Verwenden von Diensttags für Azure SignalR Service

Sie können Diensttags verwenden, um den Azure SignalR Service-Datenverkehr zu identifizieren. Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen. Azure SignalR Service verwaltet ein Diensttag namens AzureSignalR für eingehenden und ausgehenden Datenverkehr.

Ein Diensttag kann zum Konfigurieren einer Netzwerksicherheitsgruppe verwendet werden. Alternativ können Sie die IP-Adresspräfixe mithilfe der Diensttagermittlungs-API abfragen.

Ausgehender Datenverkehr

Endpunkte von Azure SignalR Service-Ressourcen liegen garantiert innerhalb der IP-Bereiche des Diensttags AzureSignalR.

Zugreifen auf Azure SignalR Service über ein virtuelles Netzwerk

Sie können ausgehenden Datenverkehr von Ihrem Netzwerk zu Azure SignalR Service zulassen, indem Sie eine neue Sicherheitsregel für ausgehenden Datenverkehr im Netzwerk festlegen.

1. Rufen Sie im Portal die Netzwerksicherheitsgruppe auf.

2. Wählen Sie das Einstellungsmenü namens Ausgehende Sicherheitsregeln aus.

3. Wählen Sie die Schaltfläche Hinzufügen aus.

4. Wählen Sie Ziel und dann Diensttag aus.

5. Wählen Sie Zieldiensttag und dann AzureSignalR aus.

6. Geben Sie als Zielportbereiche den Port 443 ein.

   

7. Passen Sie die anderen Felder nach Bedarf an.

8. Wählen Sie Hinzufügen aus.

Eingehender Datenverkehr

In den folgenden Szenarien kann Azure SignalR Service Netzwerkdatenverkehr für Ihre Ressource generieren. Die Quelle des Datenverkehrs liegt garantiert innerhalb der IP-Bereiche des Diensttags AzureSignalR.

• Verwenden von Upstream-Endpunkten im serverlosen Modus
• Verwenden eines Verweises auf das Key Vault-Geheimnis in den URL-Vorlageneinstellungen
• Verwenden eines benutzerdefinierten Zertifikats

Upstream-Endpunkte im virtuellen Netzwerk

Sie können eine Netzwerksicherheitsgruppe so konfigurieren, dass eingehender Datenverkehr im virtuellen Netzwerk zugelassen wird:

1. Rufen Sie im Portal die Netzwerksicherheitsgruppe auf.

2. Klicken Sie auf Eingangssicherheitsregeln.

3. Wählen Sie die Schaltfläche Hinzufügen aus.

4. Wählen Sie Quelle und dann Diensttag aus der Liste aus.

5. Wählen Sie Quelldiensttag und dann AzureSignalR aus der Liste aus.

6. Geben Sie unter Quellportbereiche ein „*“ ein.

   

7. Ändern Sie andere Einstellungen nach Bedarf.

8. Wählen Sie Hinzufügen aus.

Hinweis

Azure SignalR Service ist ein freigegebener Dienst. Indem Sie das Diensttag AzureSignalR oder die zugehörigen IP-Adresspräfixe zulassen, lassen Sie auch Datenverkehr von anderen Ressourcen zu, auch wenn er zu anderen Kunden gehört. Stellen Sie sicher, dass Sie die entsprechende Authentifizierung für Ihre Endpunkte implementieren.

Upstream-Endpunkte einer Azure-Funktion

Sie können eine auf Diensttags basierende Regel konfigurieren.

Alternativ können Sie freigegebene private Endpunkte verwenden, um eine bessere Sicherheit zu gewährleisten. Freigegebene private Endpunkte sind Ihren Ressourcen zugeordnet. Kein Datenverkehr von anderen Ressourcen kann auf Ihre Endpunkte zugreifen.

Key Vault-Zugriff

Es wird empfohlen, freigegebene private Endpunkte zu verwenden, um optimale Sicherheit zu gewährleisten.

Nächste Schritte

• Netzwerksicherheitsgruppen: Diensttags