تكوين التحكم في الوصول إلى الشبكة

مقالة
12/27/2024

تتيح لك خدمة Azure SignalR تأمين الوصول إلى نقطة نهاية الخدمة وإدارتها استنادا إلى أنواع الطلبات والمجموعات الفرعية للشبكة. عند تكوين قواعد التحكم في الوصول إلى الشبكة، يمكن فقط للتطبيقات التي تقدم طلبات من الشبكات المحددة الوصول إلى خدمة SignalR.

لقطة شاشة تعرض مخطط تدفق قرار التحكم في الوصول إلى الشبكة.

هام

لا يزال التطبيق الذي يصل إلى خدمة SignalR عندما تكون قواعد التحكم في الوصول إلى الشبكة سارية المفعول يتطلب تخويلا مناسبا للطلب.

الوصول إلى الشبكة العامة

نحن نقدم مفتاحا موحدا واحدا لتبسيط تكوين الوصول إلى الشبكة العامة. يحتوي مفتاح التبديل على الخيارات التالية:

معطل: يحظر تماما الوصول إلى الشبكة العامة. يتم تجاهل جميع قواعد التحكم في الوصول إلى الشبكة الأخرى للشبكات العامة.
ممكن: يسمح بالوصول إلى الشبكة العامة، والذي يتم تنظيمه بشكل أكبر بواسطة قواعد إضافية للتحكم في الوصول إلى الشبكة.

تكوين الوصول إلى الشبكة العامة عبر المدخل
تكوين الوصول إلى الشبكة العامة عبر Bicep

انتقل إلى مثيل SignalR Service الذي تريد تأمينه.
حدد Networking من القائمة اليمنى. حدد علامة تبويب الوصول العام:
حدد معطل أو ممكن.
حدد حفظ لتطبيق التغييرات التي أجريتها.

يعطل القالب التالي الوصول إلى الشبكة العامة:

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

الإجراء الافتراضي

يتم تطبيق الإجراء الافتراضي عندما لا تتطابق أي قاعدة أخرى.

تكوين الإجراء الافتراضي عبر المدخل
تكوين الإجراء الافتراضي عبر Bicep

انتقل إلى مثيل SignalR Service الذي تريد تأمينه.
حدد التحكم في الوصول إلى الشبكة من القائمة اليمنى.
لتحرير الإجراء الافتراضي، قم بتبديل الزر السماح/الرفض .
حدد حفظ لتطبيق التغييرات التي أجريتها.

يعين القالب التالي الإجراء الافتراضي إلى Deny.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

قواعد نوع الطلب

يمكنك تكوين القواعد للسماح بأنواع الطلبات المحددة لكل من الشبكة العامة وكل نقطة نهاية خاصة أو رفضها.

على سبيل المثال، عادة ما تكون اتصالات الخادم ذات امتيازات عالية. لتحسين الأمان، قد تحتاج إلى تقييد أصلهم. يمكنك تكوين القواعد لحظر كافة اتصالات الخادم من الشبكة العامة، والسماح فقط بإنشاءها من شبكة ظاهرية معينة.

إذا لم تتطابق أي قاعدة، يتم تطبيق الإجراء الافتراضي.

تكوين قواعد نوع الطلب عبر المدخل
تكوين قواعد نوع الطلب عبر Bicep

انتقل إلى مثيل SignalR Service الذي تريد تأمينه.
حدد التحكم في الوصول إلى الشبكة من القائمة اليمنى.
لتحرير قاعدة الشبكة العامة، حدد أنواع الطلبات المسموح بها ضمن الشبكة العامة.
لتحرير قواعد شبكة نقطة النهاية الخاصة، حدد أنواع الطلبات المسموح بها في كل صف ضمن اتصالات نقطة النهاية الخاصة.
حدد حفظ لتطبيق التغييرات التي أجريتها.

يرفض القالب التالي كافة الطلبات من الشبكة العامة باستثناء اتصالات العميل. بالإضافة إلى ذلك، يسمح فقط باتصالات الخادم واستدعاءات واجهة برمجة تطبيقات REST واستدعاءات التتبع من نقطة نهاية خاصة معينة.

يمكن فحص اسم اتصال نقطة النهاية الخاصة في privateEndpointConnections المورد الفرعي. يتم إنشاؤه تلقائيا بواسطة النظام.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['ServerConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

قواعد IP

تسمح لك قواعد IP بمنح أو رفض الوصول إلى نطاقات عناوين IP عامة محددة على الإنترنت. يمكن استخدام هذه القواعد للسماح بالوصول إلى بعض الخدمات المستندة إلى الإنترنت والشبكات المحلية أو لمنع حركة المرور العامة على الإنترنت.

تنطبق القيود التالية:

يمكنك تكوين ما يصل إلى 30 قاعدة.
يجب تحديد نطاقات العناوين باستخدام رمز CIDR، مثل 16.17.18.0/24. يتم دعم كل من عناوين IPv4 وIPv6.
يتم تقييم قواعد IP بالترتيب الذي يتم تعريفها به. إذا لم تتطابق أي قاعدة، يتم تطبيق الإجراء الافتراضي.
تنطبق قواعد IP فقط على حركة المرور العامة ولا يمكنها حظر حركة المرور من نقاط النهاية الخاصة.

تكوين قواعد IP عبر المدخل
تكوين قواعد IP عبر Bicep

انتقل إلى مثيل SignalR Service الذي تريد تأمينه.
حدد Networking من القائمة اليمنى. حدد علامة التبويب Access control rules :
تحرير القائمة ضمن قسم قواعد IP.
حدد حفظ لتطبيق التغييرات التي أجريتها.

يحتوي القالب التالي على هذه التأثيرات:

الطلبات من 123.0.0.0/8 و 2603::/8 مسموح بها.
يتم رفض الطلبات من جميع نطاقات IP الأخرى.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

الخطوات التالية

تعرف على المزيد حول Azure Private Link.

مشاركة عبر