Protección del tráfico de salida de Azure SignalR mediante puntos de conexión privados compartidos

Al usar el modo sin servidor en Azure SignalR Service, puede crear conexiones de punto de conexión privado salientes a un servicio ascendente.

Los servicios de flujo ascendente, como una aplicación web de Azure y Azure Functions, se pueden configurar para que acepten las conexiones de una lista de redes virtuales y rechacen las conexiones externas cuyo origen sea una red pública. Para llegar a estos puntos de conexión, puede crear una conexión de punto de conexión privado de salida.

Este método de salida está sujeto a los requisitos siguientes:

• El servicio de flujo ascendente debe ser Azure Web Apps o Azure Functions.
• Azure SignalR Service no debe estar en el nivel gratis.
• Azure Web Apps o Azure Functions deben estar en determinadas SKU. Consulte Uso de puntos de conexión privados para Azure Web Apps.

En este artículo, aprenderá a crear un punto de conexión privado compartido con una conexión de punto de conexión privado saliente para proteger el tráfico saliente a una instancia de Azure Function ascendente.

Administración de recursos de vínculo privado compartido

Los puntos de conexión privados de los recursos protegidos se crean a través de las API de SignalR Service. Estos puntos de conexión, denominados recursos de vínculo privado compartido, permiten compartir el acceso a un recurso, como una función de Azure integrada con el servicio Azure Private Link. Estos puntos de conexión privados se crean dentro del entorno de ejecución de SignalR Service y no son accesibles fuera de este entorno.

Requisitos previos

Necesitará los siguientes recursos para completar los pasos de este artículo:

• Un grupo de recursos de Azure

• Una instancia de Azure SignalR Service (no debe estar en el nivel gratis)

• Una instancia de Azure Function

• Nota:

Los ejemplos de este artículo se basan en los siguientes supuestos:

• El identificador de recurso del servicio SignalR Service es /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• El id. de recurso de la función de Azure del flujo ascendente es /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. El resto de los ejemplos muestran cómo se puede configurar el servicio contoso-signalr para que sus llamadas ascendentes a la función se dirijan mediante un punto de conexión privado en lugar de una red pública. Puede usar sus propios identificadores de recursos en los ejemplos.

Crear un recurso de vínculo privado compartido a la función

Azure Portal

1. En Azure Portal, vaya al recurso de SignalR Service.

2. Con el menú de la izquierda, seleccione Redes.

3. Seleccione la pestaña Acceso privado.

4. Seleccione Agregar punto de conexión privado compartido en la sección Puntos de conexión privados compartidos.

   

   Escriba la siguiente información: | Campo | Descripción | | ----- | ----------- | | Nombre | Nombre del punto de conexión privado compartido. | | | Tipo | Seleccione Microsoft.Web/sites | | | Suscripción | La suscripción que contiene la aplicación de funciones. | | Recurso | Escriba el nombre de la aplicación de funciones. | | Solicitud de mensajes | Escriba "por favor, aprobar" |

5. Seleccione Agregar.

   

El recurso de punto de conexión privado compartido estará en el estado de aprovisionamiento Correcto. El estado de conexión es Pendiente de aprobación en el lado del recurso de destino.

CLI de Azure

Puede realizar la siguiente llamada API para crear un recurso de vínculo privado compartido:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview --body @create-pe.json

El contenido del archivo create-pe.json, que representa el cuerpo de la solicitud a la API, es el siguiente:

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve"
      }
}

El proceso de creación de un punto de conexión privado de salida es una operación de larga duración (asincrónica), Como en todas las operaciones asincrónicas de Azure, la llamada a PUT devuelve un valor de encabezado Azure-AsyncOperation similar al siguiente ejemplo:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Sondear este URI periódicamente para obtener el estado de la operación consultando manualmente el valor Azure-AsyncOperationHeader,

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Espere hasta que el estado cambie a "Correcto" antes de continuar con los pasos siguientes.

Aprobar la conexión de punto de conexión privado para la función

Importante

Después de aprobar la conexión de punto de conexión privado, deja de poder accederse a la función desde la red pública. Es posible que tenga que crear otros puntos de conexión privados en su red virtual para acceder al punto de conexión de la función.

Azure Portal

1. En Azure Portal, vaya a la aplicación de funciones.

2. Seleccione Redes en el menú de la izquierda.

3. Seleccione Conexiones de punto de conexión privado.

4. Seleccione Puntos de conexión privados en Tráfico entrante.

5. Seleccione el nombre de conexión de la conexión del punto de conexión privado.

6. Seleccione Aprobar.

   

   Asegúrese de que la conexión del punto de conexión privado aparece como se muestra en la siguiente captura de pantalla. El estado puede tardar unos minutos en actualizarse.

   

CLI de Azure

1. Enumere las conexiones de punto de conexión privado.

   az network private-endpoint-connection list -n <function-resource-name>  -g <function-resource-group-name> --type 'Microsoft.Web/sites'
   

   Debe haber una conexión de punto de conexión privado pendiente. Anote su identificador.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Apruebe la conexión del punto de conexión privado.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Consultar el estado del recurso de vínculo privado compartido

La aprobación tarda unos minutos en propagarse a SignalR Service. Puede comprobar el estado mediante el Azure Portal o la CLI de Azure.

Azure Portal

CLI de Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

El comando devolverá una estructura JSON, donde el estado de conexión se muestra como "estado" en la sección "propiedades".

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Cuando el valor de "Estado de aprovisionamiento" (properties.provisioningState) del recurso es Succeeded y el valor de "Estado de la conexión" (properties.status) es Approved, el recurso de vínculo privado compartido es funcional y que el SignalR Service se puede comunicar mediante el punto de conexión privado.

En este momento, se establece el punto de conexión privado entre SignalR Service y Azure Function.

Comprobar que las llamadas ascendentes procedan de una dirección IP privada

Una vez configurado el punto de conexión privado, puede comprobar que las llamadas entrantes procedan de una dirección IP privada comprobando el encabezado X-Forwarded-For en el lado ascendente.

Limpieza

Si no tiene previsto usar los recursos que ha creado en este artículo, puede eliminar el grupo de recursos.

Precaución

Al eliminar un grupo de recursos se eliminan todos los recursos que contiene. Si los recursos que están fuera del ámbito de este artículo existen en el grupo de recursos especificado, también se eliminarán.

Pasos siguientes

Más información sobre los puntos de conexión privados:

• ¿Qué son los puntos de conexión privados?