可以使用服务标记标识 Azure Web PubSub 流量。 服务标记表示一组 IP 地址前缀。 Web PubSub 管理名为 AzureWebPubSub 的服务标记,适用于入站和出站流量。
可以使用服务标记来配置网络安全组。 或者,可以使用服务标记发现 API 查询 IP 地址前缀。
Web PubSub 资源的终结点保证在服务标记 AzureWebPubSub 的 IP 范围内。
可以添加新的出站网络安全规则,以允许从你的网络到 Web PubSub 的出站流量。
在门户中,转到网络安全组。
在左侧菜单中,选择“出站安全规则”。
选择 添加 。
选择“目标”,然后选择“服务标记”。
选择“目标服务标记”,然后选择“AzureWebPubSub”。
对于“目标端口范围”,输入“443”。
根据需要更新其他字段,然后选择“添加”。
Azure Web PubSub 可以使用服务标记生成发到你的资源的网络流量。 流量源保证在 AzureWebPubSub 服务标记定义的 IP 范围内。
如果满足以下条件,则可以使用服务标记来控制对 Web PubSub 资源的访问:
- 使用事件处理程序。
- 使用事件侦听器。
- 使用以下位置的 Key Vault 机密引用:
你可以将网络安全组配置为允许向虚拟网络发送入站流量。
在 Azure 门户中,转到网络安全组。
从左侧菜单中,选择“入站安全规则”。
选择 添加 。
选择“源”,然后选择“服务标记”。
选择“源服务标记”,然后选择“AzureWebPubSub”。
对于“源端口范围”,输入“*”。
根据需要更新其他设置。
选择 添加 。
注意
Azure Web PubSub 是一项共享服务。 通过允许 AzureWebPubSub 服务标记或其关联的 IP 地址前缀,你还可以允许来自其他资源的流量,即使它们属于其他客户也是如此。 请确保在你的终结点上实现适当的身份验证。
对于 Azure Functions 应用,可以使用基于服务标记的规则安全地管理事件处理程序终结点。
或者,可以使用共享专用终结点以提高安全性。 共享专用终结点专用于你的资源。 来自其他资源的流量无法访问终结点。
对于 Azure 事件中心和 Azure Key Vault 资源,建议使用共享专用终结点来帮助保持最高级别的安全性。