Konfigurace brány firewall protokolu IP pro obor názvů služby Azure Relay
Ve výchozím nastavení jsou obory názvů služby Relay přístupné z internetu, pokud je požadavek dodáván s platným ověřováním a autorizací. S bránou firewall protokolu IP ji můžete dál omezit jenom na sadu IPv4 adres nebo rozsahů IPv4 v zápisu CIDR (classless Inter-Domain Routing).
Tato funkce je užitečná ve scénářích, ve kterých by služba Azure Relay měla být přístupná jenom z určitých dobře známých webů. Pravidla brány firewall umožňují nakonfigurovat pravidla pro příjem provozu pocházejícího z konkrétních adres IPv4. Pokud například používáte Relay se službou Azure Express Route, můžete vytvořit pravidlo brány firewall, které povolí provoz jenom z místních IP adres infrastruktury.
Povolení pravidel brány firewall protokolu IP
Pravidla brány firewall protokolu IP se použijí na úrovni oboru názvů. Pravidla se proto vztahují na všechna připojení z klientů pomocí libovolného podporovaného protokolu. Jakýkoli pokus o připojení z IP adresy, která neodpovídá povolenému pravidlu IP adresy v oboru názvů, se odmítne jako neautorizováno. Odpověď nezmíní pravidlo IP adresy. Pravidla filtru IP adres se použijí v pořadí a první pravidlo, které odpovídá IP adrese, určuje akci přijetí nebo odmítnutí.
Použití webu Azure Portal
V této části se dozvíte, jak pomocí webu Azure Portal vytvořit pravidla firewallu protokolu IP pro obor názvů.
- Na webu Azure Portal přejděte k oboru názvů služby Relay.
- V nabídce vlevo vyberte Sítě.
- Pokud chcete omezit přístup k určitým sítím a IP adresům, vyberte možnost Vybrané sítě .
V části Brána firewall postupujte takto:
Vyberte Možnost Přidat IP adresu klienta, aby aktuální IP adresa klienta poskytla přístup k oboru názvů.
Do rozsahu adres zadejte konkrétní adresu IPv4 nebo rozsah IPv4 adresy v zápisu CIDR.
Pokud chcete povolit služby Microsoft důvěryhodné službou Azure Relay obejít tuto bránu firewall, vyberte možnost Ano, chcete-li povolit důvěryhodné služby Microsoft obejít tuto bránu firewall?
- Nastavení uložíte výběrem možnosti Uložit na panelu nástrojů. Počkejte několik minut, než se potvrzení zobrazí v oznámeních na portálu.
Použití šablony Resource Manageru
Následující šablona Resource Manageru umožňuje přidat pravidlo filtru IP adres do existujícího oboru názvů relay.
Šablona přebírá jeden parametr: ipMask, což je jedna adresa IPv4 nebo blok IP adres v zápisu CIDR. Například v zápisu CIDR 70.37.104.0/24 představuje 256 IPv4 adresy od 70.37.104.0 do 70.37.104.255, přičemž 24 označuje počet významných bitů předpon pro rozsah.
Poznámka:
I když žádná pravidla zamítnutí nejsou možná, šablona Azure Resource Manageru má výchozí akci nastavenou na Povolit , která neomezí připojení. Při vytváření pravidel virtuální sítě nebo brány firewall musíme změnit "defaultAction".
from
"defaultAction": "Allow"
to
"defaultAction": "Deny"
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespaces_name": {
"defaultValue": "contosorelay0215",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.Relay/namespaces",
"apiVersion": "2021-11-01",
"name": "[parameters('namespaces_name')]",
"location": "East US",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": {}
},
{
"type": "Microsoft.Relay/namespaces/authorizationrules",
"apiVersion": "2021-11-01",
"name": "[concat(parameters('namespaces_sprelayns0215_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.Relay/namespaces/networkRuleSets",
"apiVersion": "2021-11-01",
"name": "[concat(parameters('namespaces_sprelayns0215_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"ipRules": [
{
"ipMask": "172.72.157.204",
"action": "Allow"
},
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
}
]
}
}
]
}
Pokud chcete šablonu nasadit, postupujte podle pokynů pro Azure Resource Manager.
Důvěryhodné služby Microsoftu
Když povolíte povolit důvěryhodné služby Microsoft obejít toto nastavení brány firewall, udělí se přístup k prostředkům služby Azure Relay následující služby:
| Důvěryhodná služba | Podporované scénáře použití |
|---|---|
| Azure Machine Learning | AML Kubernetes používá Azure Relay k usnadnění komunikace mezi službami AML a clusterem Kubernetes. Azure Relay je plně spravovaná služba, která poskytuje zabezpečenou obousměrnou komunikaci mezi aplikacemi hostovanými v různých sítích. Tato funkce je ideální pro použití v prostředích privátních propojení, kde je omezená komunikace mezi prostředky Azure a místními prostředky. |
| Azure Arc | Služby s podporou Azure Arc přidružené k poskytovatelům prostředků se můžou připojit k hybridním připojením ve vašem oboru názvů Azure Relay jako odesílatel, aniž by je blokovaly pravidla brány firewall protokolu IP nastavená v oboru názvů Služby Azure Relay.
Microsoft.Hybridconnectivity služba vytvoří hybridní připojení ve vašem oboru názvů Azure Relay a poskytne informace o připojení příslušné službě Arc na základě scénáře. Tyto služby komunikují pouze s vaším oborem názvů Služby Azure Relay, pokud používáte Azure Arc s následujícími službami Azure: – Azure Kubernetes – Azure Machine Learning – Microsoft Purview |
Mezi další důvěryhodné služby pro Azure Relay patří:
- Azure Event Grid
- Azure IoT Hub
- Azure Stream Analytics
- Azure Monitor
- Azure API Management
- Azure Synapse
- Průzkumník dat Azure
- Azure IoT Central
- Azure Healthcare Data Services
- Azure Digital Twins
Poznámka:
Ve verzi 2021-11-01 nebo novější sadě Microsoft Relay SDK je vlastnost trustedServiceAccessEnabled k dispozici ve vlastnostech Microsoft.Relay/namespaces/networkRuleSets pro povolení přístupu k důvěryhodné službě.
Pokud chcete v šablonách Azure Resource Manageru povolit důvěryhodné služby, zahrňte do šablony tuto vlastnost:
"trustedServiceAccessEnabled": "True"
Například na základě poskytnuté šablony ARM ji můžete upravit tak, aby zahrnovala tuto vlastnost Sada pravidel sítě pro povolení důvěryhodných služeb:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespaces_name": {
"defaultValue": "contosorelay0215",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.Relay/namespaces",
"apiVersion": "2021-11-01",
"name": "[parameters('namespaces_name')]",
"location": "East US",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": {}
},
{
"type": "Microsoft.Relay/namespaces/authorizationrules",
"apiVersion": "2021-11-01",
"name": "[concat(parameters('namespaces_sprelayns0215_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.Relay/namespaces/networkRuleSets",
"apiVersion": "2021-11-01",
"name": "[concat(parameters('namespaces_sprelayns0215_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
],
"properties": {
"trustedServiceAccessEnabled": "True",
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"ipRules": [
{
"ipMask": "172.72.157.204",
"action": "Allow"
},
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
}
]
}
}
]
}
Související obsah
Další informace o dalších funkcích souvisejících se zabezpečením sítě najdete v tématu Zabezpečení sítě.