Ağ erişim denetimini yönetme

Azure Web PubSub, istek türlerine ve ağ alt kümelerine göre hizmet uç noktanızın güvenliğini sağlamanızı ve erişimi yönetmenizi sağlar. Ağ erişim denetimi kurallarını yapılandırdığınızda yalnızca belirtilen ağlardan istekte bulunan uygulamalar Azure Web PubSub örneğine erişebilir.

Azure Web PubSub'ı, kullanılan ağların istek türüne ve alt kümesine göre hizmet uç noktanızın erişim düzeyini güvenli ve denetimli olarak yapılandırabilirsiniz. Ağ kuralları yapılandırıldığında, yalnızca belirtilen ağ kümesi üzerinden veri isteyen uygulamalar Web PubSub kaynağınıza erişebilir.

Genel ağ erişimi

Genel ağ erişiminin yapılandırmasını basitleştirmek için tek, birleşik bir anahtar sunuyoruz. Anahtarda aşağıdaki seçenekler bulunur:

• Devre dışı: Genel ağ erişimini tamamen engeller. Genel ağlar için diğer tüm ağ erişim denetimi kuralları yoksayılır.
• Etkin: Ek ağ erişim denetimi kuralları tarafından daha fazla düzenlenen genel ağ erişimine izin verir.

Portal aracılığıyla genel ağ erişimini yapılandırma

1. Güvenliğini sağlamak istediğiniz Azure Web PubSub örneğine gidin.
2. Sol taraftaki menüden Ağ'ı seçin. Genel erişim sekmesini seçin:

1. Devre Dışı veya Etkin'i seçin.

2. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

bicep aracılığıyla genel ağ erişimini yapılandırma

Aşağıdaki şablon genel ağ erişimini devre dışı bırakır:

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Varsayılan eylem

Varsayılan eylem, başka bir kural eşleşmediğinde uygulanır.

Portal aracılığıyla varsayılan eylemi yapılandırma

1. Güvenliğini sağlamak istediğiniz Azure Web PubSub örneğine gidin.
2. Sol taraftaki menüden Ağ erişim denetimi'ni seçin.

1. Varsayılan eylemi düzenlemek için İzin Ver/Reddet düğmesini değiştirin.
2. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

Bicep aracılığıyla varsayılan eylemi yapılandırma

Aşağıdaki şablon varsayılan eylemi olarak Denyayarlar.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

İstek türü kuralları

Kuralları, hem genel ağ hem de her özel uç nokta için belirtilen istek türlerine izin verecek veya reddedecek şekilde yapılandırabilirsiniz.

Örneğin REST API çağrıları genellikle yüksek ayrıcalıklıdır. Güvenliği artırmak için kaynağını kısıtlamak isteyebilirsiniz. Kuralları, genel ağdan gelen tüm REST API çağrılarını engelleyecek ve yalnızca belirli bir sanal ağdan geldiğine izin verecek şekilde yapılandırabilirsiniz.

Hiçbir kural eşleşmiyorsa, varsayılan eylem uygulanır.

Portal aracılığıyla istek türü kurallarını yapılandırma

1. Güvenliğini sağlamak istediğiniz Azure Web PubSub örneğine gidin.
2. Sol taraftaki menüden Ağ erişim denetimi'ni seçin.

1. Genel ağ kuralını düzenlemek için Genel ağ altında izin verilen istek türlerini seçin.

1. Özel uç nokta ağ kurallarını düzenlemek için Özel uç nokta bağlantıları altındaki her satırda izin verilen istek türlerini seçin.

1. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

bicep aracılığıyla istek türü kurallarını yapılandırma

Aşağıdaki şablon, İstemci Bağlantıları dışında genel ağdan gelen tüm istekleri reddeder. Ayrıca yalnızca REST API çağrılarına ve belirli bir özel uç noktadan izleme çağrılarına izin verir.

Özel uç nokta bağlantısının adı alt kaynakta privateEndpointConnections incelenebilir. Sistem tarafından otomatik olarak oluşturulur.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

IP kuralları

IP kuralları, belirli genel İnternet IP adresi aralıklarına erişim vermenizi veya erişimi reddetmenizi sağlar. Bu kurallar, belirli internet tabanlı hizmetlere ve şirket içi ağlara erişim izni vermek veya genel İnternet trafiğini engellemek için kullanılabilir.

Aşağıdaki kısıtlamalar geçerlidir:

• En fazla 30 kural yapılandırabilirsiniz.
• Adres aralıkları gibi 16.17.18.0/24CIDR gösterimi kullanılarak belirtilmelidir. Hem IPv4 hem de IPv6 adresleri desteklenir.
• IP kuralları tanımlanma sırasına göre değerlendirilir. Hiçbir kural eşleşmiyorsa, varsayılan eylem uygulanır.
• IP kuralları yalnızca genel trafik için geçerlidir ve özel uç noktalardan gelen trafiği engelleyemez.

Portal aracılığıyla IP kurallarını yapılandırma

1. Güvenliğini sağlamak istediğiniz Azure Web PubSub örneğine gidin.

2. Sol taraftaki menüden Ağ'ı seçin. Erişim denetimi kuralları sekmesini seçin:

   

3. LISTEYI IP kuralları bölümünde düzenleyin.

4. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

bicep aracılığıyla IP kurallarını yapılandırma

Aşağıdaki şablon şu etkilere sahiptir:

• ve 2603::/8 isteklerine 123.0.0.0/8 izin verilir.
• Diğer tüm IP aralıklarından gelen istekler reddedilir.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Sonraki adımlar

Azure Özel Bağlantı hakkında bilgi edinin.