Mengelola kontrol akses jaringan

Azure Web PubSub memungkinkan Anda mengamankan dan mengelola akses ke titik akhir layanan Anda berdasarkan jenis permintaan dan subset jaringan. Saat Anda mengonfigurasi aturan kontrol akses jaringan, hanya aplikasi yang membuat permintaan dari jaringan yang ditentukan yang dapat mengakses instans Azure Web PubSub Anda.

Anda dapat mengonfigurasi Azure Web PubSub untuk mengamankan dan mengontrol tingkat akses ke titik akhir layanan Anda berdasarkan jenis permintaan dan subset jaringan yang digunakan. Saat aturan jaringan dikonfigurasi, hanya aplikasi yang meminta data melalui set jaringan yang ditentukan yang dapat mengakses sumber daya Web PubSub Anda.

Akses jaringan publik

Kami menawarkan satu sakelar terpadu untuk menyederhanakan konfigurasi akses jaringan publik. Sakelar memiliki opsi berikut:

• Dinonaktifkan: Sepenuhnya memblokir akses jaringan publik. Semua aturan kontrol akses jaringan lainnya diabaikan untuk jaringan publik.
• Diaktifkan: Memungkinkan akses jaringan publik, yang diatur lebih lanjut oleh aturan kontrol akses jaringan tambahan.

Mengonfigurasi akses jaringan publik melalui portal

1. Buka instans Azure Web PubSub yang ingin Anda amankan.
2. Pilih Jaringan dari menu sisi kiri. Pilih tab Akses publik:

1. Pilih Dinonaktifkan atau Diaktifkan.

2. Pilih Simpan untuk menerapkan perubahan Anda.

Mengonfigurasi akses jaringan publik melalui bicep

Templat berikut menonaktifkan akses jaringan publik:

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Tindakan default

Tindakan default diterapkan ketika tidak ada aturan lain yang cocok.

Mengonfigurasi tindakan default melalui portal

1. Buka instans Azure Web PubSub yang ingin Anda amankan.
2. Pilih Kontrol akses jaringan dari menu sisi kiri.

1. Untuk mengedit tindakan default, alihkan tombol Izinkan/Tolak .
2. Pilih Simpan untuk menerapkan perubahan Anda.

Mengonfigurasi tindakan default melalui bicep

Templat berikut mengatur tindakan default ke Deny.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Aturan jenis permintaan

Anda dapat mengonfigurasi aturan untuk mengizinkan atau menolak jenis permintaan yang ditentukan untuk jaringan publik dan setiap titik akhir privat.

Misalnya, panggilan REST API biasanya memiliki hak istimewa tinggi. Untuk meningkatkan keamanan, Anda mungkin ingin membatasi asalnya. Anda dapat mengonfigurasi aturan untuk memblokir semua panggilan REST API dari jaringan publik, dan hanya mengizinkannya berasal dari jaringan virtual tertentu.

Jika tidak ada aturan yang cocok, tindakan default diterapkan.

Mengonfigurasi aturan jenis permintaan melalui portal

1. Buka instans Azure Web PubSub yang ingin Anda amankan.
2. Pilih Kontrol akses jaringan dari menu sisi kiri.

1. Untuk mengedit aturan jaringan publik, pilih tipe permintaan yang diizinkan di bawah Jaringan publik.

1. Untuk mengedit aturan jaringan titik akhir privat, pilih tipe permintaan yang diizinkan di setiap baris di bawah Koneksi titik akhir privat.

1. Pilih Simpan untuk menerapkan perubahan Anda.

Mengonfigurasi aturan jenis permintaan melalui bicep

Templat berikut menolak semua permintaan dari jaringan publik kecuali Koneksi Klien. Selain itu, ini hanya memungkinkan panggilan REST API, dan Melacak panggilan dari titik akhir privat tertentu.

Nama koneksi titik akhir privat dapat diperiksa di privateEndpointConnections sub-sumber daya. Ini secara otomatis dihasilkan oleh sistem.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

Aturan IP

Aturan IP memungkinkan Anda memberikan atau menolak akses ke rentang alamat IP internet publik tertentu. Aturan ini dapat digunakan untuk mengizinkan akses untuk layanan berbasis internet dan jaringan lokal tertentu atau untuk memblokir lalu lintas internet umum.

Pembatasan berikut berlaku:

• Anda dapat mengonfigurasi hingga 30 aturan.
• Rentang alamat harus ditentukan menggunakan notasi CIDR, seperti 16.17.18.0/24. Alamat IPv4 dan IPv6 didukung.
• Aturan IP dievaluasi dalam urutan yang ditentukan. Jika tidak ada aturan yang cocok, tindakan default diterapkan.
• Aturan IP hanya berlaku untuk lalu lintas publik dan tidak dapat memblokir lalu lintas dari titik akhir privat.

Mengonfigurasi aturan IP melalui portal

1. Buka instans Azure Web PubSub yang ingin Anda amankan.

2. Pilih Jaringan dari menu sisi kiri. Pilih tab Aturan kontrol akses:

   

3. Edit daftar di bawah bagian Aturan IP.

4. Pilih Simpan untuk menerapkan perubahan Anda.

Mengonfigurasi aturan IP melalui bicep

Templat berikut memiliki efek ini:

• Permintaan dari 123.0.0.0/8 dan 2603::/8 diizinkan.
• Permintaan dari semua rentang IP lainnya ditolak.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Langkah berikutnya

Pelajari Azure Private Link lebih lanjut.