Uitgaand verkeer van Azure SignalR beveiligen via gedeelde privé-eindpunten

Wanneer u de serverloze modus in Azure SignalR Service gebruikt, kunt u uitgaande privé-eindpuntverbindingen maken met een upstream-service.

Upstream-services, zoals Azure Web App en Azure Functions, kunnen worden geconfigureerd voor het accepteren van verbindingen uit een lijst met virtuele netwerken en het weigeren van externe verbindingen die afkomstig zijn van een openbaar netwerk. Als u deze eindpunten wilt bereiken, kunt u een uitgaande privé-eindpuntverbinding maken.

Deze uitgaande methode is onderworpen aan de volgende vereisten:

• De upstream-service moet Azure Web App of Azure Function zijn.
• De Azure SignalR-service mag zich niet in de gratis laag bevinden.
• De Azure-web-app of Azure-functie moet zich op bepaalde SKU's hebben. Zie Privé-eindpunten gebruiken voor Azure Web App.

In dit artikel leert u hoe u een gedeeld privé-eindpunt maakt met een uitgaande privé-eindpuntverbinding om uitgaand verkeer naar een upstream Azure Function-exemplaar te beveiligen.

Beheer van gedeelde Private Link-resources

U maakt privé-eindpunten van beveiligde resources via de SignalR Service-API's. Met deze eindpunten, gedeelde private link-resources genoemd, kunt u toegang tot een resource delen, zoals een Azure-functie die is geïntegreerd met de Azure Private Link-service. Deze privé-eindpunten worden gemaakt in de SignalR Service-uitvoeringsomgeving en zijn niet toegankelijk buiten deze omgeving.

Vereisten

U hebt de volgende resources nodig om de stappen in dit artikel uit te voeren:

• Een Azure-resourcegroep

• Een Azure SignalR Service-exemplaar (mag niet in de gratis laag zijn)

• Een Azure Function-exemplaar

• Notitie

De voorbeelden in dit artikel zijn gebaseerd op de volgende aannames:

• De resource-id van de SignalR-service is /subscriptions/00000000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• De resource-id van upstream Azure Function is /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. De rest van de voorbeelden laten zien hoe de contoso-signalr-service kan worden geconfigureerd, zodat de upstream-aanroepen naar de functie via een privé-eindpunt gaan in plaats van een openbaar netwerk. In de voorbeelden kunt u uw eigen resource-id's gebruiken.

Een gedeelde private link-resource maken voor de functie

Azure-portal

1. Ga in Azure Portal naar uw SignalR Service-resource.

2. Selecteer Netwerken met het linkermenu.

3. Selecteer het tabblad Persoonlijke toegang .

4. Selecteer Gedeeld privé-eindpunt toevoegen in de sectie Gedeelde privé-eindpunten .

   

   Voer de volgende gegevens in: | Veld | Beschrijving | | ----- | ----------- | | Naam | De naam van het gedeelde privé-eindpunt. | | Type | Selecteer Microsoft.Web/sites | | Abonnement | Het abonnement met uw functie-app. | | Resource | Voer de naam van uw functie-app in. | | Bericht aanvragen | Voer 'please approve' in |

5. Selecteer Toevoegen.

   

De gedeelde privé-eindpuntresource heeft de inrichtingsstatus Geslaagd. De verbindingsstatus is goedkeuring in behandeling aan de doelresourcezijde.

Azure-CLI

U kunt de volgende API-aanroep maken om een gedeelde private link-resource te maken:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview --body @create-pe.json

De inhoud van het bestand create-pe.json , die de aanvraagbody voor de API vertegenwoordigt, is als volgt:

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve"
      }
}

Het proces voor het maken van een uitgaand privé-eindpunt is een langdurige (asynchrone) bewerking. Net als bij alle asynchrone Azure-bewerkingen retourneert de PUT aanroep een Azure-AsyncOperation headerwaarde die eruitziet als in het volgende voorbeeld:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Peil deze URI periodiek om de status van de bewerking te verkrijgen door handmatig een query uit te voeren op de Azure-AsyncOperationHeader waarde.

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Wacht totdat de status is gewijzigd in Geslaagd voordat u doorgaat met de volgende stappen.

De privé-eindpuntverbinding voor de functie goedkeuren

Belangrijk

Nadat u de privé-eindpuntverbinding hebt goedgekeurd, is de functie niet meer toegankelijk vanuit een openbaar netwerk. Mogelijk moet u andere privé-eindpunten maken in uw virtuele netwerk om toegang te krijgen tot het functie-eindpunt.

Azure-portal

1. Ga in Azure Portal naar uw functie-app.

2. Selecteer Netwerken in het menu aan de linkerkant.

3. Selecteer Privé-eindpuntverbindingen.

4. Selecteer Privé-eindpunten in inkomend verkeer.

5. Selecteer de Verbinding maken naam van de privé-eindpuntverbinding.

6. Selecteer Goedkeuren.

   

   Zorg ervoor dat de privé-eindpuntverbinding wordt weergegeven zoals wordt weergegeven in de volgende schermopname. Het kan enkele minuten duren voordat de status is bijgewerkt.

   

Azure-CLI

1. Lijst met privé-eindpuntverbindingen.

   az network private-endpoint-connection list -n <function-resource-name>  -g <function-resource-group-name> --type 'Microsoft.Web/sites'
   

   Er moet een verbinding met een privé-eindpunt in behandeling zijn. Noteer de id.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Keur de privé-eindpuntverbinding goed.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

De status van de gedeelde private link-resource opvragen

Het duurt enkele minuten voordat de goedkeuring is doorgegeven aan de SignalR-service. U kunt de status controleren met behulp van Azure Portal of Azure CLI.

Azure-portal

Azure-CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

De opdracht retourneert een JSON-structuur, waarbij de verbindingsstatus wordt weergegeven als status in de sectie Eigenschappen.

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Wanneer de 'Inrichtingsstatus' (properties.provisioningState) van de resource is Succeeded en 'Verbinding maken ion State' (properties.status) is, is Approvedde gedeelde private link-resource functioneel en kan de SignalR-service communiceren via het privé-eindpunt.

Op dit moment wordt het privé-eindpunt tussen de SignalR-service en de Azure-functie tot stand gebracht.

Controleren of upstream-aanroepen afkomstig zijn van een privé-IP

Zodra het privé-eindpunt is ingesteld, kunt u binnenkomende oproepen vanaf een privé-IP controleren door de X-Forwarded-For header upstream-zijde te controleren.

Opschonen

Als u niet van plan bent om de resources te gebruiken die u in dit artikel hebt gemaakt, kunt u de resourcegroep verwijderen.

Let op

Als u de resourcegroep verwijdert, worden alle resources erin verwijderd. Als resources buiten het bereik van dit artikel in de opgegeven resourcegroep bestaan, worden ze ook verwijderd.

Volgende stappen

Meer informatie over privé-eindpunten:

• Wat zijn privé-eindpunten?