管理网络访问控制

项目
2025/01/20

使用 Azure Web PubSub，可以根据请求类型和网络子集来保护和管理对服务终结点的访问。配置网络访问控制规则时，只有从指定网络发出请求的应用程序才能访问 Azure Web PubSub 实例。

使用 Azure Web PubSub 服务，可以根据所用网络的请求类型和子集来保护和控制对服务终结点的访问级别。配置网络规则后，只有通过指定网络集请求数据的应用程序才能访问你的 Web PubSub 资源。

显示网络访问控制决策流程图的屏幕截图。

公用网络访问

我们提供单一、统一的开关，以简化公共网络访问的配置。该开关具有以下选项：

已禁用：完全阻止公用网络访问。对于公用网络，将忽略所有其他网络访问控制规则。
启用：允许公共网络访问，该访问进一步受其他网络访问控制规则的监管。

通过门户配置公用网络访问
通过 Bicep 配置公用网络访问

转到要保护的 Azure Web PubSub 实例。
从左侧菜单中选择“网络”。选择“公共访问”选项卡：

显示如何配置公用网络访问的屏幕截图。

选择“已禁用”或“已启用”。
单击“保存”应用所做的更改。

以下模板禁用公用网络访问：

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'chinaeast'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

默认操作

如果没有其他规则匹配，则应用默认操作。

通过门户配置默认操作
通过 Bicep 配置默认操作

转到要保护的 Azure Web PubSub 实例。
在左侧菜单中选择“网络访问控制”。

显示了门户上的默认操作的屏幕截图。

要编辑默认操作，请切换“允许/拒绝”按钮。
单击“保存”应用所做的更改。

以下模板将默认操作设置为 Deny。

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'chinaeast'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

请求类型规则

可以配置规则，以允许或拒绝公共网络和每个专用终结点的指定请求类型。

例如，REST API 调用通常需要高权限。为了增强安全性，可能需要限制其来源。可以配置规则以阻止来自公用网络的所有 REST API 调用，并且仅允许它们源自特定虚拟网络。

如果没有规则匹配，则应用默认操作。

通过门户配置请求类型规则
通过 Bicep 配置请求类型规则

转到要保护的 Azure Web PubSub 实例。
在左侧菜单中选择“网络访问控制”。

显示了门户上的请求类型规则的屏幕截图。

要编辑公用网络规则，请在“公用网络”下选择允许的请求类型。

在门户中为公共网络选择允许的请求类型的屏幕截图。

要编辑专用终结点网络规则，请在“专用终结点连接”下的每行中选择允许的请求类型。

在门户中为专用终结点选择允许的请求类型的屏幕截图。

单击“保存”应用所做的更改。

以下模板拒绝来自公共网络的所有请求，但客户端连接除外。此外，它还仅允许来自特定专用终结点的 REST API 调用和跟踪调用。

可以在 privateEndpointConnections 子资源中检查专用终结点连接的名称。它由系统自动生成。

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'chinaeast'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

IP 规则

IP 规则允许你授予或拒绝对特定公共 Internet IP 地址范围的访问权限。这些规则可用于允许访问某些基于 Internet 的服务和本地网络，并阻止常规 Internet 流量。

存在以下限制：

最多可以配置 30 条规则。
必须使用 CIDR 表示法指定地址范围，例如 16.17.18.0/24。支持 IPv4 和 IPv6 地址。
根据定义的顺序评估 IP 规则。如果没有规则匹配，则应用默认操作。
IP 规则仅适用于公共流量，并且无法阻止来自专用终结点的流量。

通过门户配置 IP 规则
通过 Bicep 配置 IP 规则

转到要保护的 Azure Web PubSub 实例。
从左侧菜单中选择“网络”。选择“访问控制规则”选项卡：
在“IP 规则”部分下编辑列表。
单击“保存”应用所做的更改。

以下模板具有以下效果：

允许来自 123.0.0.0/8 和 2603::/8 的请求。
来自所有其他 IP 范围的请求被拒绝。

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'chinaeast'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

后续步骤

详细了解 Azure 专用链接。

AI 技能盛会

通过