Proteja o tráfego de saída do Azure SignalR por meio de pontos de extremidade privados compartilhados
Ao usar o modo sem servidor no Serviço SignalR do Azure, você pode criar conexões de ponto de extremidade privado de saída para um serviço upstream.
Os serviços upstream, como o Azure Web App e o Azure Functions, podem ser configurados para aceitar conexões de uma lista de redes virtuais e recusar conexões externas originadas de uma rede pública. Para alcançar esses pontos de extremidade, você pode criar uma conexão de ponto de extremidade privada de saída.
Este método de saída está sujeito aos seguintes requisitos:
- O serviço upstream deve ser o Aplicativo Web do Azure ou a Função do Azure.
- O serviço Azure SignalR não deve estar na camada gratuita.
- O Aplicativo Web do Azure ou a Função do Azure deve estar em determinadas SKUs. Consulte Usar pontos de extremidade privados para o Azure Web App.
Neste artigo, você aprenderá como criar um ponto de extremidade privado compartilhado com uma conexão de ponto de extremidade privado de saída para proteger o tráfego de saída para uma instância upstream do Azure Function.
Gestão de Recursos de Ligações Privadas Partilhadas
Você cria pontos de extremidade privados de recursos protegidos por meio das APIs do Serviço SignalR. Esses pontos de extremidade, chamados recursos de link privado compartilhado, permitem que você compartilhe o acesso a um recurso, como uma Função do Azure integrada ao serviço de Link Privado do Azure. Esses pontos de extremidade privados são criados dentro do ambiente de execução do Serviço SignalR e não são acessíveis fora desse ambiente.
Pré-requisitos
Você precisará dos seguintes recursos para concluir as etapas neste artigo:
Um grupo de recursos do Azure
Uma instância do Serviço Azure SignalR (não deve estar no nível gratuito)
Uma instância do Azure Function
-
Nota
Os exemplos neste artigo baseiam-se nos seguintes pressupostos:
- A ID do recurso do Serviço SignalR é /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
- A ID de recurso da Função do Azure upstream é /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. O restante dos exemplos mostra como o serviço contoso-signalr pode ser configurado para que suas chamadas upstream para a função passem por um ponto de extremidade privado em vez de rede pública. Você pode usar seus próprios IDs de recursos nos exemplos.
Criar um recurso de link privado compartilhado para a função
No portal do Azure, vá para o recurso do Serviço SignalR.
Selecione Rede com o menu à esquerda.
Selecione a guia Acesso privado .
Selecione Adicionar ponto de extremidade privado compartilhado na seção Pontos de extremidade privados compartilhados.
Insira as seguintes informações: | Campo | Descrição | | ----- | ----------- | | Nome | O nome do ponto de extremidade privado compartilhado. | | Tipo | Selecione Microsoft.Web/sites | | Subscrição | A subscrição que contém a aplicação Function. | | Recurso | Introduza o nome da sua aplicação Função. | | Solicitar Mensagem | Digite "por favor aprove" |
Selecione Adicionar.
O recurso de ponto de extremidade privado compartilhado estará no estado de provisionamento bem-sucedido . O estado da conexão é Aprovação pendente no lado do recurso de destino.
Aprovar a conexão de ponto de extremidade privado para a função
Importante
Depois de aprovar a conexão de ponto de extremidade privado, a função não é mais acessível a partir de uma rede pública. Talvez seja necessário criar outros pontos de extremidade privados em sua rede virtual para acessar o ponto de extremidade de função.
No portal do Azure, vá para seu aplicativo Function.
Selecione Rede no menu do lado esquerdo.
Selecione Ligações de ponto final privado.
Selecione Pontos de extremidade privados no tráfego de entrada.
Selecione o Nome da conexão da conexão de ponto de extremidade privado.
Selecione Aprovar.
Certifique-se de que a conexão de ponto de extremidade privada aparece como mostrado na captura de tela a seguir. Pode levar alguns minutos para que o status seja atualizado.
Consultar o status do recurso de link privado compartilhado
A aprovação leva alguns minutos para ser propagada para o Serviço SignalR. Você pode verificar o estado usando o portal do Azure ou a CLI do Azure.
Neste ponto, o ponto de extremidade privado entre o Serviço SignalR e a Função do Azure é estabelecido.
Verifique se as chamadas upstream são de um IP privado
Depois que o ponto de extremidade privado estiver configurado, você poderá verificar as chamadas recebidas de um IP privado verificando o lado upstream do X-Forwarded-For
cabeçalho.
Limpeza
Se não planeia utilizar os recursos que criou neste artigo, pode eliminar o Grupo de Recursos.
Atenção
A exclusão do grupo de recursos exclui todos os recursos contidos nele. Se existirem recursos fora do escopo deste artigo no grupo de recursos especificado, eles também serão excluídos.
Próximos passos
Saiba mais sobre endpoints privados: