Delen via


Uitgaand verkeer van Azure SignalR beveiligen via gedeelde privé-eindpunten

Wanneer u de serverloze modus in Azure SignalR Service gebruikt, kunt u uitgaande privé-eindpuntverbindingen maken met een upstream-service.

Upstream-services, zoals Azure Web App en Azure Functions, kunnen worden geconfigureerd voor het accepteren van verbindingen uit een lijst met virtuele netwerken en het weigeren van externe verbindingen die afkomstig zijn van een openbaar netwerk. Als u deze eindpunten wilt bereiken, kunt u een uitgaande privé-eindpuntverbinding maken.

Diagram showing architecture of shared private endpoint.

Deze uitgaande methode is onderworpen aan de volgende vereisten:

  • De upstream-service moet Azure Web App of Azure Function zijn.
  • De Azure SignalR-service mag zich niet in de gratis laag bevinden.
  • De Azure-web-app of Azure-functie moet zich op bepaalde SKU's hebben. Zie Privé-eindpunten gebruiken voor Azure Web App.

In dit artikel leert u hoe u een gedeeld privé-eindpunt maakt met een uitgaande privé-eindpuntverbinding om uitgaand verkeer naar een upstream Azure Function-exemplaar te beveiligen.

U maakt privé-eindpunten van beveiligde resources via de SignalR Service-API's. Met deze eindpunten, gedeelde private link-resources genoemd, kunt u toegang tot een resource delen, zoals een Azure-functie die is geïntegreerd met de Azure Private Link-service. Deze privé-eindpunten worden gemaakt in de SignalR Service-uitvoeringsomgeving en zijn niet toegankelijk buiten deze omgeving.

Vereisten

U hebt de volgende resources nodig om de stappen in dit artikel uit te voeren:

  • Een Azure-resourcegroep

  • Een Azure SignalR Service-exemplaar (mag niet in de gratis laag zijn)

  • Een Azure Function-exemplaar

  • Notitie

De voorbeelden in dit artikel zijn gebaseerd op de volgende aannames:

  • De resource-id van de SignalR-service is /subscriptions/00000000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
  • De resource-id van upstream Azure Function is /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. De rest van de voorbeelden laten zien hoe de contoso-signalr-service kan worden geconfigureerd, zodat de upstream-aanroepen naar de functie via een privé-eindpunt gaan in plaats van een openbaar netwerk. In de voorbeelden kunt u uw eigen resource-id's gebruiken.
  1. Ga in Azure Portal naar uw SignalR Service-resource.

  2. Selecteer Netwerken met het linkermenu.

  3. Selecteer het tabblad Persoonlijke toegang .

  4. Selecteer Gedeeld privé-eindpunt toevoegen in de sectie Gedeelde privé-eindpunten .

    Screenshot of shared private endpoints management.

    Voer de volgende gegevens in: | Veld | Beschrijving | | ----- | ----------- | | Naam | De naam van het gedeelde privé-eindpunt. | | Type | Selecteer Microsoft.Web/sites | | Abonnement | Het abonnement met uw functie-app. | | Resource | Voer de naam van uw functie-app in. | | Bericht aanvragen | Voer 'please approve' in |

  5. Selecteer Toevoegen.

    Screenshot of adding a shared private endpoint.

De gedeelde privé-eindpuntresource heeft de inrichtingsstatus Geslaagd. De verbindingsstatus is goedkeuring in behandeling aan de doelresourcezijde.

Screenshot of an added shared private endpoint.

De privé-eindpuntverbinding voor de functie goedkeuren

Belangrijk

Nadat u de privé-eindpuntverbinding hebt goedgekeurd, is de functie niet meer toegankelijk vanuit een openbaar netwerk. Mogelijk moet u andere privé-eindpunten maken in uw virtuele netwerk om toegang te krijgen tot het functie-eindpunt.

  1. Ga in Azure Portal naar uw functie-app.

  2. Selecteer Netwerken in het menu aan de linkerkant.

  3. Selecteer Privé-eindpuntverbindingen.

  4. Selecteer Privé-eindpunten in inkomend verkeer.

  5. Selecteer de Verbinding maken naam van de privé-eindpuntverbinding.

  6. Selecteer Goedkeuren.

    Screenshot of the Azure portal, showing the Private endpoint connections pane.

    Zorg ervoor dat de privé-eindpuntverbinding wordt weergegeven zoals wordt weergegeven in de volgende schermopname. Het kan enkele minuten duren voordat de status is bijgewerkt.

    Screenshot of the Azure portal, showing an Approved status on the Private endpoint connections pane.

Het duurt enkele minuten voordat de goedkeuring is doorgegeven aan de SignalR-service. U kunt de status controleren met behulp van Azure Portal of Azure CLI.

Screenshot of an approved shared private endpoint.

Op dit moment wordt het privé-eindpunt tussen de SignalR-service en de Azure-functie tot stand gebracht.

Controleren of upstream-aanroepen afkomstig zijn van een privé-IP

Zodra het privé-eindpunt is ingesteld, kunt u binnenkomende oproepen vanaf een privé-IP controleren door de X-Forwarded-For header upstream-zijde te controleren.

Screenshot of the Azure portal, showing incoming requests are from a private IP.

Opschonen

Als u niet van plan bent om de resources te gebruiken die u in dit artikel hebt gemaakt, kunt u de resourcegroep verwijderen.

Let op

Als u de resourcegroep verwijdert, worden alle resources erin verwijderd. Als resources buiten het bereik van dit artikel in de opgegeven resourcegroep bestaan, worden ze ook verwijderd.

Volgende stappen

Meer informatie over privé-eindpunten: