Настройка управления доступом к сети

Служба Azure SignalR позволяет защитить доступ к конечной точке службы и управлять ими на основе типов запросов и подмножеств сети. При настройке правил управления доступом к сети только приложения, выполняющие запросы из указанных сетей, могут получить доступ к Служба SignalR.

Внимание

Приложение, которое обращается к Служба SignalR, когда правила управления доступом к сети по-прежнему требуют надлежащей авторизации для запроса.

Доступ к общедоступной сети

Мы предлагаем единый коммутатор для упрощения настройки общедоступного сетевого доступа. Параметр имеет следующие параметры:

• Отключен: полностью блокирует доступ к общедоступной сети. Все остальные правила управления доступом к сети игнорируются для общедоступных сетей.
• Включено: разрешает доступ к общедоступной сети, который дополнительно регулируется дополнительными правилами управления доступом к сети.

Настройка доступа к общедоступной сети с помощью портала

1. Перейдите к Служба SignalR экземпляру, который требуется защитить.

2. Выберите "Сеть" в меню слева. Выберите вкладку "Общедоступный доступ" :

   

3. Выберите "Отключено " или "Включено".

4. Нажмите кнопку Сохранить, чтобы применить изменения.

Настройка доступа к общедоступной сети через Bicep

Следующий шаблон отключает доступ к общедоступной сети:

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Действие по умолчанию

Действие по умолчанию применяется, если другое правило не совпадает.

Настройка действия по умолчанию с помощью портала

1. Перейдите к Служба SignalR экземпляру, который требуется защитить.

2. Выберите элемент управления доступом к сети в меню слева.

   

3. Чтобы изменить действие по умолчанию, переключите кнопку "Разрешить или запретить ".

4. Нажмите кнопку Сохранить, чтобы применить изменения.

Настройка действия по умолчанию с помощью Bicep

Следующий шаблон задает для действия Denyпо умолчанию значение .

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Правила типа запроса

Вы можете настроить правила, чтобы разрешить или запретить указанные типы запросов как для общедоступной сети, так и для каждой частной конечной точки.

Например, подключения к серверу обычно имеют высокий уровень привилегий. Чтобы повысить безопасность, может потребоваться ограничить их происхождение. Вы можете настроить правила для блокировки всех подключений сервера из общедоступной сети и разрешить их только из определенной виртуальной сети.

Если правило не соответствует, применяется действие по умолчанию.

Настройка правил типа запроса с помощью портала

1. Перейдите к Служба SignalR экземпляру, который требуется защитить.

2. Выберите элемент управления доступом к сети в меню слева.

   

3. Чтобы изменить правило общедоступной сети, выберите разрешенные типы запросов в разделе Общедоступная сеть.

   

4. Чтобы изменить правила сети для частных конечных точек, выберите разрешенные типы запросов в каждой строке в разделе подключений частных конечных точек.

   

5. Нажмите кнопку Сохранить, чтобы применить изменения.

Настройка правил типа запроса с помощью Bicep

Следующий шаблон запрещает все запросы из общедоступной сети, кроме клиентских подключений. Кроме того, он разрешает только серверные подключения, вызовы REST API и вызовы трассировки из определенной частной конечной точки.

Имя подключения к частной конечной точке можно проверить в подресурсе privateEndpointConnections . Она автоматически создается системой.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['ServerConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

Правила IP-адресов

Правила IP позволяют предоставлять или запрещать доступ к определенным диапазонам общедоступных IP-адресов. Эти правила можно использовать для разрешения доступа к определенным интернет-службам и локальным сетям или блокировать общий интернет-трафик.

Применяются следующие ограничения:

• Можно настроить до 30 правил.
• Диапазоны адресов должны быть указаны с помощью нотации CIDR, например 16.17.18.0/24. Поддерживаются как IPv4, так и IPv6-адреса.
• Правила IP вычисляются в том порядке, в который они определены. Если правило не соответствует, применяется действие по умолчанию.
• Правила IP применяются только к общедоступному трафику и не могут блокировать трафик из частных конечных точек.

Настройка правил IP-адресов с помощью портала

1. Перейдите к Служба SignalR экземпляру, который требуется защитить.

2. Выберите "Сеть" в меню слева. Перейдите на вкладку "Правила управления доступом":

   

3. Измените список в разделе правил IP.

4. Нажмите кнопку Сохранить, чтобы применить изменения.

Настройка правил IP-адресов с помощью Bicep

Следующий шаблон имеет следующие эффекты:

• Запросы от 123.0.0.0/8 и 2603::/8 разрешены.
• Запросы со всех остальных диапазонов IP-адресов запрещены.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Следующие шаги

См. сведения о службе Приватный канал Azure.