Konfigurera åtkomstkontroll för nätverk

Med Azure SignalR Service kan du skydda och hantera åtkomsten till tjänstslutpunkten baserat på begärandetyper och nätverksunderuppsättningar. När du konfigurerar regler för nätverksåtkomstkontroll kan endast program som gör begäranden från de angivna nätverken komma åt signalR-tjänsten.

Viktigt!

Ett program som har åtkomst till en SignalR-tjänst när reglerna för nätverksåtkomstkontroll är i kraft kräver fortfarande korrekt auktorisering för begäran.

Åtkomst till offentligt nätverk

Vi erbjuder en enda, enhetlig växel för att förenkla konfigurationen av offentlig nätverksåtkomst. Växeln har följande alternativ:

• Inaktiverad: Blockerar åtkomsten till det offentliga nätverket helt. Alla andra regler för nätverksåtkomstkontroll ignoreras för offentliga nätverk.
• Aktiverad: Tillåter åtkomst till offentliga nätverk, vilket regleras ytterligare av ytterligare regler för nätverksåtkomstkontroll.

Konfigurera offentlig nätverksåtkomst via portalen

1. Gå till den SignalR Service-instans som du vill skydda.

2. Välj Nätverk på menyn till vänster. Välj fliken Offentlig åtkomst :

   

3. Välj Inaktiverad eller Aktiverad.

4. Välj Spara för att tillämpa ändringarna.

Konfigurera offentlig nätverksåtkomst via Bicep

Följande mall inaktiverar åtkomst till offentligt nätverk:

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Standardåtgärd

Standardåtgärden tillämpas när ingen annan regel matchar.

Konfigurera standardåtgärd via portalen

1. Gå till den SignalR Service-instans som du vill skydda.

2. Välj Åtkomstkontroll för nätverk på menyn till vänster.

   

3. Om du vill redigera standardåtgärden ändrar du knappen Tillåt/Neka .

4. Välj Spara för att tillämpa ändringarna.

Konfigurera standardåtgärd via Bicep

Följande mall anger standardåtgärden till Deny.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Regler för begärandetyp

Du kan konfigurera regler för att tillåta eller neka angivna begärandetyper för både det offentliga nätverket och varje privat slutpunkt.

Serveranslutningar är till exempel vanligtvis högprivilegierade. För att förbättra säkerheten kanske du vill begränsa deras ursprung. Du kan konfigurera regler för att blockera alla serveranslutningar från offentliga nätverk och endast tillåta att de kommer från ett specifikt virtuellt nätverk.

Om ingen regel matchar tillämpas standardåtgärden.

Konfigurera regler för typ av begäran via portalen

1. Gå till den SignalR Service-instans som du vill skydda.

2. Välj Åtkomstkontroll för nätverk på menyn till vänster.

   

3. Om du vill redigera regeln för offentligt nätverk väljer du tillåtna typer av begäranden under Offentligt nätverk.

   

4. Om du vill redigera privata slutpunktsnätverksregler väljer du tillåtna typer av begäranden på varje rad under Privata slutpunktsanslutningar.

   

5. Välj Spara för att tillämpa ändringarna.

Konfigurera regler för typ av begäran via Bicep

Följande mall nekar alla begäranden från det offentliga nätverket förutom klientanslutningar. Dessutom tillåter den endast serveranslutningar, REST API-anrop och Spårningsanrop från en specifik privat slutpunkt.

Namnet på den privata slutpunktsanslutningen kan kontrolleras i underresursen privateEndpointConnections . Det genereras automatiskt av systemet.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['ServerConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

IP-regler

Med IP-regler kan du bevilja eller neka åtkomst till specifika offentliga IP-adressintervall för Internet. Dessa regler kan användas för att tillåta åtkomst för vissa Internetbaserade tjänster och lokala nätverk eller för att blockera allmän Internettrafik.

Följande begränsningar gäller:

• Du kan konfigurera upp till 30 regler.
• Adressintervall måste anges med CIDR-notation, till exempel 16.17.18.0/24. Både IPv4- och IPv6-adresser stöds.
• IP-regler utvärderas i den ordning de definieras. Om ingen regel matchar tillämpas standardåtgärden.
• IP-regler gäller endast för offentlig trafik och kan inte blockera trafik från privata slutpunkter.

Konfigurera IP-regler via portalen

1. Gå till den SignalR Service-instans som du vill skydda.

2. Välj Nätverk på menyn till vänster. Välj fliken Åtkomstkontrollregler :

   

3. Redigera listan under avsnittet IP-regler .

4. Välj Spara för att tillämpa ändringarna.

Konfigurera IP-regler via Bicep

Följande mall har följande effekter:

• Begäranden från 123.0.0.0/8 och 2603::/8 tillåts.
• Begäranden från alla andra IP-intervall nekas.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Nästa steg

Läs mer om Azure Private Link.