Configuración del control de acceso de red

Azure SignalR Service permite proteger y administrar el acceso al punto de conexión de servicio en función de los tipos de solicitud y los subconjuntos de red. Al configurar reglas de control de acceso de red, solo las aplicaciones que realicen solicitudes de las redes especificadas podrán acceder a SignalR Service.

Importante

Una aplicación que acceda a una instancia de SignalR Service cuando las reglas de control de acceso de red estén en vigor aún requerirá una autorización adecuada para la solicitud.

Acceso a una red pública

Se ofrece un único conmutador unificado para simplificar la configuración del acceso a la red pública. El conmutador tiene las siguientes opciones:

• Deshabilitado: bloquea completamente el acceso a la red pública. Todas las demás reglas de control de acceso de red se omiten para las redes públicas.
• Habilitado: permite el acceso a la red pública, que está regulado aún más por reglas de control de acceso de red adicionales.

Configuración del acceso a la red pública a través del portal

1. Vaya a la instancia de SignalR Service que quiera proteger.

2. Seleccione Redes en el menú de la izquierda. Seleccione la pestaña Acceso público:

   

3. Seleccione Deshabilitado o Habilitado.

4. Seleccione Guardar para aplicar los cambios.

Configuración del acceso a la red pública a través de Bicep

La plantilla siguiente deshabilita el acceso a la red pública:

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Acción predeterminada

La acción predeterminada se aplica cuando ninguna otra regla coincide.

Configurar la acción predeterminada a través del portal

1. Vaya a la instancia de SignalR Service que quiera proteger.

2. Seleccione Control de acceso de red en el menú de la izquierda.

   

3. Para editar la acción predeterminada, alterne el botón Permitir/Denegar.

4. Seleccione Guardar para aplicar los cambios.

Configurar la acción predeterminada a través de Bicep

La plantilla siguiente establece la acción predeterminada en Deny.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Reglas de tipo de solicitud

Es posible configurar reglas para permitir o denegar los tipos de solicitud especificados para la red pública y cada punto de conexión privado.

Por ejemplo: las conexiones de servidor suelen tener privilegios elevados. Para mejorar la seguridad, es posible que quiera restringir su origen. Es posible configurar reglas para bloquear todas las conexiones de servidor de la red pública y solo permitir que se originen desde una red virtual específica.

Si no coincidiera ninguna regla, se aplicará la acción predeterminada.

Configurar reglas de tipo de solicitud a través del portal

1. Vaya a la instancia de SignalR Service que quiera proteger.

2. Seleccione Control de acceso de red en el menú de la izquierda.

   

3. Para editar la regla de red pública, seleccione los tipos de solicitudes permitidos en Red pública.

   

4. Para editar reglas de red de puntos de conexión privados, seleccione los tipos de solicitudes permitidos en cada una de las filas que aparecen en Conexiones de punto de conexión privado.

   

5. Seleccione Guardar para aplicar los cambios.

Configurar reglas de tipo de solicitud a través de Bicep

La plantilla siguiente deniega todas las solicitudes de la red pública, excepto las conexiones de cliente. Además, solo permite las conexiones de servidor, las llamadas de API de REST y las llamadas de seguimiento desde un punto de conexión privado específico.

El nombre de la conexión de punto de conexión privado se puede inspeccionar en el subrecurso privateEndpointConnections. Se genera automáticamente por el sistema.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.8e4d6671-8d62-4bb7-8c41-827dde9c1a05'
                allow: ['ServerConnection', 'ClientConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

Reglas IP

Las reglas IP permiten conceder o denegar el acceso a rangos de direcciones IP de Internet públicos específicos. Estas reglas se pueden usar para permitir el acceso a determinados servicios basados en Internet y redes locales o para bloquear el tráfico general de Internet.

Se aplican las restricciones que se indican a continuación:

• Se pueden configurar hasta 30 reglas.
• Los rangos de direcciones deben especificarse mediante notación CIDR, como 16.17.18.0/24. Se admiten los tipos de direcciones IPv4 e IPv6.
• Las reglas IP se evalúan en el orden en que se definen. Si no coincidiera ninguna regla, se aplicará la acción predeterminada.
• Las reglas IP solo se aplican al tráfico público y no pueden bloquear el tráfico desde puntos de conexión privados.

Configurar reglas IP a través del portal

1. Vaya a la instancia de SignalR Service que quiera proteger.

2. Seleccione Redes en el menú de la izquierda. Seleccione la pestaña Reglas de control de acceso:

   

3. Edite la lista en la sección Reglas de IP.

4. Seleccione Guardar para aplicar los cambios.

Configurar reglas IP a través de Bicep

La plantilla siguiente tiene estos efectos:

• Se permiten las solicitudes de 123.0.0.0/8 y 2603::/8.
• Se deniegan las solicitudes de todos los demás rangos IP.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Pasos siguientes

Obtenga más información sobre Azure Private Link.