为 Azure Web PubSub 服务配置网络访问控制

使用 Azure Web PubSub 服务，可以根据所用网络的请求类型和子集来保护和控制对服务终结点的访问级别。 配置网络规则后，只有通过指定的网络集请求数据的应用程序才能访问 Azure Web PubSub 服务。

Azure Web PubSub 服务具有可通过 Internet 访问的公共终结点。 你还可以创建用于 Azure Web PubSub 服务的专用终结点。 专用终结点将 VNet 中的专用 IP 地址分配给 Azure Web PubSub 服务，并通过专用链接保护 VNet 与 Azure Web PubSub 服务之间的所有流量。 Azure Web PubSub 服务网络访问控制提供对公共终结点和专用终结点的访问控制。

或者，你可以选择允许或拒绝对公共终结点和每个专用终结点的特定类型的请求。

在网络访问控制规则生效的情况下访问 Azure Web PubSub 服务的应用程序仍需要在请求中进行适当的授权。

方案 A - 无公共流量

要完全拒绝所有公共流量，应该首先将公用网络规则配置为不允许任何请求类型。 然后，应配置允许访问特定 vnet 流量的规则。 借助此配置，可为应用程序生成安全网络边界。

方案 B - 仅来自公共网络的客户端连接

在这种情况下，可以将公用网络规则配置为仅允许来自公用网络的客户端连接。 然后，可以将专用网络规则配置为允许来自特定 VNet 的其他类型的请求。 此配置将从公用网络中隐藏应用服务器，并在应用服务器与 Azure Web PubSub 服务之间建立安全连接。

管理网络访问控制

可以通过 Azure 门户管理 Azure Web PubSub 服务的网络访问控制。

Azure 门户

1. 转到要保护的 Azure Web PubSub 服务。

2. 网络访问控制 > 访问控制规则。

3. 要编辑默认操作，请切换“允许/拒绝”按钮。

   提示

   默认操作是在没有匹配的 ACL 规则时执行的操作。 例如，如果默认操作为“拒绝”，则将拒绝以下未明确批准的请求类型。

4. 要编辑公用网络规则，请在“公用网络”下选择允许的请求类型。

5. 要编辑专用终结点网络规则，请在“专用终结点连接”下的每行中选择允许的请求类型。

6. 单击“保存”应用所做的更改。