تأمين حركة مرور Azure SignalR الصادرة من خلال نقاط النهاية الخاصة المشتركة

مقالة
06/01/2023

عند استخدام الوضع بلا خادم في Azure SignalR Service، يمكنك إنشاء اتصالات نقطة نهاية خاصة صادرة إلى خدمة المصدر.

يمكن تكوين خدمات المصدر، مثل Azure Web App وAzure Functions، لقبول الاتصالات من قائمة الشبكات الظاهرية ورفض الاتصالات الخارجية التي تنشأ من شبكة عامة. للوصول إلى نقاط النهاية هذه، يمكنك إنشاء اتصال نقطة نهاية خاصة صادرة.

Diagram showing architecture of shared private endpoint.

تخضع هذه الطريقة الصادرة للمتطلبات التالية:

يجب أن تكون الخدمة المصدر Azure Web App أو Azure Function.
يجب ألا تكون خدمة Azure SignalR على المستوى المجاني.
يجب أن يكون Azure Web App أو Azure Function على وحدات SKU معينة. راجع استخدام نقاط النهاية الخاصة ل Azure Web App.

في هذه المقالة، ستتعلم كيفية إنشاء نقطة نهاية خاصة مشتركة مع اتصال نقطة نهاية خاصة صادرة لتأمين نسبة استخدام الشبكة الصادرة إلى مثيل Azure Function المصدر.

إدارة موارد الارتباط الخاص المشترك

يمكنك إنشاء نقاط نهاية خاصة للموارد الآمنة من خلال واجهات برمجة تطبيقات خدمة SignalR. تسمح لك نقاط النهاية هذه، التي تسمى موارد الارتباط الخاص المشترك، بمشاركة الوصول إلى مورد، مثل وظيفة Azure المتكاملة مع خدمة Azure Private Link. يتم إنشاء نقاط النهاية الخاصة هذه داخل بيئة تنفيذ SignalR Service ولا يمكن الوصول إليها خارج هذه البيئة.

المتطلبات الأساسية

ستحتاج إلى الموارد التالية لإكمال الخطوات الواردة في هذه المقالة:

مجموعة موارد Azure
مثيل Azure SignalR Service (يجب ألا يكون في المستوى المجاني)
مثيل Azure Function
إشعار

تستند الأمثلة في هذه المقالة إلى الافتراضات التالية:

معرف المورد لخدمة SignalR هو /subscriptions/000000000-0000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.

معرف المورد لوظيفة Azure الأولية هو /subscriptions/000000000-0000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. توضح بقية الأمثلة كيف يمكن تكوين خدمة contoso-signalr بحيث تمر استدعاءات المصدر الخاصة بها إلى الدالة عبر نقطة نهاية خاصة بدلا من الشبكة العامة. يمكنك استخدام معرفات الموارد الخاصة بك في الأمثلة.

في مدخل Microsoft Azure، انتقل إلى مورد خدمة SignalR.
حدد Networking مع القائمة اليسرى.
حدد علامة التبويب Private access.
حدد إضافة نقطة نهاية خاصة مشتركة في قسم نقاط النهاية الخاصة المشتركة .

أدخل المعلومات التالية: | الحقل | الوصف | | ----- | ----------- | | الاسم | اسم نقطة النهاية الخاصة المشتركة. | | النوع | حدد Microsoft.Web/sites | | الاشتراك | الاشتراك الذي يحتوي على تطبيق الوظائف الخاص بك. | | المورد | أدخل اسم تطبيق الوظائف. | | رسالة الطلب | أدخل "الرجاء الموافقة" |
حدد إضافة.

سيكون مورد نقطة النهاية الخاصة المشتركة في حالة التوفير Succeeded . حالة الاتصال معلقة الموافقة على جانب المورد الهدف.

يمكنك إجراء استدعاء API التالي لإنشاء مورد ارتباط خاص مشترك:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview --body @create-pe.json

محتويات ملف create-pe.json ، والتي تمثل نص الطلب إلى واجهة برمجة التطبيقات، كما يلي:

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve"
      }
}

عملية إنشاء نقطة نهاية خاصة صادرة هي عملية طويلة الأمد (غير متزامنة). كما هو الحال في جميع عمليات Azure غير المتزامنة، PUT يقوم الاستدعاء بإرجاع Azure-AsyncOperation قيمة رأس تبدو مثل المثال التالي:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

استطلع عنوان URI هذا بشكل دوري للحصول على حالة العملية عن طريق الاستعلام يدويا عن Azure-AsyncOperationHeader القيمة،

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

انتظر حتى تتغير الحالة إلى "Succeeded" قبل المتابعة إلى الخطوات التالية.

الموافقة على اتصال نقطة النهاية الخاصة للدالة

هام

بعد الموافقة على اتصال نقطة النهاية الخاصة، لم يعد يمكن الوصول إلى الدالة من شبكة عامة. قد تحتاج إلى إنشاء نقاط نهاية خاصة أخرى في شبكتك الظاهرية للوصول إلى نقطة نهاية الدالة.

مدخل Microsoft Azure
Azure CLI

في مدخل Microsoft Azure، انتقل إلى تطبيق الوظائف.
حدد Networking من القائمة اليمنى.
حدد اتصالات نقطة النهاية الخاصة.
حدد نقاط النهاية الخاصة في حركة المرور الواردة.
حدد اسم الاتصال لاتصال نقطة النهاية الخاصة.
حدد موافقة.

تأكد من ظهور اتصال نقطة النهاية الخاصة كما هو موضح في لقطة الشاشة التالية. قد يستغرق تحديث الحالة بضع دقائق.

سرد اتصالات نقطة النهاية الخاصة.

az network private-endpoint-connection list -n <function-resource-name>  -g <function-resource-group-name> --type 'Microsoft.Web/sites'

يجب أن يكون هناك اتصال نقطة نهاية خاصة معلقة. دون معرفه.

[
    {
        "id": "<id>",
        "location": "",
        "name": "",
        "properties": {
            "privateLinkServiceConnectionState": {
                "actionRequired": "None",
                "description": "Please approve",
                "status": "Pending"
           }
        }
    }
]

الموافقة على اتصال نقطة النهاية الخاصة.

az network private-endpoint-connection approve --id <private-endpoint-connection-id>

الاستعلام عن حالة مورد الارتباط الخاص المشترك

تستغرق الموافقة بضع دقائق للنشر إلى SignalR Service. يمكنك التحقق من الحالة باستخدام مدخل Azure أو Azure CLI.

مدخل Microsoft Azure
Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

سيعيد الأمر بنية JSON، حيث يتم عرض حالة الاتصال على أنها "الحالة" في قسم "الخصائص".

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

عندما تكون Succeeded "حالة التوفير" (properties.provisioningState) للمورد و"حالة الاتصال" (properties.status) هي Approved، فإن مورد الارتباط الخاص المشترك يعمل، ويمكن لخدمة SignalR الاتصال عبر نقطة النهاية الخاصة.

عند هذه النقطة، يتم إنشاء نقطة النهاية الخاصة بين SignalR Service وAzure Function.

التحقق من أن المكالمات المصدر من عنوان IP خاص

بمجرد إعداد نقطة النهاية الخاصة، يمكنك التحقق من المكالمات الواردة من عنوان IP خاص عن طريق التحقق من X-Forwarded-For جانب المصدر للعنوان.

Screenshot of the Azure portal, showing incoming requests are from a private IP.

التنظيف

إذا كنت لا تخطط لاستخدام الموارد التي قمت بإنشائها في هذه المقالة، يمكنك حذف مجموعة الموارد.

تنبيه

يؤدي حذف مجموعة الموارد إلى حذف كافة الموارد الموجودة داخلها. إذا كانت الموارد خارج نطاق هذه المقالة موجودة في مجموعة الموارد المحددة، فسيتم حذفها أيضًا.

الخطوات التالية

تعرف على المزيد حول نقاط النهاية الخاصة:

ما هي نقاط النهاية الخاصة؟

مشاركة عبر