Partilhar via


Proteja o tráfego de saída do Azure SignalR por meio de pontos de extremidade privados compartilhados

Ao usar o modo sem servidor no Serviço SignalR do Azure, você pode criar conexões de ponto de extremidade privado de saída para um serviço upstream.

Os serviços upstream, como o Azure Web App e o Azure Functions, podem ser configurados para aceitar conexões de uma lista de redes virtuais e recusar conexões externas originadas de uma rede pública. Para alcançar esses pontos de extremidade, você pode criar uma conexão de ponto de extremidade privada de saída.

Diagram showing architecture of shared private endpoint.

Este método de saída está sujeito aos seguintes requisitos:

  • O serviço upstream deve ser o Aplicativo Web do Azure ou a Função do Azure.
  • O serviço Azure SignalR não deve estar na camada gratuita.
  • O Aplicativo Web do Azure ou a Função do Azure deve estar em determinadas SKUs. Consulte Usar pontos de extremidade privados para o Azure Web App.

Neste artigo, você aprenderá como criar um ponto de extremidade privado compartilhado com uma conexão de ponto de extremidade privado de saída para proteger o tráfego de saída para uma instância upstream do Azure Function.

Você cria pontos de extremidade privados de recursos protegidos por meio das APIs do Serviço SignalR. Esses pontos de extremidade, chamados recursos de link privado compartilhado, permitem que você compartilhe o acesso a um recurso, como uma Função do Azure integrada ao serviço de Link Privado do Azure. Esses pontos de extremidade privados são criados dentro do ambiente de execução do Serviço SignalR e não são acessíveis fora desse ambiente.

Pré-requisitos

Você precisará dos seguintes recursos para concluir as etapas neste artigo:

  • Um grupo de recursos do Azure

  • Uma instância do Serviço Azure SignalR (não deve estar no nível gratuito)

  • Uma instância do Azure Function

  • Nota

Os exemplos neste artigo baseiam-se nos seguintes pressupostos:

  • A ID do recurso do Serviço SignalR é /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
  • A ID de recurso da Função do Azure upstream é /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. O restante dos exemplos mostra como o serviço contoso-signalr pode ser configurado para que suas chamadas upstream para a função passem por um ponto de extremidade privado em vez de rede pública. Você pode usar seus próprios IDs de recursos nos exemplos.
  1. No portal do Azure, vá para o recurso do Serviço SignalR.

  2. Selecione Rede com o menu à esquerda.

  3. Selecione a guia Acesso privado .

  4. Selecione Adicionar ponto de extremidade privado compartilhado na seção Pontos de extremidade privados compartilhados.

    Screenshot of shared private endpoints management.

    Insira as seguintes informações: | Campo | Descrição | | ----- | ----------- | | Nome | O nome do ponto de extremidade privado compartilhado. | | Tipo | Selecione Microsoft.Web/sites | | Subscrição | A subscrição que contém a aplicação Function. | | Recurso | Introduza o nome da sua aplicação Função. | | Solicitar Mensagem | Digite "por favor aprove" |

  5. Selecione Adicionar.

    Screenshot of adding a shared private endpoint.

O recurso de ponto de extremidade privado compartilhado estará no estado de provisionamento bem-sucedido . O estado da conexão é Aprovação pendente no lado do recurso de destino.

Screenshot of an added shared private endpoint.

Aprovar a conexão de ponto de extremidade privado para a função

Importante

Depois de aprovar a conexão de ponto de extremidade privado, a função não é mais acessível a partir de uma rede pública. Talvez seja necessário criar outros pontos de extremidade privados em sua rede virtual para acessar o ponto de extremidade de função.

  1. No portal do Azure, vá para seu aplicativo Function.

  2. Selecione Rede no menu do lado esquerdo.

  3. Selecione Ligações de ponto final privado.

  4. Selecione Pontos de extremidade privados no tráfego de entrada.

  5. Selecione o Nome da conexão da conexão de ponto de extremidade privado.

  6. Selecione Aprovar.

    Screenshot of the Azure portal, showing the Private endpoint connections pane.

    Certifique-se de que a conexão de ponto de extremidade privada aparece como mostrado na captura de tela a seguir. Pode levar alguns minutos para que o status seja atualizado.

    Screenshot of the Azure portal, showing an Approved status on the Private endpoint connections pane.

A aprovação leva alguns minutos para ser propagada para o Serviço SignalR. Você pode verificar o estado usando o portal do Azure ou a CLI do Azure.

Screenshot of an approved shared private endpoint.

Neste ponto, o ponto de extremidade privado entre o Serviço SignalR e a Função do Azure é estabelecido.

Verifique se as chamadas upstream são de um IP privado

Depois que o ponto de extremidade privado estiver configurado, você poderá verificar as chamadas recebidas de um IP privado verificando o lado upstream do X-Forwarded-For cabeçalho.

Screenshot of the Azure portal, showing incoming requests are from a private IP.

Limpeza

Se não planeia utilizar os recursos que criou neste artigo, pode eliminar o Grupo de Recursos.

Atenção

A exclusão do grupo de recursos exclui todos os recursos contidos nele. Se existirem recursos fora do escopo deste artigo no grupo de recursos especificado, eles também serão excluídos.

Próximos passos

Saiba mais sobre endpoints privados: