Konfigurace řízení přístupu k síti

Služba Azure SignalR umožňuje zabezpečit a spravovat přístup ke koncovému bodu služby na základě typů požadavků a podmnožina sítě. Při konfiguraci pravidel řízení přístupu k síti můžou ke službě SignalR přistupovat jenom aplikace provádějící požadavky ze zadaných sítí.

Důležité

Aplikace, která přistupuje ke službě SignalR, když jsou pravidla řízení přístupu k síti platná, stále vyžaduje správnou autorizaci pro požadavek.

Přístup k veřejné síti

Nabízíme jeden jednotný přepínač, který zjednodušuje konfiguraci přístupu k veřejné síti. Přepínač má následující možnosti:

• Zakázáno: Úplně zablokuje přístup k veřejné síti. Všechna ostatní pravidla řízení přístupu k síti jsou pro veřejné sítě ignorována.
• Povoleno: Umožňuje přístup k veřejné síti, který je dále regulován dalšími pravidly řízení přístupu k síti.

Konfigurace přístupu k veřejné síti přes portál

1. Přejděte do instance služby SignalR, kterou chcete zabezpečit.

2. V nabídce na levé straně vyberte Sítě . Vyberte kartu Veřejný přístup :

   

3. Vyberte Zakázáno nebo Povoleno.

4. Výběrem možnosti Uložit se vaše změny uplatní.

Konfigurace přístupu k veřejné síti přes Bicep

Následující šablona zakáže přístup k veřejné síti:

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Výchozí akce

Výchozí akce se použije, když žádné jiné pravidlo neodpovídá.

Konfigurace výchozí akce prostřednictvím portálu

1. Přejděte do instance služby SignalR, kterou chcete zabezpečit.

2. V nabídce na levé straně vyberte Řízení přístupu k síti.

   

3. Pokud chcete upravit výchozí akci, přepněte tlačítko Povolit/Odepřít .

4. Výběrem možnosti Uložit se vaše změny uplatní.

Konfigurace výchozí akce přes Bicep

Následující šablona nastaví výchozí akci na Deny.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Pravidla typu požadavku

Můžete nakonfigurovat pravidla tak, aby umožňovala nebo odepřela zadané typy požadavků pro veřejnou síť i pro každý privátní koncový bod.

Připojení k serveru jsou například obvykle vysoce privilegovaná. Pokud chcete zvýšit zabezpečení, možná budete chtít omezit jejich původ. Pravidla můžete nakonfigurovat tak, aby blokovala všechna připojení serveru z veřejné sítě a povolila je pouze z konkrétní virtuální sítě.

Pokud žádné pravidlo neodpovídá, použije se výchozí akce.

Konfigurace pravidel typu požadavku prostřednictvím portálu

1. Přejděte do instance služby SignalR, kterou chcete zabezpečit.

2. V nabídce na levé straně vyberte Řízení přístupu k síti.

   

3. Pokud chcete upravit pravidlo veřejné sítě, vyberte v části Veřejná síť povolené typy požadavků.

   

4. Pokud chcete upravit pravidla sítě privátního koncového bodu, vyberte v každém řádku v části Připojení privátního koncového bodu povolené typy požadavků.

   

5. Výběrem možnosti Uložit se vaše změny uplatní.

Konfigurace pravidel typu požadavku přes Bicep

Následující šablona odmítne všechny požadavky z veřejné sítě s výjimkou klientských připojení. Kromě toho umožňuje pouze připojení k serveru, volání rozhraní REST API a trasování volání z konkrétního privátního koncového bodu.

Název připojení privátního koncového bodu je možné zkontrolovat v podnabídce privateEndpointConnections . Systém ho automaticky vygeneruje.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.8e4d6671-8d62-4bb7-8c41-827dde9c1a05'
                allow: ['ServerConnection', 'ClientConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

Pravidla PROTOKOLU IP

Pravidla PROTOKOLU IP umožňují udělit nebo odepřít přístup ke konkrétním rozsahům ip adres veřejného internetu. Tato pravidla lze použít k povolení přístupu k určitým internetovým službám a místním sítím nebo k blokování obecného internetového provozu.

Platí následující omezení:

• Můžete nakonfigurovat až 30 pravidel.
• Rozsahy adres musí být zadány pomocí zápisu CIDR, například 16.17.18.0/24. Podporují se adresy IPv4 i IPv6.
• Pravidla IP adres se vyhodnocují v pořadí, v jakém jsou definovány. Pokud žádné pravidlo neodpovídá, použije se výchozí akce.
• Pravidla PROTOKOLU IP se vztahují pouze na veřejný provoz a nemůžou blokovat provoz z privátních koncových bodů.

Konfigurace pravidel PROTOKOLU IP prostřednictvím portálu

1. Přejděte do instance služby SignalR, kterou chcete zabezpečit.

2. V nabídce na levé straně vyberte Sítě . Vyberte kartu Pravidla řízení přístupu:

   

3. Upravte seznam v části Pravidla PROTOKOLU IP.

4. Výběrem možnosti Uložit se vaše změny uplatní.

Konfigurace pravidel PROTOKOLU IP přes Bicep

Následující šablona má tyto efekty:

• Žádosti od 123.0.0.0/8 a 2603::/8 jsou povolené.
• Žádosti ze všech ostatních rozsahů IP adres jsou odepřeny.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Další kroky

Další informace o Azure Private Link