Azure SignalR Service のサービス タグの使用
サービス タグを使用して、Azure SignalR Service トラフィックを識別できます。 サービス タグは、IP アドレスのプレフィックスのグループを表します。 Azure SignalR Service サービスは、受信トラフィックと送信トラフィックの両方に対して AzureSignalR
というサービス タグを管理します。
サービス タグは、ネットワーク セキュリティ グループを構成するときに使用できます。 または、Service Tag Discovery API を使用して IP アドレス プレフィックスのクエリを実行することもできます。
送信トラフィック
Azure SignalR Serviceサービス リソースのエンドポイントは、サービス タグ AzureSignalR
の IP 範囲内であることが保証されます。
仮想ネットワークから Azure SignalR Service にアクセスする
新しい送信ネットワーク セキュリティ規則を追加することで、自身のネットワークから Azure SignalR Service サービスへの送信トラフィックを許可できます。
ポータルで、ネットワーク セキュリティ グループに移動します。
[送信セキュリティ規則] という名称の設定メニューを選択します。
[追加] ボタンを選びます。
[宛先] を選択し、[サービス タグ] を選択します。
[宛先サービス タグ] を選択し、[AzureSignalR] を選択します。
[宛先ポート範囲] に「443」と入力します。
必要に応じて他のフィールドを調整します。
[追加] を選択します。
受信トラフィック
次のシナリオでは、Azure SignalR Service サービスによってリソースへのネットワーク トラフィックを生成できます。 トラフィックのソースは、サービス タグ AzureSignalR
の IP 範囲内であることが保証されます。
- サーバーレス モードでアップストリーム エンドポイントを使用します。
- URL テンプレート設定の Key Vault シークレット参照を使用する。
- カスタム証明書を使用する。
仮想ネットワーク内のアップストリーム エンドポイント
仮想ネットワークへの受信トラフィックを許可するようにネットワーク セキュリティ グループを構成できます:
ポータルで、ネットワーク セキュリティ グループに移動します。
[受信セキュリティ規則] を選択します。
[追加] ボタンを選びます。
[ソース] を選択し、一覧から [サービス タグ] を選択します。
[ソース サービス タグ] を選択し、一覧から [AzureSignalR] を選択します。
[ソース ポート範囲] に、* を入力します。
その他の設定を、必要に応じて変更します。
[追加] を選択します。
Note
Azure SignalR Service は共有サービスです。 サービス タグ AzureSignalR
またはその関連する IP アドレス プレフィックスを許可することで、他の顧客に属している場合でも他のリソースからのトラフィックを許可します。 エンドポイントに適切な認証を実装していることを確認します。
Azure 関数のアップストリーム エンドポイント
サービス タグベースのルールを構成できます。
または、セキュリティを強化するために共有プライベート エンドポイントを使用することもできます。 共有プライベート エンドポイントは、リソース専用です。 他のリソースからのトラフィックではエンドポイントにアクセスできません。
Key Vault のアクセス
最適なセキュリティを実現するために、共有プライベート エンドポイントをお勧めします。