Ağ erişim denetimini yapılandırma

Makale
12/27/2024

Azure SignalR Hizmeti, istek türlerine ve ağ alt kümelerine göre hizmet uç noktanızın güvenliğini sağlamanızı ve erişimi yönetmenizi sağlar. Ağ erişim denetimi kurallarını yapılandırdığınızda, yalnızca belirtilen ağlardan istekte bulunan uygulamalar SignalR Hizmeti erişebilir.

Ağ erişim denetimi karar akış grafiğini gösteren ekran görüntüsü.

Önemli

Ağ erişim denetimi kuralları etkin olduğunda bir SignalR Hizmeti erişen bir uygulama yine de istek için uygun yetkilendirme gerektirir.

Genel Ağ Erişimi

Genel ağ erişiminin yapılandırmasını basitleştirmek için tek, birleşik bir anahtar sunuyoruz. Anahtarda aşağıdaki seçenekler bulunur:

Devre dışı: Genel ağ erişimini tamamen engeller. Genel ağlar için diğer tüm ağ erişim denetimi kuralları yoksayılır.
Etkin: Ek ağ erişim denetimi kuralları tarafından daha fazla düzenlenen genel ağ erişimine izin verir.

Portal aracılığıyla Genel Ağ Erişimini Yapılandırma
Bicep aracılığıyla Genel Ağ Erişimini Yapılandırma

Güvenliğini sağlamak istediğiniz SignalR Hizmeti örneğine gidin.
Sol taraftaki menüden Ağ'ı seçin. Genel erişim sekmesini seçin:
Devre Dışı veya Etkin'i seçin.
Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

Aşağıdaki şablon genel ağ erişimini devre dışı bırakır:

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Varsayılan Eylem

Varsayılan eylem, başka bir kural eşleşmediğinde uygulanır.

Portal aracılığıyla Varsayılan Eylemi Yapılandırma
Bicep aracılığıyla Varsayılan Eylemi Yapılandırma

Güvenliğini sağlamak istediğiniz SignalR Hizmeti örneğine gidin.
Sol taraftaki menüden Ağ erişim denetimi'ni seçin.
Varsayılan eylemi düzenlemek için İzin Ver/Reddet düğmesini değiştirin.
Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

Aşağıdaki şablon varsayılan eylemi olarak Denyayarlar.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

İstek Türü Kuralları

Kuralları, hem genel ağ hem de her özel uç nokta için belirtilen istek türlerine izin verecek veya reddedecek şekilde yapılandırabilirsiniz.

Örneğin, Sunucu Bağlantıları genellikle yüksek ayrıcalıklıdır. Güvenliği artırmak için kaynağını kısıtlamak isteyebilirsiniz. Kuralları, genel ağdan gelen tüm Sunucu Bağlantılarını engelleyecek ve yalnızca belirli bir sanal ağdan geldiğine izin verecek şekilde yapılandırabilirsiniz.

Hiçbir kural eşleşmiyorsa, varsayılan eylem uygulanır.

Portal aracılığıyla İstek Türü Kurallarını Yapılandırma
Bicep aracılığıyla İstek Türü Kurallarını Yapılandırma

Güvenliğini sağlamak istediğiniz SignalR Hizmeti örneğine gidin.
Sol taraftaki menüden Ağ erişim denetimi'ni seçin.
Genel ağ kuralını düzenlemek için Genel ağ altında izin verilen istek türlerini seçin.
Özel uç nokta ağ kurallarını düzenlemek için Özel uç nokta bağlantıları altındaki her satırda izin verilen istek türlerini seçin.
Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

Aşağıdaki şablon, İstemci Bağlantıları dışında genel ağdan gelen tüm istekleri reddeder. Ayrıca yalnızca belirli bir özel uç noktadan Sunucu Bağlantıları, REST API çağrıları ve İzleme çağrılarına izin verir.

Özel uç nokta bağlantısının adı alt kaynakta privateEndpointConnections incelenebilir. Sistem tarafından otomatik olarak oluşturulur.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['ServerConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

IP Kuralları

IP kuralları, belirli genel İnternet IP adresi aralıklarına erişim vermenizi veya erişimi reddetmenizi sağlar. Bu kurallar, belirli internet tabanlı hizmetlere ve şirket içi ağlara erişim izni vermek veya genel İnternet trafiğini engellemek için kullanılabilir.

Aşağıdaki kısıtlamalar geçerlidir:

En fazla 30 kural yapılandırabilirsiniz.
Adres aralıkları gibi 16.17.18.0/24CIDR gösterimi kullanılarak belirtilmelidir. Hem IPv4 hem de IPv6 adresleri desteklenir.
IP kuralları tanımlanma sırasına göre değerlendirilir. Hiçbir kural eşleşmiyorsa, varsayılan eylem uygulanır.
IP kuralları yalnızca genel trafik için geçerlidir ve özel uç noktalardan gelen trafiği engelleyemez.

Portal aracılığıyla IP Kurallarını yapılandırma
Bicep aracılığıyla IP Kurallarını yapılandırma

Güvenliğini sağlamak istediğiniz SignalR Hizmeti örneğine gidin.
Sol taraftaki menüden Ağ'ı seçin. Erişim denetimi kuralları sekmesini seçin:
LISTEYI IP kuralları bölümünde düzenleyin.
Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

Aşağıdaki şablon şu etkilere sahiptir:

ve 2603::/8 isteklerine 123.0.0.0/8 izin verilir.
Diğer tüm IP aralıklarından gelen istekler reddedilir.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Sonraki adımlar

Azure Özel Bağlantı hakkında bilgi edinin.

Aracılığıyla paylaş