管理网络访问控制
使用 Azure Web PubSub 服务,可以根据所用网络的请求类型和子集来保护和控制对服务终结点的访问级别。 配置网络规则后,只有通过指定网络集请求数据的应用程序才能访问你的 Web PubSub 资源。
Azure Web PubSub 服务具有可通过 Internet 访问的公共终结点。 你也可以为 Web PubSub 资源创建专用终结点。 专用终结点会将虚拟网络中的专用 IP 地址分配给 Web PubSub 资源。 它有助于通过专用链接保护虚拟网络和 Web PubSub 资源之间的流量。 Web PubSub 网络访问控制提供对公共终结点和专用终结点的访问控制。
或者,你可以选择允许或拒绝对公共终结点和每个专用终结点的特定类型的请求。
在网络访问控制规则生效的情况下访问 Web PubSub 资源的应用程序仍需要在请求中获取适当的授权。
以下部分介绍用于控制对 Web PubSub 资源的访问的两种方式:
- 拒绝源自公共终结点的所有请求。
- 仅允许来自公用网络的客户端连接。
拒绝所有公共流量
要完全拒绝所有公共流量,请首先将公用网络规则配置为不允许任何请求类型。 然后,应该配置相应的规则,以便向来自特定虚拟网络的流量授予访问权限。 借助此配置,可为应用程序生成安全网络边界。
仅允许来自公用网络的客户端连接
在这种情况下,可以将公用网络规则配置为仅允许来自公用网络的客户端连接。 然后,你可以将专用网络规则配置为允许来自特定虚拟网络的其他类型的请求。 此配置会从公用网络中隐藏你的应用服务器,并在应用服务器与 Azure Web PubSub 服务之间建立安全连接。
在 Azure 门户中管理网络访问控制
你可以通过 Azure 门户管理 Azure Web PubSub 服务的网络访问控制。
在 Azure 门户中,转到要保护的 Azure Web PubSub 服务。
在左侧菜单上的“设置”下,选择“网络访问控制”。
若要编辑默认操作,请选择“默认操作”。
提示
默认操作是在没有匹配的访问控制列表 (ACL) 规则时执行的操作。 例如,如果默认操作为“拒绝”,则将拒绝未明确批准的请求类型。
若要编辑公用网络规则,请在“公用网络”下,选择要允许的请求类型。
若要编辑专用终结点网络规则,请在“专用终结点连接”下的每行中选择允许的请求类型。
单击“保存”应用所做的更改。