Защита исходящего трафика Azure SignalR через общие частные конечные точки

Статья
10/24/2023

При использовании бессерверного режима в Служба Azure SignalR можно создать исходящие подключения частной конечной точки к службе вышестоящий.

Исходящие службы, такие как Веб-приложение Azure и Функции Azure, можно настроить для приема подключений из списка виртуальных сетей и отказа от внешних подключений, исходящих из общедоступной сети. Чтобы связаться с этими конечными точками, можно создать подключение к исходящей частной конечной точке.

Diagram showing architecture of shared private endpoint.

Для этого исходящего метода требуется выполнение следующих условий.

Служба вышестоящий должна быть веб-приложением Azure или функцией Azure.
Служба Azure SignalR не должна находиться на бесплатном уровне.
Веб-приложение Azure или Функция Azure должны иметь определенные номера SKU. См. раздел Использование частных конечных точек для веб-приложения Azure.

В этой статье вы узнаете, как создать общую частную конечную точку с подключением к исходящей частной конечной точке для защиты исходящего трафика к экземпляру функции Azure вышестоящий.

Управление ресурсами общего Приватный канал

Вы создаете частные конечные точки защищенных ресурсов с помощью API Служба SignalR. Эти конечные точки, называемые общими ресурсами приватного канала, позволяют совместно использовать доступ к ресурсу, например функцию Azure, интегрированную с службой Приватный канал Azure. Эти частные конечные точки создаются в среде выполнения Служба SignalR и недоступны вне этой среды.

Необходимые компоненты

Чтобы выполнить действия, описанные в этой статье, потребуется следующие ресурсы:

Группа ресурсов Azure
Экземпляр Служба Azure SignalR (не должен находиться на уровне "Бесплатный")
Экземпляр функции Azure
Примечание.

Примеры в этой статье основаны на следующих допущениях:

Идентификатор ресурса Служба SignalR — /subscriptions/0000000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/contoso-signalr.

Идентификатор ресурса вышестоящий функции Azure : /subscriptions/0000000000-0000-0000-00000-00000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func. В остальных примерах показано, как можно настроить службу contoso-signalr, чтобы ее вышестоящий вызовы функции проходили через частную конечную точку, а не через общедоступную сеть. В примерах можно использовать собственные идентификаторы ресурсов.

Создание общего ресурса приватного канала к функции

Портал Azure
Azure CLI

В портал Azure перейдите к ресурсу Служба SignalR.
Выберите "Сеть" в меню слева.
Выберите вкладку "Закрытый доступ ".
Выберите "Добавить общую частную конечную точку " в разделе "Общие частные конечные точки".

Введите следующие сведения: | Поле | Описание | | ----- | ----------- | | Имя | Имя общей частной конечной точки. | | Тип | Выбор Microsoft.Web/sites | | Подписка | Подписка, содержащая приложение-функцию. | | Ресурс | Введите имя приложения-функции. | | Запрос сообщения | Введите "утвердить" |
Выберите Добавить.

Ресурс общей частной конечной точки будет находиться в состоянии подготовки успешно . Состояние подключения ожидает утверждения на стороне целевого ресурса.

Чтобы создать общий ресурс приватного канала, можно выполнить следующий вызов API:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview --body @create-pe.json

Содержимое файла create-pe.json с текстом запроса к интерфейсу API имеет следующий вид:

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve"
      }
}

Процесс создания исходящей частной конечной точки — это длительно выполняемая (асинхронная) операция. Как и во всех асинхронных операциях Azure, PUT вызов возвращает Azure-AsyncOperation значение заголовка, которое выглядит следующим образом:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Периодически опрашивать этот универсальный код ресурса (URI), чтобы получить состояние операции, вручную запрашивая Azure-AsyncOperationHeader значение,

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Прежде чем перейти к дальнейшим действиям, дождитесь, пока состояние изменится на "Выполнено".

Утверждение подключения частной конечной точки для функции

Важно!

После утверждения подключения к частной конечной точке функция больше не доступна из общедоступной сети. Для доступа к конечной точке функции может потребоваться создать другие частные конечные точки в виртуальной сети.

Портал Azure
Azure CLI

В портал Azure перейдите в приложение-функцию.
Выберите "Сеть" в меню слева.
Выберите Private endpoint connections (Подключения к частной конечной точке).
Выберите частные конечные точки в входящего трафика.
Выберите имя Подключение подключения к частной конечной точке.
Щелкните Утвердить.

Убедитесь, что подключение к частной конечной точке отображается, как показано на следующем снимке экрана. Для обновления состояния может потребоваться несколько минут.

Вывод списка подключений к частной конечной точке.

az network private-endpoint-connection list -n <function-resource-name>  -g <function-resource-group-name> --type 'Microsoft.Web/sites'

Должно быть ожидание подключения к частной конечной точке. Запишите его идентификатор.

[
    {
        "id": "<id>",
        "location": "",
        "name": "",
        "properties": {
            "privateLinkServiceConnectionState": {
                "actionRequired": "None",
                "description": "Please approve",
                "status": "Pending"
           }
        }
    }
]

Утверждение подключения к частной конечной точке.
```
az network private-endpoint-connection approve --id <private-endpoint-connection-id>
```

Запрос состояния ресурса общего приватного канала

Утверждение занимает несколько минут, чтобы распространиться на Служба SignalR. Состояние можно проверка с помощью портал Azure или Azure CLI.

Портал Azure
Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

Команда вернет структуру JSON, в которой состояние подключения отображается как "состояние" в разделе "свойства".

{
      "name": "func-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Web/sites/contoso-func",
        "groupId": "sites",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Если параметр "Состояние подготовки" (properties.provisioningState) ресурса имеет Succeeded значение "состояние Подключение ion" (properties.status), Approvedобщий ресурс приватного канала работает, а Служба SignalR может взаимодействовать через частную конечную точку.

На этом этапе устанавливается частная конечная точка между Служба SignalR и функцией Azure.

Проверка вышестоящий вызовов из частного IP-адреса

После настройки частной конечной точки можно проверить входящие вызовы из частного IP-адреса, проверка вышестоящий X-Forwarded-For заголовка.

Screenshot of the Azure portal, showing incoming requests are from a private IP.

Очистка

Если вы не планируете использовать ресурсы, созданные в этой статье, можно удалить группу ресурсов.

Внимание

При удалении группы ресурсов все ресурсы, содержащиеся в ней, удаляются. Если в указанной группе ресурсов существуют другие ресурсы, кроме созданных для этой статьи, они также будут удалены.

Следующие шаги

Подробнее о частных конечных точках:

Что такое частные конечные точки?

Поделиться через