配置网络访问控制
使用 Azure SignalR 服务,可以根据网络的请求类型和子集来保护和控制对服务终结点的访问级别。 配置网络规则后,只有通过指定的网络集请求数据的应用程序才能访问 SignalR 服务。
SignalR 服务具有可通过 Internet 访问的公共终结点。 你还可以创建用于 Azure SignalR 服务的专用终结点。 专用终结点将 VNet 中的专用 IP 地址分配给 SignalR 服务,并通过专用链接保护 VNet 与 SignalR 服务之间的所有流量。 SignalR 服务网络访问控制提供对公共终结点和专用终结点的访问控制。
或者,你可以选择允许或拒绝对公共终结点和每个专用终结点的特定类型的请求。 例如,可以阻止来自公共终结点的所有服务器连接,并确保它们仅源自特定的VNet。
在网络访问控制规则生效的情况下访问 SignalR 服务的应用程序仍需要在请求中提供适当的授权。
方案 A - 无公共流量
要完全拒绝所有公共流量,请首先将公用网络规则配置为不允许任何请求类型。 然后,可以配置相应的规则,以便为来自特定 VNet 的流量授予访问权限。 借助此配置,可为应用程序生成安全网络边界。
方案 B - 仅来自公共网络的客户端连接
在这种情况下,可以将公用网络规则配置为仅允许来自公用网络的客户端连接。 然后,可以将专用网络规则配置为允许来自特定 VNet 的其他类型的请求。 此配置将从公用网络中隐藏应用服务器,并在应用服务器与 SignalR 服务之间建立安全连接。
管理网络访问控制
可以通过 Azure 门户管理 SignalR 服务的网络访问控制。
转到要保护的 SignalR 服务实例。
在左侧菜单中选择“网络访问控制”。
要编辑默认操作,请切换“允许/拒绝”按钮。
提示
默认操作是当没有任何访问控制规则与请求匹配时服务执行的操作。 例如,如果默认操作为“拒绝”,则将拒绝未明确批准的请求类型。
要编辑公用网络规则,请在“公用网络”下选择允许的请求类型。
要编辑专用终结点网络规则,请在“专用终结点连接”下的每行中选择允许的请求类型。
单击“保存”应用所做的更改。
后续步骤
详细了解 Azure 专用链接。