Mengamankan lalu lintas keluar Azure SignalR melalui titik akhir privat bersama

Saat Anda menggunakan mode tanpa server di Azure SignalR Service, Anda dapat membuat koneksi titik akhir privat keluar ke layanan upstream.

Layanan upstream, seperti Azure Web App dan Azure Functions, dapat dikonfigurasi untuk menerima koneksi dari daftar jaringan virtual dan menolak koneksi luar yang berasal dari jaringan publik. Untuk mencapai titik akhir ini, Anda dapat membuat koneksi titik akhir privat keluar.

Metode keluar ini tunduk pada persyaratan berikut:

• Layanan upstream harus Azure Web App atau Azure Function.
• Layanan Azure SignalR tidak boleh berada di tingkat gratis.
• Azure Web App atau Azure Function harus ada pada SKU tertentu. Lihat Menggunakan Titik Akhir Privat untuk Azure Web App.

Dalam artikel ini, Anda akan mempelajari cara membuat titik akhir privat bersama dengan koneksi titik akhir privat keluar untuk mengamankan lalu lintas keluar ke instans Azure Function upstream.

Manajemen Sumber Daya Private Link Bersama

Anda membuat titik akhir privat sumber daya aman melalui API SignalR Service. Titik akhir ini, yang disebut sumber daya tautan privat bersama, memungkinkan Anda berbagi akses ke sumber daya, seperti Azure Function yang terintegrasi dengan layanan Azure Private Link. Titik akhir privat ini dibuat di dalam lingkungan eksekusi SignalR Service dan tidak dapat diakses di luar lingkungan ini.

Prasyarat

Anda memerlukan sumber daya berikut untuk menyelesaikan langkah-langkah dalam artikel ini:

• Grup Sumber Daya Azure

• Instans Azure SignalR Service (tidak boleh dalam tingkat gratis)

• Instans Azure Function

• Catatan

Contoh dalam artikel ini didasarkan pada asumsi berikut:

• ID sumber daya SignalR Service adalah /subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• ID sumber daya Fungsi Azure upstream adalah /subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. Contoh lainnya menunjukkan bagaimana layanan contoso-signalr dapat dikonfigurasi sehingga panggilan upstream-nya ke fungsi melalui titik akhir privat daripada jaringan publik. Anda dapat menggunakan ID sumber daya Anda sendiri dalam contoh.

Membuat sumber daya tautan privat bersama ke fungsi

Portal Azure

1. Di portal Azure, buka sumber daya SignalR Service Anda.

2. Pilih Jaringan dengan menu sebelah kiri.

3. Pilih tab Akses privat.

4. Pilih Tambahkan titik akhir privat bersama di bagian Titik akhir privat bersama.

   

   Masukkan informasi berikut: | Bidang | Deskripsi | | ----- | ----------- | | Nama | Nama titik akhir privat bersama. | | Jenis | Pilih Microsoft.Web/sites | | Langganan | Langganan yang berisi aplikasi Function Anda. | | Sumber Daya | Masukkan nama aplikasi Function Anda. | | Pesan Permintaan | Masukkan "silakan setujui" |

5. Pilih Tambahkan.

   

Sumber daya titik akhir privat bersama akan berada dalam status Provisi berhasil . Status koneksi menunggu persetujuan di sisi sumber daya target.

Azure CLI

Anda dapat melakukan panggilan API berikut untuk membuat sumber daya tautan privat bersama:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview --body @create-pe.json

Konten dari file create-pe.json, yang mewakili isi permintaan ke API, adalah sebagai berikut:

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve"
      }
}

Proses pembuatan titik akhir privat keluar adalah operasi jangka panjang (asinkron). Seperti dalam semua operasi Azure asinkron, PUT panggilan mengembalikan Azure-AsyncOperation nilai header yang terlihat seperti contoh berikut:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Polling URI ini secara berkala untuk mendapatkan status operasi dengan mengkueri Azure-AsyncOperationHeader nilai secara manual,

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Tunggu hingga status berubah menjadi "Berhasil" sebelum melanjutkan ke langkah berikutnya.

Menyetujui koneksi titik akhir privat untuk fungsi

Penting

Setelah Anda menyetujui koneksi titik akhir privat, Fungsi tidak lagi dapat diakses dari jaringan publik. Anda mungkin perlu membuat titik akhir privat lain di jaringan virtual Anda untuk mengakses titik akhir Fungsi.

Portal Azure

1. Di portal Azure, buka aplikasi Fungsi Anda.

2. Pilih Jaringan dari menu sisi kiri.

3. Pilih Sambungan titik akhir privat.

4. Pilih Titik akhir privat di Lalu Lintas Masuk.

5. Pilih nama Koneksi dari koneksi titik akhir privat.

6. Pilih Setujui.

   

   Pastikan koneksi titik akhir privat muncul seperti yang diperlihatkan dalam cuplikan layar berikut ini. Mungkin perlu waktu beberapa menit agar status diperbarui.

   

Azure CLI

1. Mencantumkan koneksi titik akhir privat.

   az network private-endpoint-connection list -n <function-resource-name>  -g <function-resource-group-name> --type 'Microsoft.Web/sites'
   

   Harus ada koneksi titik akhir privat yang tertunda. Catat ID-nya.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Menyetujui koneksi titik akhir privat.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Mengkueri status sumber daya tautan privat bersama

Persetujuan membutuhkan waktu beberapa menit untuk disebarluaskan ke SignalR Service. Anda dapat memeriksa status menggunakan portal Azure atau Azure CLI.

Portal Azure

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

Perintah akan mengembalikan struktur JSON, di mana status koneksi ditampilkan sebagai "status" di bagian "properti".

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Ketika "Status Provisi" (properties.provisioningState) sumber daya adalah Succeeded dan "Koneksi ion State" (properties.status) adalah Approved, sumber daya tautan privat bersama berfungsi, dan SignalR Service dapat berkomunikasi melalui titik akhir privat.

Pada titik ini, titik akhir privat antara SignalR Service dan Azure Function dibuat.

Verifikasi bahwa panggilan upstream berasal dari IP privat

Setelah titik akhir privat disiapkan, Anda dapat memverifikasi panggilan masuk dari IP privat dengan memeriksa sisi X-Forwarded-For hulu header.

Pembersihan

Jika Anda tidak berencana menggunakan sumber daya yang telah Anda buat di artikel ini, Anda dapat menghapus Grup Sumber Daya.

Perhatian

Menghapus grup sumber daya akan menghapus semua sumber daya yang terkandung di dalamnya. Jika sumber daya di luar lingkup artikel ini ada di grup sumber daya yang ditentukan, sumber daya tersebut juga akan dihapus.

Langkah berikutnya

Pelajari selengkapnya tentang titik akhir privat:

• Apa yang dimaksud dengan titik akhir privat?