Zabezpečení odchozího provozu Azure SignalR prostřednictvím sdílených privátních koncových bodů

Pokud ve službě Azure SignalR používáte bezserverový režim, můžete vytvořit odchozí připojení privátních koncových bodů k nadřazené službě.

Upstreamové služby, jako je Azure Web App a Azure Functions, je možné nakonfigurovat tak, aby přijímaly připojení ze seznamu virtuálních sítí a odmítly externí připojení pocházející z veřejné sítě. Abyste se dostali k těmto koncovým bodům, můžete vytvořit odchozí připojení privátního koncového bodu.

Tato odchozí metoda podléhá následujícím požadavkům:

• Upstreamová služba musí být Azure Web App nebo Azure Function.
• Služba Azure SignalR nesmí být na úrovni Free.
• Webová aplikace Azure nebo funkce Azure Musí být na určitých skladových po řádcích. Viz Použití privátních koncových bodů pro webovou aplikaci Azure.

V tomto článku se dozvíte, jak vytvořit sdílený privátní koncový bod s odchozím připojením privátního koncového bodu pro zabezpečení odchozího odchozího provozu do instance upstreamové funkce Azure Functions.

Správa sdílených prostředků služby Private Link

Privátní koncové body zabezpečených prostředků vytvoříte prostřednictvím rozhraní API služby SignalR. Tyto koncové body označované jako sdílené prostředky privátního propojení umožňují sdílet přístup k prostředku, jako je funkce Azure Functions integrovaná se službou Azure Private Link. Tyto privátní koncové body se vytvářejí v prostředí spouštění služby SignalR a nejsou přístupné mimo toto prostředí.

Předpoklady

K dokončení kroků v tomto článku budete potřebovat následující zdroje informací:

• Skupina prostředků Azure

• Instance služby Azure SignalR (nesmí být na úrovni Free).

• Instance funkce Azure

• Poznámka:

Příklady v tomto článku vycházejí z následujících předpokladů:

• ID prostředku služby SignalR je /subscriptions/00000000-0000-0000-0000-00000-0000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• ID prostředku upstreamové funkce Azure Je /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. Zbývající příklady ukazují, jak lze službu contoso-signalr nakonfigurovat tak, aby její upstreamová volání funkce procházela privátním koncovým bodem místo veřejné sítě. V příkladech můžete použít vlastní ID prostředků.

Vytvoření sdíleného prostředku privátního propojení s funkcí

Azure Portal

1. Na webu Azure Portal přejděte k prostředku služby SignalR.

2. V nabídce vlevo vyberte Sítě .

3. Vyberte kartu Soukromý přístup.

4. V části Sdílené privátní koncové body vyberte Přidat sdílený privátní koncový bod.

   

   Zadejte následující informace: | Pole | Popis | | ----- | ----------- | | Název | Název sdíleného privátního koncového bodu. | | Typ | Vyberte Microsoft.Web/sites | | Předplatné | Předplatné obsahující vaši aplikaci Funkcí. | | Zdroj | Zadejte název aplikace Funkcí. | | Žádost o zprávu | Zadejte "prosím schválit" |

5. Vyberte Přidat.

   

Sdílený prostředek privátního koncového bodu bude ve stavu úspěšného zřizování. Stav připojení čeká na schválení na straně cílového prostředku.

Azure CLI

Můžete provést následující volání rozhraní API pro vytvoření prostředku sdíleného privátního propojení:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview --body @create-pe.json

Obsah souboru create-pe.json, který představuje text požadavku rozhraní API, je následující:

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve"
      }
}

Proces vytvoření odchozího privátního koncového bodu je dlouhotrvající (asynchronní) operace. Stejně jako ve všech asynchronních operacích PUT Azure vrátí Azure-AsyncOperation volání hodnotu hlavičky, která vypadá jako v následujícím příkladu:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Pravidelně dotazujte tento identifikátor URI, abyste získali stav operace ručním dotazováním hodnoty Azure-AsyncOperationHeader .

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Než budete pokračovat k dalším krokům, počkejte, až se stav změní na Úspěch.

Schválení připojení privátního koncového bodu pro funkci

Důležité

Po schválení připojení privátního koncového bodu už není funkce přístupná z veřejné sítě. Možná budete muset ve virtuální síti vytvořit další privátní koncové body pro přístup ke koncovému bodu funkce.

Azure Portal

1. Na webu Azure Portal přejděte do aplikace funkcí.

2. V nabídce na levé straně vyberte Sítě .

3. Vyberte Připojení privátních koncových bodů.

4. Vyberte privátní koncové body v příchozím provozu.

5. Vyberte název Připojení připojení privátního koncového bodu.

6. Vyberte Schválit.

   

   Ujistěte se, že se připojení privátního koncového bodu zobrazuje, jak je znázorněno na následujícím snímku obrazovky. Aktualizace stavu může trvat několik minut.

   

Azure CLI

1. Vypíše připojení privátního koncového bodu.

   az network private-endpoint-connection list -n <function-resource-name>  -g <function-resource-group-name> --type 'Microsoft.Web/sites'
   

   Mělo by existovat nevyřízené připojení privátního koncového bodu. Poznamenejte si jeho ID.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Schvalte připojení privátního koncového bodu.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Dotaz na stav sdíleného prostředku privátního propojení

Rozšíření schválení do služby SignalR trvá několik minut. Stav můžete zkontrolovat pomocí webu Azure Portal nebo Azure CLI.

Azure Portal

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

Příkaz vrátí strukturu JSON, kde se stav připojení zobrazí jako stav v části Vlastnosti.

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Pokud je "Stav zřizování" (properties.provisioningState) prostředku a "Připojení ion State" (properties.status) je Approved, sdílený prostředek privátního propojení je Succeeded funkční a služba SignalR může komunikovat přes privátní koncový bod.

V tomto okamžiku se vytvoří privátní koncový bod mezi službou SignalR a funkcí Azure Functions.

Ověření, že upstreamová volání pocházejí z privátní IP adresy

Po nastavení privátního koncového bodu můžete ověřit příchozí hovory z privátní IP adresy tak, že zkontrolujete X-Forwarded-For nadřazenou stranu hlavičky.

Vyčištění

Pokud nechcete používat prostředky, které jste vytvořili v tomto článku, můžete odstranit skupinu prostředků.

Upozornění

Odstraněním skupiny prostředků odstraníte všechny prostředky obsažené v této skupině. Pokud prostředky mimo rozsah tohoto článku existují v zadané skupině prostředků, odstraní se také.

Další kroky

Další informace o privátních koncových bodech:

• Co jsou privátní koncové body?