Hantera nätverksåtkomstkontroll

Med Azure Web PubSub kan du skydda och hantera åtkomsten till tjänstslutpunkten baserat på begärandetyper och nätverksunderuppsättningar. När du konfigurerar regler för nätverksåtkomstkontroll kan endast program som gör begäranden från de angivna nätverken komma åt din Azure Web PubSub-instans.

Du kan konfigurera Azure Web PubSub för att skydda och kontrollera åtkomstnivån till tjänstslutpunkten baserat på begärandetypen och delmängden av nätverk som används. När nätverksregler har konfigurerats kan endast program som begär data via den angivna uppsättningen nätverk komma åt din Web PubSub-resurs.

Åtkomst till offentligt nätverk

Vi erbjuder en enda, enhetlig växel för att förenkla konfigurationen av offentlig nätverksåtkomst. Växeln har följande alternativ:

• Inaktiverad: Blockerar åtkomsten till det offentliga nätverket helt. Alla andra regler för nätverksåtkomstkontroll ignoreras för offentliga nätverk.
• Aktiverad: Tillåter åtkomst till offentliga nätverk, vilket regleras ytterligare av ytterligare regler för nätverksåtkomstkontroll.

Konfigurera åtkomst till offentligt nätverk via portalen

1. Gå till den Azure Web PubSub-instans som du vill skydda.
2. Välj Nätverk på menyn till vänster. Välj fliken Offentlig åtkomst :

1. Välj Inaktiverad eller Aktiverad.

2. Välj Spara för att tillämpa ändringarna.

Konfigurera åtkomst till offentligt nätverk via bicep

Följande mall inaktiverar åtkomst till offentligt nätverk:

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Standardåtgärd

Standardåtgärden tillämpas när ingen annan regel matchar.

Konfigurera standardåtgärd via portalen

1. Gå till den Azure Web PubSub-instans som du vill skydda.
2. Välj Åtkomstkontroll för nätverk på menyn till vänster.

1. Om du vill redigera standardåtgärden ändrar du knappen Tillåt/Neka .
2. Välj Spara för att tillämpa ändringarna.

Konfigurera standardåtgärd via bicep

Följande mall anger standardåtgärden till Deny.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Regler för begärandetyp

Du kan konfigurera regler för att tillåta eller neka angivna begärandetyper för både det offentliga nätverket och varje privat slutpunkt.

REST API-anrop är till exempel vanligtvis högprivilegierade. För att förbättra säkerheten kanske du vill begränsa deras ursprung. Du kan konfigurera regler för att blockera alla REST API-anrop från det offentliga nätverket och endast tillåta att de kommer från ett specifikt virtuellt nätverk.

Om ingen regel matchar tillämpas standardåtgärden.

Konfigurera regler för begärandetyp via portalen

1. Gå till den Azure Web PubSub-instans som du vill skydda.
2. Välj Åtkomstkontroll för nätverk på menyn till vänster.

1. Om du vill redigera regeln för offentligt nätverk väljer du tillåtna typer av begäranden under Offentligt nätverk.

1. Om du vill redigera privata slutpunktsnätverksregler väljer du tillåtna typer av begäranden på varje rad under Privata slutpunktsanslutningar.

1. Välj Spara för att tillämpa ändringarna.

Konfigurera regler för begärandetyp via bicep

Följande mall nekar alla begäranden från det offentliga nätverket förutom klientanslutningar. Dessutom tillåter den endast REST API-anrop och Spårningsanrop från en specifik privat slutpunkt.

Namnet på den privata slutpunktsanslutningen kan kontrolleras i underresursen privateEndpointConnections . Det genereras automatiskt av systemet.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

IP-regler

Med IP-regler kan du bevilja eller neka åtkomst till specifika offentliga IP-adressintervall för Internet. Dessa regler kan användas för att tillåta åtkomst för vissa Internetbaserade tjänster och lokala nätverk eller för att blockera allmän Internettrafik.

Följande begränsningar gäller:

• Du kan konfigurera upp till 30 regler.
• Adressintervall måste anges med CIDR-notation, till exempel 16.17.18.0/24. Både IPv4- och IPv6-adresser stöds.
• IP-regler utvärderas i den ordning de definieras. Om ingen regel matchar tillämpas standardåtgärden.
• IP-regler gäller endast för offentlig trafik och kan inte blockera trafik från privata slutpunkter.

Konfigurera IP-regler via portalen

1. Gå till den Azure Web PubSub-instans som du vill skydda.

2. Välj Nätverk på menyn till vänster. Välj fliken Åtkomstkontrollregler :

   

3. Redigera listan under avsnittet IP-regler .

4. Välj Spara för att tillämpa ändringarna.

Konfigurera IP-regler via bicep

Följande mall har följande effekter:

• Begäranden från 123.0.0.0/8 och 2603::/8 tillåts.
• Begäranden från alla andra IP-intervall nekas.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Nästa steg

Läs mer om Azure Private Link.