使用服务标记进行访问控制

可以使用服务标记标识 Azure Web PubSub 流量。 服务标记表示一组 IP 地址前缀。 Web PubSub 管理名为 AzureWebPubSub 的服务标记,适用于入站和出站流量。

可以使用服务标记来配置网络安全组。 或者,可以使用服务标记发现 API 查询 IP 地址前缀。

出站流量

Web PubSub 资源的终结点保证在服务标记 AzureWebPubSub 的 IP 范围内。

从虚拟网络访问 Web PubSub 资源

可以添加新的出站网络安全规则,以允许从你的网络到 Web PubSub 的出站流量。

  1. 在门户中,转到网络安全组。

  2. 在左侧菜单中,选择“出站安全规则”。

  3. 选择 添加

  4. 选择“目标”,然后选择“服务标记”。

  5. 选择“目标服务标记”,然后选择“AzureWebPubSub”。

  6. 对于“目标端口范围”,输入“443”。

    显示如何创建出站安全规则的屏幕截图。

  7. 根据需要更新其他字段,然后选择“添加”。

入站流量

Azure Web PubSub 可以使用服务标记生成发到你的资源的网络流量。 流量源保证在 AzureWebPubSub 服务标记定义的 IP 范围内。

如果满足以下条件,则可以使用服务标记来控制对 Web PubSub 资源的访问:

虚拟网络中的事件处理程序终结点

你可以将网络安全组配置为允许向虚拟网络发送入站流量。

  1. 在 Azure 门户中,转到网络安全组。

  2. 从左侧菜单中,选择“入站安全规则”

  3. 选择 添加

  4. 选择“源”,然后选择“服务标记”。

  5. 选择“源服务标记”,然后选择“AzureWebPubSub”。

  6. 对于“源端口范围”,输入“*”。

    显示用于创建入站安全规则的对话的屏幕截图。

  7. 根据需要更新其他设置。

  8. 选择 添加

注意

Azure Web PubSub 是一项共享服务。 通过允许 AzureWebPubSub 服务标记或其关联的 IP 地址前缀,你还可以允许来自其他资源的流量,即使它们属于其他客户也是如此。 请确保在你的终结点上实现适当的身份验证。

Azure Functions 的事件处理程序终结点

对于 Azure Functions 应用,可以使用基于服务标记的规则安全地管理事件处理程序终结点。

或者,可以使用共享专用终结点以提高安全性。 共享专用终结点专用于你的资源。 来自其他资源的流量无法访问终结点。

Azure 事件中心和 Azure Key Vault 访问

对于 Azure 事件中心和 Azure Key Vault 资源,建议使用共享专用终结点来帮助保持最高级别的安全性。