السماح بالوصول إلى مساحات أسماء Azure Event Hubs من نطاقات، أو عناوين IP محددة
بشكل افتراضي، يمكن الوصول إلى مساحات أسماء مراكز الأحداث من الإنترنت طالما أن الطلب يأتي مع مصادقة وتخويل صالحين. باستخدام جدار حماية IP، يمكنك تقييده بشكل أكبر على مجموعة من عناوين IPv4 وIPv6 أو نطاقات العناوين فقط في رمز CIDR (توجيه بين المجالات بدون فئة).
هذه الميزة مفيدة في السيناريوهات التي يجب أن تكون فيها مراكز الأحداث متاحة فقط من مواقع معروفة معينة. تمكنك قواعد جدار الحماية من تكوين القواعد لقبول نسبة استخدام الشبكة التي تنشأ من عناوين IPv4 وIPv6 محددة. على سبيل المثال، إذا كنت تستخدم مراكز الأحداث مع مسار Azure Express، يمكنك إنشاء قاعدة جدار الحماية للسماح بنسبة استخدام الشبكة من عناوين IP للبنية التحتية المحلية فقط.
قواعد جدار حماية IP
يمكنك تحديد قواعد جدار حماية IP على مستوى مساحة اسم مراكز الأحداث. لذلك، تنطبق القواعد على جميع الاتصالات من العملاء الذين يستخدمون أي بروتوكول مدعوم. يتم رفض أي محاولة اتصال من عنوان IP لا يتطابق مع قاعدة IP المسموح بها في مساحة اسم Event Hubs باعتبارها غير مصرح بها. لم يُذكر في الاستجابة قاعدة IP. يتم تطبيق قواعد عامل تصفية IP بالترتيب، وتحدد القاعدة الأولى التي تطابق عنوان IP إجراء القبول أو الرفض.
النقاط الهامة
- هذه الميزة غير مدعمة في المستوى الأساسي.
- يؤدي تشغيل قواعد جدار الحماية لمساحة اسم Event Hubs إلى حظر الطلبات الواردة افتراضيًا، ما لم تنشأ الطلبات من خدمة تعمل من عناوين IP العامة المسموح بها. تتضمن الطلبات المحظورة الطلبات من خدمات Azure الأخرى، من مدخل Microsoft Azure، من خدمات التسجيل والمقاييس، وما إلى ذلك. كاستثناء، يمكنك السماح بالوصول إلى موارد مراكز الأحداث من خدمات موثوق بها معينة حتى عند تمكين تصفية IP. للحصول على قائمة بالخدمات الموثوق بها، راجع خدمات Microsoft الموثوق بها.
- حدد قاعدة جدار حماية IP واحدة على الأقل أو قاعدة شبكة ظاهرية لمساحة الاسم من أجل السماح بنسبة استخدام الشبكة فقط من عناوين IP المحددة أو الشبكة الفرعية لشبكة افتراضية. إذا لم تكن هناك قواعد IP والشبكة الظاهرية، فيمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الوصول).
استخدام مدخل Azure
عند إنشاء مساحة اسم، يمكنك إما السماح للجمهور فقط (من جميع الشبكات) أو الوصول الخاص فقط (فقط عبر نقاط النهاية الخاصة) إلى مساحة الاسم. بمجرد إنشاء مساحة الاسم، يمكنك السماح بالوصول من عناوين IP معينة أو من شبكات ظاهرية معينة (باستخدام نقاط نهاية خدمة الشبكة).
تكوين الوصول العام عند إنشاء مساحة اسم
لتمكين الوصول العام، حدد الوصول العام في صفحة الشبكات لمعالج إنشاء مساحة الاسم.
بعد إنشاء مساحة الاسم، حدد Networking في القائمة اليمنى من صفحة Event Hubs Namespace . ترى أن خيار جميع الشبكات محدد. يمكنك تحديد خيار الشبكات المحددة والسماح بالوصول من عناوين IP معينة أو شبكات ظاهرية معينة. يوفر لك القسم التالي تفاصيل حول تكوين جدار حماية IP لتحديد عناوين IP التي يسمح بالوصول منها.
تكوين جدار حماية IP لمساحة اسم موجودة
يوضح لك هذا القسم كيفية استخدام مدخل Azure لإنشاء قواعد جدار حماية IP لمساحة اسم "محاور الأحداث".
في مدخل Microsoft Azure، انتقل إلى مساحة اسم Event Hubs.
في القائمة اليمنى، حدد خيار Networking ضمن Settings.
في صفحة الشبكات ، للوصول إلى الشبكة العامة، اختر خيار الشبكات المحددة للسماح بالوصول من عناوين IP المحددة فقط.
فيما يلي مزيد من التفاصيل حول الخيارات المتوفرة في صفحة الوصول إلى الشبكة العامة:
مُعطل يعطل هذا الخيار أي وصول عام إلى مساحة الاسم. يمكن الوصول إلى مساحة الاسم فقط من خلال نقاط النهاية الخاصة.
Selected networks. يتيح هذا الخيار وصولاً عاماً إلى مساحة الاسم باستخدام مفتاح وصول من شبكات الاتصال المحددة.
هام
إذا اخترت Selected networks، فأضف قاعدة جدار حماية IP واحدة على الأقل أو شبكة اتصال ظاهرية سيكون لها حق الوصول إلى مساحة الاسم. اختر Disabled إذا كنت تريد تقييد جميع حركات المرور إلى مساحة الاسم هذه عبر نقاط النهاية الخاصة فقط.
All networks (افتراضي). يتيح هذا الخيار الوصول العام من جميع الشبكات باستخدام مفتاح وصول. إذا حددت الخيار All networks، يقبل مركز الحدث الاتصالات من أي عنوان IP (باستخدام مفتاح الوصول). هذا الإعداد مكافئ لقاعدة تقبل نطاق عناوين IP 0.0.0.0/0.
لتقييد الوصول إلى عناوين IP معينة، حدد خيار الشبكات المحددة، ثم اتبع الخطوات التالية:
في المقطع Firewall، حدد خيار Add your client IP address لإعطاء IP العميل الحالي الوصول إلى مساحة الاسم.
بالنسبة لنطاق العنوان، أدخل عناوين أو نطاقات عناوين IPv4 أو IPv6 محددة في رمز CIDR.
هام
عندما تبدأ الخدمة في دعم اتصالات IPv6 في المستقبل ويتحول العملاء تلقائيا إلى استخدام IPv6، سيتعطل عملاؤك إذا كان لديك عناوين IPv4 فقط، وليس عناوين IPv6. لذلك، نوصي بإضافة عناوين IPv6 إلى قائمة عناوين IP المسموح بها الآن بحيث لا ينقطع عملاؤك عندما تتحول الخدمة في النهاية إلى IPv6 الداعم.
حدد ما إذا كنت تريد السماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية. راجع خدمات Trusted Microsoft لمزيد من التفاصيل.
في «toolbar»، حدد «Save» لحفظ الإعدادات. انتظر بضع دقائق حتى يظهر التأكيد في إشعارات البوابة.
إشعار
لتقييد الوصول إلى شبكات ظاهرية معينة، راجع السماح بالوصول من شبكات معينة.
خدمات Microsoft الموثوق بها
عند تمكين إعداد Allow trusted Microsoft services to bypass this firewall، يتم منح الخدمات التالية داخل المستأجر نفسه الوصول إلى موارد "مراكز الأحداث".
| خدمة موثوق بها | سيناريوهات الاستخدام المعتمدة |
|---|---|
| Azure Event Grid | يسمح Azure Event Grid بإرسال الأحداث إلى مراكز الأحداث في مساحة اسم "مراكز الأحداث". تحتاج أيضا إلى القيام بالخطوات التالية:
لمزيد من المعلومات، راجع تسليم الأحداث بهوية مدارة |
| Azure Stream Analytics | يسمح لمهمة Azure Stream Analytics بقراءة البيانات من (الإدخال) أو كتابة البيانات إلى (الإخراج) محاور الأحداث في مساحة اسم مراكز الأحداث. مهم: يجب تكوين مهمة Stream Analytics لاستخدام هوية مدارة للوصول إلى مركز الحدث. لمزيد من المعلومات، راجع استخدام الهويات المدارة للوصول إلى مركز الأحداث من مهمة Azure Stream Analytics (معاينة). |
| Azure IoT Hub | يسمح ل IoT Hub بإرسال رسائل إلى مراكز الأحداث في مساحة اسم مراكز الأحداث. تحتاج أيضا إلى القيام بالخطوات التالية:
|
| إدارة Azure API | تسمح لك خدمة APIM بإرسال الأحداث إلى مركز أحداث في مساحة اسم "مراكز الأحداث".
|
| مراقب Azure (الإعدادات التشخيصي ومجموعات العمل) | يسمح ل Azure Monitor بإرسال معلومات التشخيص وتنبيهات التنبيه إلى مراكز الأحداث في مساحة اسم "مراكز الأحداث". يمكن أن تقرأ Azure Monitor من لوحة الوصل الحدث وكتابة البيانات إلى لوحة الوصل الحدث أيضا. |
| Azure Synapse | يسمح ل Azure Synapse بالاتصال بمركز الأحداث باستخدام الهوية المدارة لمساحة عمل Synapse. أضف دور مرسل بيانات مراكز الأحداث أو المستلم أو المالك إلى الهوية على مساحة اسم مراكز الأحداث. |
| Azure Data Explorer (Kusto) | يسمح ل Azure Data Explorer بتلقي الأحداث من مركز الأحداث باستخدام الهوية المدارة للمجموعة. تحتاج إلى القيام بالخطوات التالية:
|
| Azure IoT Central | يسمح ل IoT Central بتصدير البيانات إلى مراكز الأحداث في مساحة اسم مراكز الأحداث. تحتاج أيضاً إلى القيام بالخطوات التالية:
|
| Azure Health Data Services | يسمح لموصل واجهات برمجة تطبيقات الرعاية الصحية ل IoT استيعاب بيانات الجهاز الطبي من مساحة اسم مراكز الأحداث واستمرار البيانات في خدمة موارد التشغيل التفاعلي للرعاية الصحية السريعة (FHIR®) المكونة. يجب تكوين موصل IoT لاستخدام هوية مدارة للوصول إلى مركز الحدث. لمزيد من المعلومات، راجع بدء استخدام موصل IoT - واجهات برمجة تطبيقات الرعاية الصحية Azure. |
| Azure Digital Twins | يسمح ل Azure Digital Twins بالدخول إلى مراكز الأحداث في مساحة اسم Event Hubs. تحتاج أيضا إلى القيام بالخطوات التالية:
|
يمكن العثور على الخدمات الموثوق بها الأخرى لمراكز أحداث Azure أدناه:
- Azure Arc
- Azure Kubernetes
- التعلم الآلي من Azure
- Microsoft Purview
استخدام قالب Resource Manager
هام
ميزة جدار الحماية غير مدعومة في الطبقة الأساسية.
يتيح قالب Resource Manager التالي إضافة قاعدة عامل تصفية IP إلى مساحة اسم موجودة لـ Event Hubs.
ipMask في القالب هو عنوان IPv4 واحد أو كتلة من عناوين IP في رمز CIDR. على سبيل المثال، في CIDR يمثل الرمز 70.37.104.0/24 عناوين IPv4 256 من 70.37.104.0 إلى 70.37.104.255، مع 24 إشارة إلى عدد من البتات البادئة الكبيرة للنطاق.
إشعار
القيمة الافتراضية لـdefaultAction هي Allow. عند إضافة شبكة ظاهرية أو قواعد جدران الحماية، تأكد من تعيين defaultAction على Deny.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespace_name": {
"defaultValue": "contosoehub1333",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.EventHub/namespaces",
"apiVersion": "2022-01-01-preview",
"name": "[parameters('namespace_name')]",
"location": "East US",
"sku": {
"name": "Standard",
"tier": "Standard",
"capacity": 1
},
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": true,
"isAutoInflateEnabled": false,
"maximumThroughputUnits": 0,
"kafkaEnabled": true
}
},
{
"type": "Microsoft.EventHub/namespaces/authorizationrules",
"apiVersion": "2022-01-01-preview",
"name": "[concat(parameters('namespace_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.EventHub/namespaces/networkRuleSets",
"apiVersion": "2022-01-01-preview",
"name": "[concat(parameters('namespace_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules": [],
"ipRules": [
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
},
{
"ipMask": "172.72.157.204",
"action": "Allow"
}
]
}
}
]
}
لتوزيع القالب، اتبع الإرشادات الخاصة بإدارة موارد Azure.
هام
إذا لم يكن هناك أي قواعد IP وشبكة ظاهرية، فإن كافة تدفقات نسبة استخدام الشبكة إلى مساحة الاسم حتى إذا قمت بتعيين defaultAction إلى deny. يمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الوصول). حدد قاعدة IP واحدة على الأقل أو قاعدة شبكة ظاهرية لمساحة الاسم للسماح بنسبة استخدام الشبكة فقط من عناوين IP المحددة أو الشبكة الفرعية لشبكة ظاهرية.
استخدام Azure CLI
استخدم az eventhubs namespace network-rule-set أوامر الإضافة والسرد والتحديث والإزالة لإدارة قواعد جدار حماية IP لمساحة اسم مراكز الأحداث.
استخدام Azure PowerShell
Set-AzEventHubNetworkRuleSet استخدم cmdlet لإضافة قاعدة جدار حماية IP واحدة أو أكثر. مثال من المقالة:
$ipRule1 = New-AzEventHubIPRuleConfig -IPMask 2.2.2.2 -Action Allow
$ipRule2 = New-AzEventHubIPRuleConfig -IPMask 3.3.3.3 -Action Allow
$virtualNetworkRule1 = New-AzEventHubVirtualNetworkRuleConfig -SubnetId '/subscriptions/subscriptionId/resourcegroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVirtualNetwork/subnets/default'
$networkRuleSet = Get-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace
$networkRuleSet.IPRule += $ipRule1
$networkRuleSet.IPRule += $ipRule2
$networkRuleSet.VirtualNetworkRule += $virtualNetworkRule1
Set-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace -IPRule $ipRule1,$ipRule2 -VirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2,$virtualNetworkRule3
الإجراء الافتراضي والوصول إلى الشبكة العامة
واجهة برمجة تطبيقات REST
القيمة الافتراضية للخاصية defaultAction كانت Deny للإصدار الأولي من واجهة برمجة التطبيقات (API) 2021-01-01 والإصدارات الأقدم. ومع ذلك، لا يتم فرض قاعدة الرفض إلا إذا قمت بتعيين عوامل تصفية IP أو قواعد الشبكة الظاهرية. أي، إذا لم يكن لديك أي عوامل تصفية IP أو قواعد الشبكة الظاهرية، يتم التعامل معها على أنها Allow.
بدءاً من الإصدار الأولي من واجهة برمجة التطبيقات (API) 2021-06-01 - وما بعده، فإن القيمة الافتراضية للخاصية defaultAction هي Allow، لتعكس فرض جانب الخدمة بدقة. إذا تم تعيين الإجراء الافتراضي إلى Deny، فسيتم فرض عوامل تصفية IP وقواعد الشبكة الظاهرية. إذا تم تعيين الإجراء الافتراضي إلى Allow، فلن يتم فرض عوامل تصفية IP وقواعد الشبكة الظاهرية. تتذكر الخدمة القواعد عند إيقاف تشغيلها ثم إعادة تشغيلها مرة أخرى.
يقدم الإصدار الأولي من (API) 2021-06-01 - وما بعده أيضاً خاصية جديدة تسمى publicNetworkAccess. في حالة التعيين على Disabled، فإن العمليات تقتصر على الروابط الخاصة فقط. في حالة التعيين على Enabled، فسيتم السماح بالعمليات عبر الإنترنت العام.
لمزيد من المعلومات عن هذه الخصائص، راجع Create or Update Network Rule Set وCreate or Update Private Endpoint Connections.
إشعار
لا يتجاوز أي من الإعدادات أعلاه التحقق من صحة المطالبات عبر SAS أو مصادقة Microsoft Entra. يُشغَّل فحص المصادقة دائماً بعد أن تتحقق الخدمة من صحة فحوصات الشبكة المُكونة بواسطة إعدادات defaultAction، publicNetworkAccess، privateEndpointConnections.
مدخل Azure
يستخدم مدخل Microsoft Azure دائماً أحدث إصدار من API للحصول على الخصائص وتعيينها. إذا قمت بتكوين مساحة الاسم الخاصة بك باستخدام 2021-01-01-preview والإصدارات السابقة مع defaultAction تعيين إلى Deny، وتحديد صفر عوامل تصفية IP وقواعد الشبكة الظاهرية، لكان المدخل قد تحقق مسبقا من الشبكات المحددة على صفحة الشبكات لمساحة الاسم الخاصة بك. الآن، يتحقق من خيار All networks.
الخطوات التالية
لتقييد الوصول إلى "مراكز الأحداث" على شبكات Azure الظاهرية، راجع الارتباط التالي: