Skydda utgående Azure SignalR-trafik via delade privata slutpunkter

När du använder serverlöst läge i Azure SignalR Service kan du skapa utgående privata slutpunktsanslutningar till en överordnad tjänst.

Överordnade tjänster, till exempel Azure Web App och Azure Functions, kan konfigureras för att acceptera anslutningar från en lista över virtuella nätverk och neka externa anslutningar som kommer från ett offentligt nätverk. Om du vill nå dessa slutpunkter kan du skapa en utgående privat slutpunktsanslutning.

Den här utgående metoden omfattas av följande krav:

• Den överordnade tjänsten måste vara Azure Web App eller Azure Function.
• Azure SignalR-tjänsten får inte finnas på den kostnadsfria nivån.
• Azure-webbappen eller Azure-funktionen måste finnas på vissa SKU:er. Se Använda privata slutpunkter för Azure Web App.

I den här artikeln får du lära dig hur du skapar en delad privat slutpunkt med en utgående privat slutpunktsanslutning för att skydda utgående trafik till en överordnad Azure-funktionsinstans.

Resurshantering för delad privat länk

Du skapar privata slutpunkter för skyddade resurser via SignalR Service-API:erna. Dessa slutpunkter, som kallas delade privata länkresurser, gör att du kan dela åtkomst till en resurs, till exempel en Azure-funktion som är integrerad med Azure Private Link-tjänsten. Dessa privata slutpunkter skapas i SignalR Service-körningsmiljön och är inte tillgängliga utanför den här miljön.

Förutsättningar

Du behöver följande resurser för att slutföra stegen i den här artikeln:

• En Azure-resursgrupp

• En Azure SignalR Service-instans (får inte finnas på den kostnadsfria nivån)

• En Azure-funktionsinstans

• Kommentar

Exemplen i den här artikeln baseras på följande antaganden:

• Resurs-ID:t för SignalR Service är /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• Resurs-ID:t för den överordnade Azure-funktionen är /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. Resten av exemplen visar hur contoso-signalr-tjänsten kan konfigureras så att dess överordnade anrop till funktionen går via en privat slutpunkt i stället för ett offentligt nätverk. Du kan använda dina egna resurs-ID:er i exemplen.

Skapa en resurs för delad privat länk till funktionen

Azure-portalen

1. I Azure-portalen går du till din SignalR Service-resurs.

2. Välj Nätverk med den vänstra menyn.

3. Välj fliken Privat åtkomst .

4. Välj Lägg till delad privat slutpunkt i avsnittet Delade privata slutpunkter .

   

   Ange följande information: | Fält | Beskrivning | | ----- | ----------- | | Namn | Namnet på den delade privata slutpunkten. | | Typ | Välj Microsoft.Web/sites | | | Prenumeration | Prenumerationen som innehåller din funktionsapp. | | Resurs | Ange namnet på funktionsappen. | | Begärandemeddelande | Ange "godkänn" |

5. Markera Lägga till.

   

Den delade privata slutpunktsresursen är i tillståndet Lyckades etablera. Anslutningstillståndet väntar på godkännande på målresurssidan.

Azure CLI

Du kan göra följande API-anrop för att skapa en resurs för delad privat länk:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview --body @create-pe.json

Innehållet i filen create-pe.json , som representerar begärandetexten till API:et, är följande:

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve"
      }
}

Processen att skapa en utgående privat slutpunkt är en tidskrävande (asynkron) åtgärd. Precis som i alla asynkrona Azure-åtgärder returnerar anropet PUT ett Azure-AsyncOperation huvudvärde som ser ut som i följande exempel:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Avsök den här URI:n regelbundet för att hämta åtgärdens status genom att Azure-AsyncOperationHeader manuellt fråga efter värdet.

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Vänta tills statusen ändras till "Lyckades" innan du fortsätter till nästa steg.

Godkänn den privata slutpunktsanslutningen för funktionen

Viktigt!

När du har godkänt den privata slutpunktsanslutningen är funktionen inte längre tillgänglig från ett offentligt nätverk. Du kan behöva skapa andra privata slutpunkter i det virtuella nätverket för att få åtkomst till funktionsslutpunkten.

Azure-portalen

1. Gå till funktionsappen i Azure-portalen.

2. Välj Nätverk på menyn till vänster.

3. Välj Privata slutpunktsanslutningar.

4. Välj Privata slutpunkter i Inkommande trafik.

5. Välj Anslut för den privata slutpunktsanslutningen.

6. Välj Godkänn.

   

   Kontrollera att den privata slutpunktsanslutningen visas på följande skärmbild. Det kan ta några minuter innan statusen uppdateras.

   

Azure CLI

1. Lista privata slutpunktsanslutningar.

   az network private-endpoint-connection list -n <function-resource-name>  -g <function-resource-group-name> --type 'Microsoft.Web/sites'
   

   Det bör finnas en väntande privat slutpunktsanslutning. Anteckna dess ID.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Godkänn den privata slutpunktsanslutningen.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Fråga efter status för resursen för delad privat länk

Godkännandet tar några minuter att sprida till SignalR Service. Du kan kontrollera tillståndet med azure-portalen eller Azure CLI.

Azure-portalen

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

Kommandot returnerar en JSON-struktur, där anslutningstillståndet visas som "status" i avsnittet "egenskaper".

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

När "Etableringstillstånd" (properties.provisioningState) för resursen är Succeeded och "Anslut ion State" (properties.status) är Approvedfungerar resursen för delad privat länk och SignalR-tjänsten kan kommunicera via den privata slutpunkten.

Nu upprättas den privata slutpunkten mellan SignalR Service och Azure Function.

Kontrollera att överordnade anrop kommer från en privat IP-adress

När den privata slutpunkten har konfigurerats kan du verifiera inkommande anrop från en privat IP-adress genom att kontrollera X-Forwarded-For rubrikens överordnade sida.

Rensa

Om du inte planerar att använda de resurser som du har skapat i den här artikeln kan du ta bort resursgruppen.

Varning

Om du tar bort resursgruppen tas alla resurser som ingår i den bort. Om det finns resurser utanför omfånget för den här artikeln i den angivna resursgruppen tas de också bort.

Nästa steg

Läs mer om privata slutpunkter:

• Vad är privata slutpunkter?