네트워크 액세스 제어 관리

Azure Web PubSub를 사용하면 요청 유형 및 네트워크 하위 집합에 따라 서비스 엔드포인트에 대한 액세스를 보호하고 관리할 수 있습니다. 네트워크 액세스 제어 규칙을 구성할 때 지정된 네트워크에서 요청을 하는 애플리케이션만 Azure Web PubSub 인스턴스에 액세스할 수 있습니다.

사용되는 네트워크의 요청 유형 및 하위 집합에 따라 서비스 엔드포인트에 대한 액세스 수준을 보호하고 제어하도록 Azure Web PubSub를 구성할 수 있습니다. 네트워크 규칙이 구성되면 지정된 네트워크 집합을 통해 데이터를 요청하는 애플리케이션만 Web PubSub 리소스에 액세스할 수 있습니다.

공용 네트워크 액세스

공용 네트워크 액세스의 구성을 간소화하기 위해 단일 통합 스위치를 제공합니다. 스위치에는 다음과 같은 옵션이 있습니다.

• 사용 안 함: 공용 네트워크 액세스를 완전히 차단합니다. 다른 모든 네트워크 액세스 제어 규칙은 공용 네트워크에 대해 무시됩니다.
• 사용: 공용 네트워크 액세스를 허용합니다. 이 액세스는 추가 네트워크 액세스 제어 규칙에 의해 추가로 규제됩니다.

포털을 통해 공용 네트워크 액세스 구성

1. 보호하려는 Azure Web PubSub 인스턴스로 이동합니다.
2. 왼쪽 메뉴에서 네트워킹을 선택합니다. 공용 액세스 탭 선택:

1. 사용 안 함 또는 사용 선택

2. 저장을 선택하여 변경 내용을 적용합니다.

bicep을 통해 공용 네트워크 액세스 구성

다음 템플릿은 공용 네트워크 액세스를 사용하지 않도록 설정합니다.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

기본 작업

다른 규칙과 일치하지 않는 경우 기본 동작이 적용됩니다.

포털을 통해 기본 작업 구성

1. 보호하려는 Azure Web PubSub 인스턴스로 이동합니다.
2. 왼쪽 메뉴에서 네트워크 액세스 제어 를 선택합니다.

1. 기본 작업을 편집하려면 허용/거부 단추를 전환합니다.
2. 저장을 선택하여 변경 내용을 적용합니다.

bicep을 통해 기본 작업 구성

다음 템플릿은 기본 작업을 .로 Deny설정합니다.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

요청 형식 규칙

공용 네트워크와 각 프라이빗 엔드포인트에 대해 지정된 요청 유형을 허용하거나 거부하도록 규칙을 구성할 수 있습니다.

예를 들어 REST API 호출 은 일반적으로 높은 권한이 있습니다. 보안을 강화하기 위해 해당 원본을 제한할 수 있습니다. 공용 네트워크에서 모든 REST API 호출을 차단하고 특정 가상 네트워크에서만 시작되도록 규칙을 구성할 수 있습니다.

일치하는 규칙이 없으면 기본 작업이 적용됩니다.

포털을 통해 요청 유형 규칙 구성

1. 보호하려는 Azure Web PubSub 인스턴스로 이동합니다.
2. 왼쪽 메뉴에서 네트워크 액세스 제어 를 선택합니다.

1. 퍼블릭 네트워크 규칙을 편집하려면 퍼블릭 네트워크에서 허용되는 요청 유형을 선택합니다.

1. 프라이빗 엔드포인트 네트워크 규칙을 편집하려면 프라이빗 엔드포인트 연결 아래의 각 행에서 허용되는 요청 유형을 선택합니다.

1. 저장을 선택하여 변경 내용을 적용합니다.

bicep을 통해 요청 유형 규칙 구성

다음 템플릿은 클라이언트 연결을 제외한 공용 네트워크의 모든 요청을 거부합니다. 또한 REST API 호출 및 특정 프라이빗 엔드포인트에서의 추적 호출만 허용합니다.

프라이빗 엔드포인트 연결의 이름은 하위 리소스에서 privateEndpointConnections 검사할 수 있습니다. 시스템에서 자동으로 생성됩니다.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

IP 규칙

IP 규칙을 사용하면 특정 공용 인터넷 IP 주소 범위에 대한 액세스 권한을 부여하거나 거부할 수 있습니다. 이러한 규칙은 특정 인터넷 기반 서비스 및 온-프레미스 네트워크에 대한 액세스를 허용하거나 일반 인터넷 트래픽을 차단하는 데 사용할 수 있습니다.

다음 제한 사항이 적용됩니다.

• 최대 30개 규칙을 구성할 수 있습니다.
• 주소 범위는 CIDR 표기법을 사용하여 지정해야 합니다(예: 16.17.18.0/24.). IPv4 및 IPv6 주소가 모두 지원됩니다.
• IP 규칙은 정의된 순서대로 평가됩니다. 일치하는 규칙이 없으면 기본 작업이 적용됩니다.
• IP 규칙은 공용 트래픽에만 적용되며 프라이빗 엔드포인트의 트래픽을 차단할 수 없습니다.

포털을 통해 IP 규칙 구성

1. 보호하려는 Azure Web PubSub 인스턴스로 이동합니다.

2. 왼쪽 메뉴에서 네트워킹을 선택합니다. 액세스 제어 규칙 탭을 선택합니다.

   

3. IP 규칙 섹션에서 목록을 편집합니다.

4. 저장을 선택하여 변경 내용을 적용합니다.

bicep을 통해 IP 규칙 구성

다음 템플릿에는 다음과 같은 효과가 있습니다.

• 요청이 123.0.0.0/8 2603::/8 허용됩니다.
• 다른 모든 IP 범위의 요청이 거부됩니다.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

다음 단계

Azure Private Link에 대해 자세히 알아봅니다.