Uitgaand verkeer van Azure SignalR beveiligen via gedeelde privé-eindpunten
Wanneer u de serverloze modus in Azure SignalR Service gebruikt, kunt u uitgaande privé-eindpuntverbindingen maken met een upstream-service.
Upstream-services, zoals Azure Web App en Azure Functions, kunnen worden geconfigureerd voor het accepteren van verbindingen uit een lijst met virtuele netwerken en het weigeren van externe verbindingen die afkomstig zijn van een openbaar netwerk. Als u deze eindpunten wilt bereiken, kunt u een uitgaande privé-eindpuntverbinding maken.
Deze uitgaande methode is onderworpen aan de volgende vereisten:
- De upstream-service moet Azure Web App of Azure Function zijn.
- De Azure SignalR-service mag zich niet in de gratis laag bevinden.
- De Azure-web-app of Azure-functie moet zich op bepaalde SKU's hebben. Zie Privé-eindpunten gebruiken voor Azure Web App.
In dit artikel leert u hoe u een gedeeld privé-eindpunt maakt met een uitgaande privé-eindpuntverbinding om uitgaand verkeer naar een upstream Azure Function-exemplaar te beveiligen.
Beheer van gedeelde Private Link-resources
U maakt privé-eindpunten van beveiligde resources via de SignalR Service-API's. Met deze eindpunten, gedeelde private link-resources genoemd, kunt u toegang tot een resource delen, zoals een Azure-functie die is geïntegreerd met de Azure Private Link-service. Deze privé-eindpunten worden gemaakt in de SignalR Service-uitvoeringsomgeving en zijn niet toegankelijk buiten deze omgeving.
Vereisten
U hebt de volgende resources nodig om de stappen in dit artikel uit te voeren:
Een Azure-resourcegroep
Een Azure SignalR Service-exemplaar (mag niet in de gratis laag zijn)
Een Azure Function-exemplaar
-
Notitie
De voorbeelden in dit artikel zijn gebaseerd op de volgende aannames:
- De resource-id van de SignalR-service is /subscriptions/00000000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
- De resource-id van upstream Azure Function is /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. De rest van de voorbeelden laten zien hoe de contoso-signalr-service kan worden geconfigureerd, zodat de upstream-aanroepen naar de functie via een privé-eindpunt gaan in plaats van een openbaar netwerk. In de voorbeelden kunt u uw eigen resource-id's gebruiken.
Een gedeelde private link-resource maken voor de functie
Ga in Azure Portal naar uw SignalR Service-resource.
Selecteer Netwerken met het linkermenu.
Selecteer het tabblad Persoonlijke toegang .
Selecteer Gedeeld privé-eindpunt toevoegen in de sectie Gedeelde privé-eindpunten .
Voer de volgende gegevens in: | Veld | Beschrijving | | ----- | ----------- | | Naam | De naam van het gedeelde privé-eindpunt. | | Type | Selecteer Microsoft.Web/sites | | Abonnement | Het abonnement met uw functie-app. | | Resource | Voer de naam van uw functie-app in. | | Bericht aanvragen | Voer 'please approve' in |
Selecteer Toevoegen.
De gedeelde privé-eindpuntresource heeft de inrichtingsstatus Geslaagd. De verbindingsstatus is goedkeuring in behandeling aan de doelresourcezijde.
De privé-eindpuntverbinding voor de functie goedkeuren
Belangrijk
Nadat u de privé-eindpuntverbinding hebt goedgekeurd, is de functie niet meer toegankelijk vanuit een openbaar netwerk. Mogelijk moet u andere privé-eindpunten maken in uw virtuele netwerk om toegang te krijgen tot het functie-eindpunt.
Ga in Azure Portal naar uw functie-app.
Selecteer Netwerken in het menu aan de linkerkant.
Selecteer Privé-eindpuntverbindingen.
Selecteer Privé-eindpunten in inkomend verkeer.
Selecteer de Verbinding maken naam van de privé-eindpuntverbinding.
Selecteer Goedkeuren.
Zorg ervoor dat de privé-eindpuntverbinding wordt weergegeven zoals wordt weergegeven in de volgende schermopname. Het kan enkele minuten duren voordat de status is bijgewerkt.
De status van de gedeelde private link-resource opvragen
Het duurt enkele minuten voordat de goedkeuring is doorgegeven aan de SignalR-service. U kunt de status controleren met behulp van Azure Portal of Azure CLI.
Op dit moment wordt het privé-eindpunt tussen de SignalR-service en de Azure-functie tot stand gebracht.
Controleren of upstream-aanroepen afkomstig zijn van een privé-IP
Zodra het privé-eindpunt is ingesteld, kunt u binnenkomende oproepen vanaf een privé-IP controleren door de X-Forwarded-For
header upstream-zijde te controleren.
Opschonen
Als u niet van plan bent om de resources te gebruiken die u in dit artikel hebt gemaakt, kunt u de resourcegroep verwijderen.
Let op
Als u de resourcegroep verwijdert, worden alle resources erin verwijderd. Als resources buiten het bereik van dit artikel in de opgegeven resourcegroep bestaan, worden ze ook verwijderd.
Volgende stappen
Meer informatie over privé-eindpunten: