Compartilhar via

Configurar firewall de IP para um namespace de Retransmissão do Azure

  • Artigo

Por padrão, os namespaces de Retransmissão são acessíveis da Internet, desde que a solicitação acompanhe autenticação e autorização válidas. Com o firewall de IP, você pode restringir ainda mais a um conjunto de endereços IPv4 ou intervalos de endereços IPv4 na notação CIDR (roteamento entre domínios sem classificação).

Esse recurso é útil em cenários nos quais a Retransmissão do Azure deve ser acessível apenas de determinados sites conhecidos. As regras de firewall permitem que você configure regras para aceitar o tráfego originado de endereços IPv4 específicos. Por exemplo, se você usa a Retransmissão com o Azure ExpressRoute, é possível criar uma regra de firewall para permitir o tráfego apenas de seus endereços IP da infraestrutura local.

Habilitar regras de firewall de IP

As regras de firewall de IP são aplicadas no nível do namespace. Portanto, as regras se aplicam a todas as conexões de clientes que usam qualquer protocolo com suporte. Qualquer tentativa de conexão de um endereço IP que não corresponda a uma regra de IP permitida no namespace será rejeitada como não autorizada. A resposta não menciona a regra de IP. As regras de filtro IP são aplicadas na ordem e a primeira regra que corresponde ao endereço IP determina a ação de aceitar ou rejeitar.

Usar o portal do Azure

Esta seção mostra como usar o portal do Azure para criar regras de firewall de IP para um namespace.

  1. Navegue até o namespace de Retransmissão no portal do Azure.
  2. No menu à esquerda, selecione Rede.
  3. Para restringir o acesso a redes e endereços IP específicos, selecione a opção Redes selecionadas. Na seção Firewall, siga estas etapas:

    1. Selecione a opção Adicionar o endereço IP do cliente para permitir ao IP do cliente atual acesso ao namespace.

    2. Para intervalo de endereços, insira um endereço IPv4 específico ou um intervalo de endereços IPv4 na notação CIDR.

    3. Se você quiser permitir que os serviços da Microsoft confiáveis pelo serviço de Retransmissão do Azure ignorem esse firewall, selecione Sim para Permitir serviços confiáveis da Microsoft ignorar esse firewall?.

      Captura de tela mostrando a guia Acesso público da página Rede com o Firewall habilitado.

  4. Selecione Salvar na barra de ferramentas para salvar as configurações. Aguarde alguns minutos para que a confirmação seja exibida nas notificações do portal.

Usar modelo do Resource Manager

O modelo do Resource Manager a seguir permite adicionar uma regra de filtro IP a um namespace de Retransmissão existente.

O modelo usa um parâmetro: ipMask, que é um endereço IPv4 único ou um bloco de endereços IP na notação CIDR. Por exemplo, na notação CIDR 70.37.104.0/24, representa os 256 endereços IPv4 de 70.37.104.0 a 70.37.104.255, em que 24 indica o número de bits de prefixo significativos para o intervalo.

Observação

Embora não haja nenhuma regra de negação possível, o modelo do Azure Resource Manager tem a ação padrão definida como "Allow", que não restringe as conexões. Ao criarmos as regras de rede virtual ou de firewalls, precisamos alterar a "defaultAction"

de

"defaultAction": "Allow"

até

"defaultAction": "Deny"

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "namespaces_name": {
            "defaultValue": "contosorelay0215",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.Relay/namespaces",
            "apiVersion": "2021-11-01",
            "name": "[parameters('namespaces_name')]",
            "location": "East US",
            "sku": {
                "name": "Standard",
                "tier": "Standard"
            },
            "properties": {}
        },
        {
            "type": "Microsoft.Relay/namespaces/authorizationrules",
            "apiVersion": "2021-11-01",
            "name": "[concat(parameters('namespaces_sprelayns0215_name'), '/RootManageSharedAccessKey')]",
            "location": "eastus",
            "dependsOn": [
                "[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
            ],
            "properties": {
                "rights": [
                    "Listen",
                    "Manage",
                    "Send"
                ]
            }
        },
        {
            "type": "Microsoft.Relay/namespaces/networkRuleSets",
            "apiVersion": "2021-11-01",
            "name": "[concat(parameters('namespaces_sprelayns0215_name'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
            ],
            "properties": {
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Deny",
                "ipRules": [
                    {
                        "ipMask": "172.72.157.204",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "10.1.1.1",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "11.0.0.0/24",
                        "action": "Allow"
                    }
                ]
            }
        }
    ]
}

Para implantar o modelo, siga as instruções para o Azure Resource Manager.

Serviços Microsoft confiáveis

Ao habilitar a configuração Permitir que os serviços confiáveis da Microsoft ignorem esse firewall, os seguintes serviços recebem acesso aos seus recursos de Retransmissão do Azure:

Serviço confiável Cenários de uso compatíveis
Azure Machine Learning O AML Kubernetes usa a Retransmissão do Azure para facilitar a comunicação entre serviços AML e o cluster do Kubernetes. A Retransmissão do Azure é um serviço totalmente gerenciado que fornece comunicação bidirecional segura entre aplicativos hospedados em redes diferentes. Esse recurso o torna ideal para uso em ambientes de link privado, onde a comunicação entre recursos do Azure e recursos locais é restrita.
Azure Arc Os serviços habilitados para Azure Arc associados aos provedores de recursos podem se conectar às conexões híbridas no seu namespace do Azure Relay como um remetente sem serem bloqueados pelas regras de firewall de IP definidas no namespace do Azure Relay. O serviço Microsoft.Hybridconnectivity cria as conexões híbridas no namespace de Retransmissão do Azure e fornece as informações de conexão para o serviço do Arc relevante com base no cenário. Esses serviços se comunicam somente com o namespace de Retransmissão do Azure se você estiver usando o Azure Arc, com os seguintes Serviços do Azure:

– Kubernetes do Azure
– Azure Machine Learning
– Microsoft Purview

Os outros serviços confiáveis ​​do Azure Relay são:

  • Grade de Eventos do Azure
  • Hub IoT do Azure
  • Azure Stream Analytics
  • Azure Monitor
  • Gerenciamento de API do Azure
  • Azure Synapse
  • Azure Data Explorer
  • Azure IoT Central
  • Serviços de Dados de Saúde do Azure
  • Gêmeos Digitais do Azure

Observação

Na versão 2021-11-01 ou mais recente do SDK de Retransmissão da Microsoft, a propriedade "trustedServiceAccessEnabled" está disponível nas propriedades Microsoft.Relay/namespaces/networkRuleSets para habilitar o Acesso de Serviço Confiável.

Para permitir serviços confiáveis em modelos do Azure Resource Manager, inclua essa propriedade em seu modelo:

"trustedServiceAccessEnabled": "True"

Por exemplo, com base no modelo ARM fornecido, você pode modificá-lo para incluir essa propriedade do Conjunto de Regras de Rede para a habilitação de Serviços Confiáveis:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "namespaces_name": {
            "defaultValue": "contosorelay0215",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.Relay/namespaces",
            "apiVersion": "2021-11-01",
            "name": "[parameters('namespaces_name')]",
            "location": "East US",
            "sku": {
                "name": "Standard",
                "tier": "Standard"
            },
            "properties": {}
        },
        {
            "type": "Microsoft.Relay/namespaces/authorizationrules",
            "apiVersion": "2021-11-01",
            "name": "[concat(parameters('namespaces_sprelayns0215_name'), '/RootManageSharedAccessKey')]",
            "location": "eastus",
            "dependsOn": [
                "[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
            ],
            "properties": {
                "rights": [
                    "Listen",
                    "Manage",
                    "Send"
                ]
            }
        },
        {
            "type": "Microsoft.Relay/namespaces/networkRuleSets",
            "apiVersion": "2021-11-01",
            "name": "[concat(parameters('namespaces_sprelayns0215_name'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.Relay/namespaces', parameters('namespaces_sprelayns0215_name'))]"
            ],
            "properties": {
                "trustedServiceAccessEnabled": "True",
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Deny",
                "ipRules": [
                    {
                        "ipMask": "172.72.157.204",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "10.1.1.1",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "11.0.0.0/24",
                        "action": "Allow"
                    }
                ]
            }
        }
    ]
}

Conteúdo relacionado

Para saber mais sobre outros recursos relacionados à segurança de rede, confira Segurança de rede.