes na rede virtual e seu recurso Web PubSub atravessa um link privado na rede da Microsoft, eliminando a exposição na Internet pública.
A utilização de pontos finais privados para o seu recurso Web PubSub ajuda-o a:
- Proteja seu recurso Web PubSub usando o controle de acesso à rede para bloquear todas as conexões no ponto de extremidade público para Web PubSub.
- Aumente a segurança da VNet, permitindo que você bloqueie a exfiltração de dados da VNet.
- Ligue-se em segurança ao Web PubSub a partir de redes no local que estabelecem ligação à VNet através de uma VPN ou do Azure ExpressRoute com peering privado.
Utilizar pontos de extremidade privados numa rede virtual
Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua rede virtual. Quando você cria um ponto de extremidade privado para seu recurso Web PubSub, ele fornece conectividade segura entre clientes em sua rede virtual e seu serviço. Ao ponto de extremidade privado é atribuído um endereço IP do intervalo de endereços IP da sua rede virtual. A conexão entre a extremidade privada e o Web PubSub utiliza uma ligação privada segura.
As aplicações na VNet podem ligar-se aos recursos do Web PubSub de forma transparente através do ponto final privado. Os aplicativos usam as mesmas cadeias de conexão e mecanismos de autorização que usariam de outra forma.
Os pontos de extremidade privados podem ser usados com todos os protocolos suportados pelo recurso Web PubSub, incluindo a API REST.
Quando você cria um ponto de extremidade privado para um recurso Web PubSub em sua rede virtual, uma solicitação de consentimento é enviada para aprovação ao proprietário do recurso Web PubSub. Se o usuário que solicita o ponto de extremidade privado também for proprietário do recurso Web PubSub, essa solicitação de consentimento será aprovada automaticamente.
Pode gerir pedidos de consentimento e pontos finais privados para o seu recurso Web PubSub no separador Pontos de extremidade privados no portal do Azure.
Gorjeta
Se você quiser restringir o acesso ao seu recurso Web PubSub somente através do ponto de extremidade privado, configure o controle de acesso à rede para negar ou controlar o acesso através do ponto de extremidade público.
Conectar-se a um ponto de extremidade privado
Os clientes em uma VNet que usa um ponto de extremidade privado devem usar a mesma cadeia de conexão para o recurso Web PubSub que os clientes que se conectam por meio de um ponto de extremidade público usam. Contamos com a resolução do Sistema de Nomes de Domínio (DNS) para rotear automaticamente as conexões da VNet para o Web PubSub através de um link privado.
Importante
Use a mesma cadeia de conexão para se conectar ao Web PubSub usando pontos de extremidade privados como você usaria para um ponto de extremidade público. Não se conecte ao Web PubSub usando sua privatelink URL de subdomínio.
Criamos uma zona DNS privada anexada à rede virtual com as atualizações necessárias para os pontos de extremidade privados, por padrão. Se estiver a utilizar o seu próprio servidor DNS, poderá ter de fazer outras alterações à sua configuração de DNS. A próxima seção descreve as atualizações necessárias para pontos de extremidade privados.
Alterações de DNS para pontos finais privados
Quando você cria um ponto de extremidade privado, o registro de recurso DNS CNAME para seu recurso Web PubSub é atualizado para um alias em um subdomínio que tem o prefixo privatelink. Por padrão, também criamos uma zona DNS privada que corresponde ao privatelink subdomínio, com os registros de recursos DNS A para os pontos de extremidade privados.
Quando você resolve o nome de domínio do recurso Web PubSub de fora da rede virtual com o ponto de extremidade privado, ele é resolvido para o ponto de extremidade público do recurso Web PubSub. Quando resolvido a partir da VNet que hospeda o ponto de extremidade privado, o nome de domínio é resolvido para o endereço IP do ponto de extremidade privado.
Para o exemplo ilustrado anterior, os registos de recursos DNS para o recurso Web PubSub sample quando é resolvido a partir de fora da VNet que aloja o ponto final privado:
| Nome | Tipo | valor |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | <Endereço IP público Web PubSub> |
Você pode negar ou controlar o acesso de clientes fora da rede virtual por meio do ponto de extremidade público usando o controle de acesso à rede.
Os registos de recursos DNS para o recurso Web PubSub sample, quando são resolvidos por um cliente na VNet que aloja o ponto final privado, são semelhantes a este exemplo:
| Nome | Tipo | valor |
|---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Essa abordagem dá acesso ao Web PubSub usando a mesma cadeia de conexão para clientes na VNet que hospeda o ponto de extremidade privado e para clientes fora da VNet.
Se utilizar um servidor DNS personalizado na sua rede, os clientes têm de conseguir resolver o nome de domínio completamente qualificado (FQDN) do ponto final do recurso Web PubSub para o endereço IP do ponto final privado. Deve configurar o seu servidor DNS para delegar o seu subdomínio de ligação privada à zona DNS privada da VNet ou configurar os registos A de sample.privatelink.webpubsub.azure.com para utilizarem o endereço IP do ponto de extremidade privado.
Gorjeta
Se utilizar um servidor DNS personalizado ou no local, deverá configurar o servidor DNS para resolver o nome do recurso Web PubSub no subdomínio privatelink para o endereço IP do ponto final privado. Pode fazê-lo delegando o privatelink subdomínio à zona DNS privada da rede virtual ou configurando a zona DNS no servidor DNS e, em seguida, adicionando os registos DNS A.
Recomendamos que utilize privatelink.webpubsub.azure.com como nome da zona DNS para pontos finais privados num recurso Web PubSub.
Para obter mais informações sobre como configurar seu próprio servidor DNS para oferecer suporte a pontos de extremidade privados, consulte os seguintes artigos:
- Name resolution for resources in Azure virtual networks (Resolução de nomes para recursos em redes virtuais do Azure)
- Configuração de DNS para pontos finais privados
Criar um ponto final privado
As seções a seguir descrevem como criar um ponto de extremidade privado e uma nova instância do Web PubSub e como criar um ponto de extremidade privado para uma instância existente do Web PubSub.
Criar um ponto final privado numa nova instância do Web PubSub
No portal do Azure, crie uma nova instância do Azure Web PubSub. Na guia Rede, para Método de conectividade, selecione Ponto de extremidade privado.
Selecione Adicionar. Selecione ou insira a assinatura, o nome do grupo de recursos, a região do Azure e um nome para o novo ponto de extremidade privado. Escolha uma rede virtual e uma sub-rede para usar.
Selecione Rever + criar.
Criar um ponto final privado para um recurso Web PubSub já existente
No portal do Azure, vá para seu recurso Web PubSub.
No menu à esquerda, em Configurações, selecione Conexões de ponto de extremidade privadas.
Selecione Ponto Final Privado.
Selecione ou introduza valores para a subscrição, o grupo de recursos, o nome do recurso e a região da nova extremidade privada.
Selecione o recurso Web PubSub de destino.
Selecione a rede virtual de destino.
Selecione Rever + criar.
Endpoints privados com geo-replicação
O Azure Web PubSub está exposto a um endpoint privado como um todo. Não se cria um endpoint privado que aponte para uma réplica específica. Em vez disso, um endpoint privado no recurso pai é suficiente — ele encaminha automaticamente o tráfego para uma réplica saudável, da mesma forma que na rede pública, com base em métricas de saúde e desempenho.
O diagrama seguinte ilustra como o tráfego flui de um cliente numa rede virtual para uma réplica através de um único endpoint privado:
┌──────────────────────────────────┐
│ Client in VNet │
└────────────────┬─────────────────┘
│
▼
┌──────────────────────────────────┐
│ Private endpoint │
│ (private IP in your subnet) │
└────────────────┬─────────────────┘
│
▼
┌──────────────────────────────────┐
│ Closest healthy replica │
└──────────────────────────────────┘
Exemplo. Assuma que a VM do cliente está no Este dos EUA, o principal recurso Web PubSub está no Oeste dos EUA e uma réplica está no Este dos EUA. Quando o cliente se liga ao Web PubSub através do endpoint privado, a réplica do Leste dos EUA é selecionada pelo seu melhor desempenho no encaminhamento.
Failover
Se a réplica que atualmente serve o tráfego ficar indisponível, a infraestrutura de rede do Azure encaminha automaticamente novo tráfego para outra réplica saudável. O endpoint privado resolve sempre para o mesmo IP privado dentro da tua rede virtual, por isso não é necessária qualquer alteração do lado do cliente. O failover pode demorar vários minutos a estar concluído.
Para desencadear e validar manualmente a comutação pós-falha, pare a réplica conectada, aguarde alguns minutos e volte a ligar-se a partir de um cliente de teste. O cliente deve ser encaminhado para uma réplica diferente.
Preços
Para obter detalhes de preços, consulte Preços do Azure Private Link.
Problemas conhecidos
Tenha em atenção os seguintes problemas conhecidos relativamente à utilização de pontos finais privados no Web PubSub.
Limitações do plano gratuito
Uma instância do Azure Web PubSub criada usando a camada gratuita não pode ser integrada a um ponto de extremidade privado.
Restrições de acesso para clientes em redes virtuais com pontos de extremidade privados
Os clientes em VNets que têm pontos finais privados existentes têm restrições ao acederem a outras instâncias do Web PubSub que têm pontos finais privados. Por exemplo, uma VNet N1 tem um ponto de extremidade privado para uma instância W1 do Web PubSub. Se a instância W2 do Web PubSub tiver um ponto de extremidade privado em uma VNet N2, os clientes na VNet N1 também deverão acessar a instância W2 do Web PubSub usando um ponto de extremidade privado.
Se a instância W2 do Web PubSub não tiver nenhum ponto de extremidade privado, os clientes na VNet N1 poderão acessar o recurso Web PubSub nessa conta sem usar um ponto de extremidade privado. Essa restrição é resultado das alterações de DNS feitas quando a instância W2 do Web PubSub cria um ponto de extremidade privado.