Управление доступом к сети

Azure Web PubSub позволяет защитить и управлять доступом к конечной точке службы на основе типов запросов и подмножеств сети. При настройке правил управления доступом к сети только приложения, выполняющие запросы из указанных сетей, могут получить доступ к экземпляру Azure Web PubSub.

Вы можете настроить Azure Web PubSub для защиты и контроля уровня доступа к конечной точке службы на основе типа запроса и подмножества используемых сетей. При настройке правил сети доступ к ресурсу Web PubSub может получить только приложения, запрашивающие данные по указанному набору сетей.

Доступ из общедоступной сети

Мы предлагаем единый коммутатор для упрощения настройки общедоступного сетевого доступа. Параметр имеет следующие параметры:

• Отключен: полностью блокирует доступ к общедоступной сети. Все остальные правила управления доступом к сети игнорируются для общедоступных сетей.
• Включено: разрешает доступ к общедоступной сети, который дополнительно регулируется дополнительными правилами управления доступом к сети.

Настройка доступа к общедоступной сети с помощью портала

1. Перейдите в экземпляр Azure Web PubSub, который вы хотите защитить.
2. Выберите "Сеть" в меню слева. Выберите вкладку "Общедоступный доступ" :

1. Выберите "Отключено " или "Включено".

2. Нажмите кнопку Сохранить, чтобы применить изменения.

Настройка доступа к общедоступной сети через bicep

Следующий шаблон отключает доступ к общедоступной сети:

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Действие по умолчанию

Действие по умолчанию применяется, если другое правило не совпадает.

Настройка действия по умолчанию с помощью портала

1. Перейдите в экземпляр Azure Web PubSub, который вы хотите защитить.
2. Выберите элемент управления доступом к сети в меню слева.

1. Чтобы изменить действие по умолчанию, переключите кнопку "Разрешить или запретить ".
2. Нажмите кнопку Сохранить, чтобы применить изменения.

Настройка действия по умолчанию с помощью bicep

Следующий шаблон задает для действия Denyпо умолчанию значение .

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Правила типа запроса

Вы можете настроить правила, чтобы разрешить или запретить указанные типы запросов как для общедоступной сети, так и для каждой частной конечной точки.

Например, вызовы REST API обычно имеют высокий уровень привилегий. Чтобы повысить безопасность, может потребоваться ограничить их происхождение. Вы можете настроить правила для блокировки всех вызовов REST API из общедоступной сети и разрешить их только из определенной виртуальной сети.

Если правило не соответствует, применяется действие по умолчанию.

Настройка правил типа запроса с помощью портала

1. Перейдите в экземпляр Azure Web PubSub, который вы хотите защитить.
2. Выберите элемент управления доступом к сети в меню слева.

1. Чтобы изменить правило общедоступной сети, выберите разрешенные типы запросов в разделе Общедоступная сеть.

1. Чтобы изменить правила сети для частных конечных точек, выберите разрешенные типы запросов в каждой строке в разделе подключений частных конечных точек.

1. Нажмите кнопку Сохранить, чтобы применить изменения.

Настройка правил типа запроса с помощью bicep

Следующий шаблон запрещает все запросы из общедоступной сети, кроме клиентских подключений. Кроме того, он разрешает только вызовы REST API и вызовы трассировки из определенной частной конечной точки.

Имя подключения к частной конечной точке можно проверить в подресурсе privateEndpointConnections . Она автоматически создается системой.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

Правила фильтрации IP-адресов

Правила IP позволяют предоставлять или запрещать доступ к определенным диапазонам общедоступных IP-адресов. Эти правила можно использовать для разрешения доступа к определенным интернет-службам и локальным сетям или блокировать общий интернет-трафик.

Применяются следующие ограничения:

• Можно настроить до 30 правил.
• Диапазоны адресов должны быть указаны с помощью нотации CIDR, например 16.17.18.0/24. Поддерживаются как IPv4, так и IPv6-адреса.
• Правила IP вычисляются в том порядке, в который они определены. Если правило не соответствует, применяется действие по умолчанию.
• Правила IP применяются только к общедоступному трафику и не могут блокировать трафик из частных конечных точек.

Настройка правил IP-адресов с помощью портала

1. Перейдите в экземпляр Azure Web PubSub, который вы хотите защитить.

2. Выберите "Сеть" в меню слева. Перейдите на вкладку "Правила управления доступом":

   

3. Измените список в разделе правил IP.

4. Нажмите кнопку Сохранить, чтобы применить изменения.

Настройка правил IP с помощью bicep

Следующий шаблон имеет следующие эффекты:

• Запросы от 123.0.0.0/8 и 2603::/8 разрешены.
• Запросы со всех остальных диапазонов IP-адресов запрещены.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Следующие шаги

См. сведения о службе Приватный канал Azure.