Configurare il controllo di accesso alla rete per il servizio Web PubSub di Azure

  • Articolo

Il servizio Web PubSub di Azure consente di proteggere e controllare il livello di accesso all'endpoint di servizio, in base al tipo di richiesta e al subset di reti usate. Quando le regole di rete sono configurate, solo le applicazioni che richiedono dati nel set specificato di reti possono accedere al servizio Web PubSub di Azure.

Il servizio Web PubSub di Azure ha un endpoint pubblico accessibile tramite Internet. È anche possibile creare endpoint privati per il servizio Web PubSub di Azure. L'endpoint privato assegna un indirizzo IP privato dalla rete virtuale al servizio PubSub Web di Azure e protegge tutto il traffico tra la rete virtuale e il servizio Web PubSub di Azure tramite un collegamento privato. Il controllo di accesso alla rete del servizio Web PubSub di Azure fornisce il controllo di accesso sia per gli endpoint pubblici che per gli endpoint privati.

Facoltativamente, è possibile scegliere di consentire o negare determinati tipi di richieste per l'endpoint pubblico e ogni endpoint privato.

Un'applicazione che accede a un servizio Web PubSub di Azure quando le regole di controllo di accesso di rete sono attive richiede comunque un'autorizzazione appropriata per la richiesta.

Scenario A - Nessun traffico pubblico

Per negare completamente tutto il traffico pubblico, è prima necessario configurare la regola di rete pubblica per non consentire alcun tipo di richiesta. Quindi, è necessario configurare regole che concedano l'accesso al traffico da reti virtuali specifiche. Questa configurazione consente di creare un limite di rete protetto per le applicazioni.

Scenario B - Solo le connessioni client dalla rete pubblica

In questo scenario è possibile configurare la regola di rete pubblica in modo da consentire solo Connessione client dalla rete pubblica. È quindi possibile configurare regole di rete privata per consentire altri tipi di richieste provenienti da una rete virtuale specifica. Questa configurazione nasconde i server app dalla rete pubblica e stabilisce connessioni sicure tra i server app e il servizio Web PubSub di Azure.

Gestione del controllo di accesso alla rete

È possibile gestire il controllo di accesso di rete per il servizio Web PubSub di Azure tramite il portale di Azure.

Azure portal

  1. Passare al servizio Web PubSub di Azure che si vuole proteggere.

  2. Selezionare nel menu delle impostazioni denominato Controllo di accesso alla rete.

    Network Access Control in Azure portal.

  3. Per modificare l'azione predefinita, attivare o disattivare il pulsante Consenti/Nega .

    Suggerimento

    L'azione predefinita è l'azione eseguita quando non è presente alcuna corrispondenza tra regole ACL. Ad esempio, se l'azione predefinita è Nega, i tipi di richiesta non approvati in modo esplicito di seguito verranno negati.

  4. Per modificare la regola di rete pubblica, selezionare tipi consentiti di richieste in Rete pubblica.

    Edit public network ACL in Azure portal.

  5. Per modificare le regole di rete dell'endpoint privato, selezionare i tipi consentiti di richieste in ogni riga in Connessioni endpoint privato.

  6. Seleziona Salva per applicare le modifiche.