Proteger o tráfego de saída do Azure SignalR por meio de pontos de extremidade privados compartilhados

Ao usar o modo sem servidor no Serviço do Azure SignalR, você pode criar conexões de ponto de extremidade privado de saída para um serviço upstream.

Os serviços upstream, como o Aplicativo Web do Azure e o Azure Functions, podem ser configurados para aceitar conexões de uma lista de redes virtuais e recusar as conexões externas originadas de uma rede pública. Para acessar esses pontos de extremidades, você pode criar uma conexão de ponto de extremidade privada de saída.

Este método de saída está sujeito aos seguintes requisitos:

• O serviço upstream precisa ser o Aplicativo Web do Azure ou o Azure Functions.
• O Serviço do Azure SignalR precisa estar na camada gratuita.
• O Aplicativo Web do Azure ou o Azure Function deve estar em determinadas SKUs. Consulte Uso de pontos de extremidade privados para Aplicativo Web do Azure.

Neste artigo, você aprenderá a criar um ponto de extremidade privado compartilhado com uma conexão de ponto de extremidade privado de saída para proteger o tráfego de saída de uma instância upstream do Azure Functions.

Gerenciamento de recursos de Link Privado compartilhado

Crie pontos de extremidade privados de recursos protegidos por meio das APIs do Serviço do SignalR. Esses pontos de extremidade, chamados de recursos de link privado compartilhado, permitem que você compartilhe o acesso a um recurso, como uma função do Azure integrada ao serviço de Link Privado do Azure. Esses pontos de extremidade privados são criados no ambiente de execução do Serviço do SignalR e não podem ser acessados fora desse ambiente.

Pré-requisitos

Você precisará ter a seguinte configuração para concluir as etapas deste artigo:

• Um grupo de recursos do Azure

• Uma instância do Serviço do Azure SignalR (não precisa estar na camada gratuita)

• Uma instância do Azure Functions

• Observação

Os exemplos neste artigo se baseiam nas seguintes suposições:

• A ID do recurso do Serviço do SignalR é /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• A ID de recurso do Azure Function upstream é /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. O restante dos exemplos mostra como o serviço contoso-signalr pode ser configurado para que as chamadas upstream à função passem por um ponto de extremidade privado em vez da rede pública. Você pode usar IDs de recurso próprias nos exemplos.

Criar um recurso de link privado compartilhado para a função

Portal do Azure

1. No portal do Azure, acesse o recurso Serviço do SignalR.

2. Selecione Rede com o menu à esquerda.

3. Selecione a guia Acesso privado.

4. Selecione Adicionar ponto de extremidade privado compartilhado na seção Pontos de extremidade privados compartilhados.

   

   Insira as seguintes informações: | Campo | Descrição | | ----- | ----------- | | Nome | O nome do ponto de extremidade privado compartilhado. | | Tipo | Selecione Microsoft.Web/sites | | Assinatura | A assinatura que contém o aplicativo de funções. | | Recurso | Insira o nome do aplicativo de funções. | | Mensagem de solicitação | Insira "favor aprovar" |

5. Selecione Adicionar.

   

O recurso de ponto de extremidade privado compartilhado estará no estado de provisionamento bem-sucedido. O estado da conexão é de aprovação pendente no lado do recurso de destino.

CLI do Azure

Você pode fazer a seguinte chamada à API para criar um recurso de link privado compartilhado:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview --body @create-pe.json

O conteúdo do arquivo create-pe.json, que representa o corpo da solicitação para a API, é o seguinte:

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve"
      }
}

O processo de criação de um ponto de extremidade privado de saída é uma operação de execução longa (assíncrona). Como ocorre em todas as operações assíncronas do Azure, a chamada PUT retorna um valor de cabeçalho Azure-AsyncOperation semelhante ao seguinte exemplo:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Sonde esse URI periodicamente para obter o status da operação consultando manualmente o valor Azure-AsyncOperationHeader:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Aguarde até que o status mude para "Bem-sucedido" antes de prosseguir para as próximas etapas.

Aprovar a conexão de ponto de extremidade privado para a função

Importante

Depois que você aprovar a conexão do ponto de extremidade privado, a função não será mais acessível em uma rede pública. Talvez seja necessário criar outros pontos de extremidade privados em uma rede virtual própria para acessar o ponto de extremidade da função.

Portal do Azure

1. No portal do Azure, acesse o aplicativo de funções.

2. Selecione Rede no menu do lado esquerdo.

3. Selecione Conexões de ponto de extremidade privado.

4. Selecione Pontos de extremidade privados em Tráfego de Entrada.

5. Selecione o Nome da conexão do ponto de extremidade privado.

6. Selecione Aprovar.

   

   Certifique-se de que a conexão de ponto de extremidade privado apareça conforme mostrado na captura de tela a seguir. Pode demorar alguns minutos para que o status seja atualizado.

   

CLI do Azure

1. Liste as conexões de ponto de extremidade privado.

   az network private-endpoint-connection list -n <function-resource-name>  -g <function-resource-group-name> --type 'Microsoft.Web/sites'
   

   Deve haver uma conexão de ponto de extremidade privado pendente. Anote a ID.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Aprove a conexão de ponto de extremidade privado.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Consultar o status do recurso de link privado compartilhado

A aprovação leva alguns minutos para ser propagada para o Serviço do SignalR. Verifique o estado usando o portal do Azure ou a CLI do Azure.

Portal do Azure

CLI do Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

O comando retornará uma estrutura JSON, em que o estado da conexão é mostrado como "status" na seção "propriedades".

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Quando o "Estado de Provisionamento" (properties.provisioningState) do recurso é Succeeded e o "Estado de Conexão" (properties.status) é Approved, isso significa que o recurso de link privado compartilhado é funcional e o Serviço do SignalR pode se comunicar por meio do ponto de extremidade privado.

Neste ponto, é estabelecido o ponto de extremidade privado entre o Serviço do SignalR e o Azure Functions.

Verificar se as chamadas upstream são de um IP privado

Depois que o ponto de extremidade privado for configurado, você poderá verificar se as chamadas de entrada são de um IP privado verificando o lado upstream do cabeçalho X-Forwarded-For.

Limpeza

Se você não pretende usar os recursos criados neste artigo, exclua o grupo de recursos.

Cuidado

A exclusão do grupo de recursos exclui todos os recursos contidos nele. Se existirem recursos fora do escopo deste artigo no grupo de recursos especificado, eles também serão excluídos.

Próximas etapas

Saiba mais sobre os pontos de extremidade privados:

• O que são pontos de extremidade privados?