Configurare un firewall per gli indirizzi IP per uno spazio dei nomi di Inoltro di Azure
Per impostazione predefinita, gli spazi dei nomi di Inoltro sono accessibili da Internet, purché la richiesta sia accompagnata da un'autenticazione e da un'autorizzazione valide. Con un firewall per gli indirizzi IP, è possibile limitare ulteriormente l'accesso a un set di indirizzi IPv4 o a intervalli di indirizzi IPv4 in notazione CIDR (Classless Inter-Domain Routing).
Questa funzionalità è utile negli scenari in cui Inoltro di Azure deve essere accessibile solo da siti noti specifici. Le regole del firewall consentono di configurare regole di ammissione del traffico proveniente da indirizzi IPv4 specifici. Se ad esempio si usa Inoltro con Azure ExpressRoute, è possibile creare una regola del firewall per consentire traffico solo dagli indirizzi IP dell'infrastruttura locale.
Abilitare regole del firewall per indirizzi IP
Le regole del firewall per indirizzi IP vengono applicate a livello dello spazio dei nomi. Vengono pertanto applicate a tutte le connessioni provenienti dai client con qualsiasi protocollo supportato. Qualsiasi tentativo di connessione da un indirizzo IP che non corrisponde a una regola IP consentita nello spazio dei nomi viene rifiutato come non autorizzato. Nella risposta non viene fatto riferimento alla regola IP. Le regole del filtro IP vengono applicate in ordine e la prima regola corrispondente all'indirizzo IP determina l'azione di accettazione o rifiuto.
Usare il portale di Azure
Questa sezione illustra come usare il portale di Azure per creare regole del firewall per gli indirizzi IP per uno spazio dei nomi.
- Passare allo Spazio dei nomi di inoltro nel portale di Azure.
- Nel menu a sinistra selezionare Rete.
- Per limitare l'accesso a reti e indirizzi IP specifici, selezionare l'opzione Reti selezionate.
Nella sezione Firewall seguire questa procedura:
Selezionare l'opzione Aggiungere l'indirizzo IP client per concedere all'IP del client corrente l'accesso allo spazio dei nomi.
Per Intervallo di indirizzi immettere un indirizzo IPv4 specifico o un intervallo di indirizzi IPv4 in notazione CIDR.
Se si vuole consentire servizi Microsoft attendibile dal servizio inoltro di Azure per ignorare questo firewall, selezionare Sì per Consenti servizi Microsoft attendibile di ignorare il firewall?
- Selezionare Salva sulla barra degli strumenti per salvare le impostazioni. Attendere qualche minuto la visualizzazione della conferma tra le notifiche del portale.
Usare i modelli di Resource Manager
Il modello di Resource Manager seguente consente di aggiungere una regola di filtro IP a uno spazio dei nomi esistente di Inoltro.
Il modello accetta un solo parametro: ipMask, che è un indirizzo IPv4 singolo o un blocco di indirizzi IP in notazione CIDR. Ad esempio, nella notazione CIDR, 70.37.104.0/24 rappresenta i 256 indirizzi IPv4, da 70.37.104.0 a 70.37.104.255, con 24 che indica il numero di bit di prefisso significativi per l'intervallo.
Nota
Sebbene non siano possibili regole di rifiuto, il modello di Azure Resource Manager ha l'azione predefinita impostata su "Consenti", che non limita le connessioni. Quando si creano regole di rete virtuale o del firewall, occorre modificare "defaultAction"
da
"defaultAction": "Allow"
to
"defaultAction": "Deny"
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespaces_name": {
"defaultValue": "contosorelay0215",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.Relay/namespaces",
"apiVersion": "2021-11-01",
"name": "[parameters('namespaces_name')]",
"location": "East US",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": {}
},
{
"type": "Microsoft.Relay/namespaces/authorizationrules",
"apiVersion": "2021-11-01",
"name": "[concat(parameters('namespaces_sprelayns0215_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.Relay/namespaces/networkRuleSets",
"apiVersion": "2021-11-01",
"name": "[concat(parameters('namespaces_sprelayns0215_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"ipRules": [
{
"ipMask": "172.72.157.204",
"action": "Allow"
},
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
}
]
}
}
]
}
Per distribuire il modello, seguire le istruzioni per Azure Resource Manager.
Servizi Microsoft attendibili
Quando si abilita l'impostazione Consenti al servizi Microsoft attendibile di ignorare questa impostazione del firewall, ai servizi seguenti viene concesso l'accesso alle risorse di Inoltro di Azure:
| Servizio attendibile | Scenari di utilizzo supportati |
|---|---|
| Azure Machine Learning | Kubernetes AML usa Inoltro di Azure per facilitare la comunicazione tra i servizi AML e il cluster Kubernetes. Inoltro di Azure è un servizio completamente gestito che fornisce comunicazioni bidirezionali sicure tra applicazioni ospitate in reti diverse. Questa funzionalità lo rende ideale per l'uso in ambienti di collegamento privato, in cui la comunicazione tra le risorse di Azure e le risorse locali è limitata. |
| Azure Arc | I servizi abilitati per Azure Arc associati ai provider di risorse possono connettersi alle connessioni ibride nello spazio dei nomi di Inoltro di Azure come mittente senza essere bloccati dalle regole del firewall IP impostate nello spazio dei nomi inoltro di Azure.
Microsoft.Hybridconnectivity il servizio crea le connessioni ibride nello spazio dei nomi di Inoltro di Azure e fornisce le informazioni di connessione al servizio Arc pertinente in base allo scenario. Questi servizi comunicano solo con lo spazio dei nomi di Inoltro di Azure se si usa Azure Arc con i servizi di Azure seguenti: - Azure Kubernetes - Azure Machine Learning - Microsoft Purview |
Gli altri servizi attendibili per Inoltro di Azure sono:
- Griglia di eventi di Azure
- Hub IoT di Azure
- Analisi di flusso di Azure
- Monitoraggio di Azure
- Gestione API di Azure
- Azure Synapse
- Esplora dati di Azure
- Azure IoT Central
- Servizi dati del settore sanitario di Azure
- Gemelli digitali di Azure
Nota
Nella versione 2021-11-01 o successiva di Microsoft Relay SDK, la proprietà "trustedServiceAccessEnabled" è disponibile nelle proprietà Microsoft.Relay/namespaces/networkRuleSets per abilitare l'accesso al servizio attendibile.
Per consentire servizi attendibili nei modelli di Azure Resource Manager, includere questa proprietà nel modello:
"trustedServiceAccessEnabled": "True"
Ad esempio, in base al modello di Resource Manager fornito, è possibile modificarlo in modo da includere questa proprietà Set di regole di rete per l'abilitazione di Servizi attendibili:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespaces_name": {
"defaultValue": "contosorelay0215",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.Relay/namespaces",
"apiVersion": "2021-11-01",
"name": "[parameters('namespaces_name')]",
"location": "East US",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": {}
},
{
"type": "Microsoft.Relay/namespaces/authorizationrules",
"apiVersion": "2021-11-01",
"name": "[concat(parameters('namespaces_sprelayns0215_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.Relay/namespaces/networkRuleSets",
"apiVersion": "2021-11-01",
"name": "[concat(parameters('namespaces_sprelayns0215_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
],
"properties": {
"trustedServiceAccessEnabled": "True",
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"ipRules": [
{
"ipMask": "172.72.157.204",
"action": "Allow"
},
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
}
]
}
}
]
}
Contenuto correlato
Per informazioni su altre funzionalità relative alla sicurezza di rete, vedere Sicurezza di rete.