Configurare il controllo di accesso alla rete

Articolo
12/27/2024

Servizio Azure SignalR consente di proteggere e gestire l'accesso all'endpoint di servizio in base ai tipi di richiesta e ai subset di rete. Quando si configurano le regole di controllo di accesso alla rete, solo le applicazioni che effettuano richieste dalle reti specificate possono accedere alle Servizio SignalR.

Screenshot che mostra il grafico del flusso delle decisioni del controllo di accesso alla rete.

Importante

Un'applicazione che accede a un Servizio SignalR quando le regole di controllo di accesso di rete sono attive richiedono comunque un'autorizzazione appropriata per la richiesta.

Accesso alla rete pubblica

Offriamo un unico commutatore unificato per semplificare la configurazione dell'accesso alla rete pubblica. L'opzione include le opzioni seguenti:

Disabilitato: blocca completamente l'accesso alla rete pubblica. Tutte le altre regole di controllo di accesso alla rete vengono ignorate per le reti pubbliche.
Abilitato: consente l'accesso alla rete pubblica, che è ulteriormente regolamentato da regole di controllo di accesso alla rete aggiuntive.

Configurare l'accesso alla rete pubblica tramite il portale
Configurare l'accesso alla rete pubblica tramite Bicep

Passare all'istanza di Servizio SignalR da proteggere.
Selezionare Rete dal menu a sinistra. Selezionare la scheda Accesso pubblico:
Selezionare Disabilitato o Abilitato.
Seleziona Salva per applicare le modifiche.

Il modello seguente disabilita l'accesso alla rete pubblica:

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Azione predefinita

L'azione predefinita viene applicata quando nessun'altra regola corrisponde.

Configurare un'azione predefinita tramite il portale
Configurare l'azione predefinita tramite Bicep

Passare all'istanza di Servizio SignalR da proteggere.
Selezionare Controllo di accesso alla rete dal menu a sinistra.
Per modificare l'azione predefinita, attivare o disattivare il pulsante Consenti/Nega .
Seleziona Salva per applicare le modifiche.

Il modello seguente imposta l'azione predefinita su Deny.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Regole del tipo di richiesta

È possibile configurare regole per consentire o negare i tipi di richiesta specificati sia per la rete pubblica che per ogni endpoint privato.

Ad esempio, le connessioni server sono in genere con privilegi elevati. Per migliorare la sicurezza, è possibile limitare l'origine. È possibile configurare regole per bloccare tutte le connessioni server dalla rete pubblica e consentire l'origine solo da una rete virtuale specifica.

Se nessuna regola corrisponde, viene applicata l'azione predefinita.

Configurare le regole del tipo di richiesta tramite il portale
Configurare le regole del tipo di richiesta tramite Bicep

Passare all'istanza di Servizio SignalR da proteggere.
Selezionare Controllo di accesso alla rete dal menu a sinistra.
Per modificare la regola di rete pubblica, selezionare tipi consentiti di richieste in Rete pubblica.
Per modificare le regole di rete dell'endpoint privato, selezionare i tipi consentiti di richieste in ogni riga in Connessioni endpoint privato.
Seleziona Salva per applicare le modifiche.

Il modello seguente nega tutte le richieste dalla rete pubblica ad eccezione delle connessioni client. Consente inoltre solo connessioni server, chiamate API REST e chiamate di traccia da un endpoint privato specifico.

Il nome della connessione all'endpoint privato può essere controllato nella privateEndpointConnections sotto-risorsa. Viene generato automaticamente dal sistema.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['ServerConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

Regole IP

Le regole IP consentono di concedere o negare l'accesso a intervalli di indirizzi IP Internet pubblici specifici. Queste regole possono essere usate per consentire l'accesso per determinati servizi basati su Internet e reti locali o per bloccare il traffico Internet generale.

Si applicano le seguenti restrizioni:

È possibile configurare fino a 30 regole.
Gli intervalli di indirizzi devono essere specificati usando la notazione CIDR, ad esempio 16.17.18.0/24. Sono supportati sia gli indirizzi IPv4 che IPv6.
Le regole IP vengono valutate nell'ordine in cui sono definite. Se nessuna regola corrisponde, viene applicata l'azione predefinita.
Le regole IP si applicano solo al traffico pubblico e non possono bloccare il traffico da endpoint privati.

Configurare le regole IP tramite il portale
Configurare le regole IP tramite Bicep

Passare all'istanza di Servizio SignalR da proteggere.
Selezionare Rete dal menu a sinistra. Selezionare la scheda Regole di controllo di accesso:
Modificare l'elenco nella sezione Regole IP.
Seleziona Salva per applicare le modifiche.

Il modello seguente ha questi effetti:

Le richieste da 123.0.0.0/8 e 2603::/8 sono consentite.
Le richieste provenienti da tutti gli altri intervalli IP vengono negate.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Passaggi successivi

Altre informazioni su Collegamento privato di Azure.

Condividi tramite