Verwalten der Netzwerkzugriffssteuerung

Mit Azure Web PubSub können Sie den Zugriff auf Ihren Dienstendpunkt auf der Grundlage von Anforderungstypen und Netzwerkuntergruppen schützen und verwalten. Wenn Sie Regeln für die Netzwerkzugriffssteuerung konfigurieren, können nur Anwendungen, die Anforderungen aus den angegebenen Netzwerken stellen, auf Ihre Azure Web PubSub-Instanz zugreifen.

Sie können Azure Web PubSub dafür konfigurieren, die Zugriffsebene für Ihren Dienstendpunkt basierend auf dem Anforderungstyp und der Teilmenge der verwendeten Netzwerke zu schützen und zu steuern. Wenn Netzwerkregeln konfiguriert wurden, können nur Anwendungen, die Daten über die angegebenen Netzwerke anfordern, auf Ihre Web PubSub-Ressource zugreifen.

Zugriff aus öffentlichen Netzwerken

Wir bieten einen einzigen, vereinheitlichten Switch, um die Konfiguration des öffentlichen Netzwerkzugriffs zu vereinfachen. Der Switch verfügt über die folgenden Optionen:

• Deaktiviert: Blockiert den öffentlichen Netzwerkzugriff vollständig. Alle anderen Regeln der Netzwerkzugriffssteuerung werden für öffentliche Netzwerke ignoriert.
• Aktiviert: Erlaubt den öffentlichen Netzwerkzugriff, der durch zusätzliche Regeln für die Netzwerkzugriffssteuerung weiter reguliert wird.

Konfigurieren des öffentlichen Netzwerkzugriffs über das Portal

1. Navigieren Sie zu der Azure Web PubSub-Instanz, die Sie schützen möchten.
2. Wählen Sie im linken Menü die Option Netzwerk aus. Wählen Sie die Registerkarte Öffentlicher Zugriff aus:

1. Wählen Sie Aktiviert oder Deaktiviert aus.

2. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Konfigurieren des öffentlichen Netzwerkzugriffs mit Bicep

Die folgende Vorlage deaktiviert den öffentlichen Netzwerkzugriff:

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Standardaktion

Die Standardaktion wird angewendet, wenn keine andere Regel passt.

Konfigurieren der Standardaktion über das Portal

1. Navigieren Sie zu der Azure Web PubSub-Instanz, die Sie schützen möchten.
2. Wählen Sie im Menü auf der linken Seite die Option Netzwerkzugriffssteuerung aus.

1. Um die Standardaktion zu bearbeiten, schalten Sie die Schaltfläche Zulassen/Verweigern um.
2. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Konfigurieren der Standardaktion mit Bicep

Die folgende Vorlage legt die Standardaktion auf Deny fest.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Regeln nach Anforderungstyp

Sie können Regeln konfigurieren, um bestimmte Anforderungstypen sowohl für das öffentliche Netzwerk als auch für jeden privaten Endpunkt zuzulassen oder abzulehnen.

REST-API-Aufrufe verfügen z. B. in der Regel über erhöhte Berechtigungen. Um die Sicherheit zu erhöhen, können Sie deren Ursprung einschränken. Sie können Regeln konfigurieren, um alle REST-API-Aufrufe aus dem öffentlichen Netz zu blockieren und nur Verbindungen aus einem bestimmten virtuellen Netzwerk zuzulassen.

Wenn keine Regel passt, wird die Standardaktion angewendet.

Konfigurieren von Regeln nach Anforderungstyp über das Portal

1. Navigieren Sie zu der Azure Web PubSub-Instanz, die Sie schützen möchten.
2. Wählen Sie im Menü auf der linken Seite die Option Netzwerkzugriffssteuerung aus.

1. Wählen Sie zum Bearbeiten der öffentlichen Netzwerkregel zulässige Anforderungstypen unter Öffentliches Netzwerk aus.

1. Wählen Sie zum Bearbeiten der Netzwerkregeln für den privaten Endpunkt zulässige Anforderungstypen unter Private Endpunktverbindungen in jeder Zeile aus.

1. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Konfigurieren von Regeln nach Anforderungstyp mit Bicep

Die folgende Vorlage verweigert alle Anforderungen aus dem öffentlichen Netzwerk mit Ausnahme von Clientverbindungen. Außerdem erlaubt sie nur REST-API-Aufrufe und Ablaufverfolgungsaufrufe von einem bestimmten privaten Endpunkt aus.

Der Name der privaten Endpunktverbindung kann in der untergeordneten Ressource privateEndpointConnections eingesehen werden. Sie wird automatisch vom System generiert.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

IP-Regeln

Mit IP-Regeln können Sie den Zugriff auf bestimmte öffentliche Internet-IP-Adressbereiche gewähren oder verweigern. Diese Regeln können verwendet werden, um den Zugriff auf bestimmte internetbasierte Dienste und firmeneigene Netzwerke zuzulassen oder um den allgemeinen Internetverkehr zu blockieren.

Es gelten folgende Einschränkungen:

• Sie können bis zu 30 Regeln konfigurieren.
• Adressbereiche müssen in der CIDR-Notation angegeben werden, z. B. 16.17.18.0/24. Unterstützt werden sowohl IPv4- als auch IPv6-Adresstypen.
• IP-Regeln werden in der Reihenfolge ausgewertet, in der sie definiert sind. Wenn keine Regel passt, wird die Standardaktion angewendet.
• IP-Regeln gelten nur für den öffentlichen Datenverkehr und können den Datenverkehr von privaten Endpunkten nicht blockieren.

Konfigurieren von IP-Regeln über das Portal

1. Navigieren Sie zu der Azure Web PubSub-Instanz, die Sie schützen möchten.

2. Wählen Sie im linken Menü die Option Netzwerk aus. Wählen Sie die Registerkarte Regeln für die Zugriffssteuerung aus:

   

3. Bearbeiten Sie die Liste im Abschnitt IP-Regeln.

4. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Konfigurieren von IP-Regeln mit Bicep

Die folgende Vorlage enthält diese Effekte:

• Anforderungen von 123.0.0.0/8 und 2603::/8 sind zulässig.
• Anforderungen von allen anderen IP-Bereichen werden verweigert.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Nächste Schritte

Weitere Informationen zu Azure Private Link.