Como integrar o Azure SignalR a proxies reversos
Um servidor proxy reverso pode ser usado na frente do Serviço do Azure SignalR. Os servidores proxy reversos ficam entre os clientes e o serviço do Azure SignalR e outros serviços podem ajudar em vários cenários. Por exemplo, os servidores proxy reversos podem balancear a carga de diferentes solicitações de cliente para diferentes serviços de back-end. Geralmente é possível configurar regras de roteamento diferentes para solicitações de cliente diferentes e fornecer uma experiência de usuário contínua para os usuários que acessam diferentes serviços de back-end. Eles também podem proteger os servidores de back-end contra vulnerabilidades comuns de explorações com controle de proteção centralizado. Serviços como o Gateway de Aplicativo do Azure, o Gerenciamento de API do Azure ou o Akamai podem atuar como servidores proxy reversos.
Uma arquitetura comum usando um servidor proxy reverso com o Azure SignalR é a seguinte:
Importante
As cadeias de conexão brutas aparecem neste artigo somente para fins de demonstração.
Uma cadeia de conexão inclui as informações de autorização necessárias para que seu aplicativo acesse o Serviço do Azure SignalR. A chave de acesso dentro da cadeia de conexão é semelhante a uma senha raiz para o serviço. Em ambientes de produção, sempre proteja suas chaves de acesso. Use o Azure Key Vault para gerenciar e rotacionar suas chaves com segurança, proteja sua cadeia de conexão usando o Microsoft Entra ID e autorize o acesso com o Microsoft Entra ID.
Evite distribuir chaves de acesso para outros usuários, fazer hard-coding com elas ou salvá-las em qualquer lugar em texto sem formatação que seja acessível a outras pessoas. Gire suas chaves se você acredita que elas podem ter sido comprometidas.
Práticas gerais
Há várias práticas gerais a serem seguidas ao usar um proxy reverso na frente de Serviço do SignalR.
As cadeias de conexão brutas aparecem neste artigo apenas para fins de demonstração. Em ambientes de produção, sempre proteja suas chaves de acesso. Use o Azure Key Vault para gerenciar e rotacionar suas chaves com segurança, proteja sua cadeia de conexão usando o Microsoft Entra ID e autorize o acesso com o Microsoft Entra ID.
Regenere o cabeçalho HOST HTTP de entrada com a URL de serviço do Azure SignalR, por exemplo
https://demo.service.signalr.net
. O Azure SignalR é um serviço multilocatário e depende do cabeçalhoHOST
para resolução para o ponto de extremidade correto. Por exemplo, ao configurar o Gateway de Aplicativo no Azure SignalR, selecione Sim na opção Substituir pelo novo nome do host.Quando o cliente passar pelo proxy reverso para o Azure SignalR, defina
ClientEndpoint
como a URL de proxy reverso. Quando o cliente negociarcom o servidor de hub, ele retornará a URL definida emClientEndpoint
para que o cliente se conecte. Veja aqui para obter mais detalhes.Há duas maneiras de configurar
ClientEndpoint
:Adicione uma seção
ClientEndpoint
ao ConnectionString:Endpoint=...;AccessKey=...;ClientEndpoint=<reverse-proxy-URL>
Configurar
ClientEndpoint
ao chamarAddAzureSignalR
:services.AddSignalR().AddAzureSignalR(o => { o.Endpoints = new Microsoft.Azure.SignalR.ServiceEndpoint[1] { new Microsoft.Azure.SignalR.ServiceEndpoint("<azure-signalr-connection-string>") { ClientEndpoint = new Uri("<reverse-proxy-URL>") } }; })
Quando um cliente passa pelo proxy reverso para o Azure SignalR, há dois tipos de solicitações:
- Solicitação de HTTP POST para
<reverse-proxy-URL>/client/negotiate/
, que chamamos de solicitação de negociação - Solicitação de conexão WebSocket/SSE/LongPolling, dependendo do tipo de transporte para
<reverse-proxy-URL>/client/
, o qual chamamos como solicitação de conexão.
Verifique se o proxy reverso dá suporte a ambos os tipos de transporte para o subcaminho
/client/
. Por exemplo, quando o tipo de transporte for WebSocket, verifique se o proxy reverso dá suporte a HTTP e WebSocket para o subcaminho/client/
.Se você tiver configurado vários serviços do SignalR por trás do proxy reverso, verifique se as solicitações
negotiate
econnect
com o mesmo parâmetro de consultaasrs_request_id
(o que significa que eles são para a mesma conexão) serão roteados para a mesma instância de serviço do SignalR.- Solicitação de HTTP POST para
Quando o proxy reverso é usado, você pode proteger ainda mais o serviço SignalR desabilitando o acesso à rede pública e usando pontos de extremidade privados para permitir apenas o acesso privado do proxy reverso ao serviço do SignalR por meio da VNet.
Próximas etapas
Aprenda como trabalhar com API Management.
Saiba mais sobre os elementos internos do Azure SignalR.