أمان الشبكة لموارد Azure Event Grid
توضح هذه المقالة كيفية استخدام ميزات الأمان التالية مع Azure Event Grid:
- علامات الخدمة للخروج
- قواعد جدار حماية IP للدخول
- نقاط نهاية خاصة للدخول
علامات الخدمة
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تقوم Microsoft بإدارة بادئات العناوين التي تشملها علامة الخدمة، كما تقوم بتحديث علامة الخدمة تلقائيًا مع تغيير العناوين، ما يقلل من تعقيد التحديثات المتكررة لقواعد أمان الشبكة. لمزيد من المعلومات حول علامات الخدمة، راجع نظرة عامة على علامات الخدمة.
يمكنك استخدام علامات الخدمة لتعريف عناصر التحكم في الوصول إلى الشبكة على مجموعات أمان الشبكة أو Azure Firewall. استخدم علامات الخدمة بدلاً من عناوين IP معينة عند إنشاء قواعد الأمان. من خلال تحديد اسم علامة الخدمة (على سبيل المثال، AzureEventGrid) في حقل المصدر أو الوجهة المناسب لقاعدة ما، يمكنك السماح بحركة المرور للخدمة المقابلة أو رفضها.
| علامة الخدمة | الغرض | هل يمكن استخدام الوارد أو الصادر؟ | هل يمكن أن تكون إقليمية؟ | هل يمكن استخدامها مع جدار Azure Firewall؟ |
|---|---|---|---|---|
| AzureEventGrid | Azure Event Grid. | كلاهما | لا | لا |
جدار حماية IP
تدعم Azure Event Grid عناصر التحكم في الوصول المستندة إلى IP للنشر في الموضوعات والمجالات. باستخدام عناصر التحكم المستندة إلى IP، يمكنك قصر الناشرين على موضوع أو مجال لمجموعة معتمدة فقط من الأجهزة والخدمات السحابية. تكمل هذه الميزة آليات المصادقة التي تدعمها Event Grid.
بشكل افتراضي، يمكن الوصول إلى الموضوع والمجال من شبكة الإنترنت طالما أن الطلب يتوفر مع مصادقة وتفويض صالحين. باستخدام جدار حماية بروتوكول الإنترنت، يمكنك تقييده على مجموعة من عناوين IP أو نطاقات عناوين IP فقط في رمز CIDR (التوجيه بين المجالات دون فئات). يتم رفض الناشرين الذين ينشأون من أي عنوان IP آخر ويتلقون استجابة 403 (ممنوع).
للحصول على إرشادات خطوة بخطوة لتكوين جدار حماية IP للمواضيع والمجالات، راجع تكوين جدار حماية IP.
نقاط النهاية الخاصة
يمكنك استخدام نقاط النهاية الخاصة للسماح بدخول الأحداث مباشرة من شبكتك الافتراضية إلى موضوعاتك ونطاقاتك بأمان عبر رابط خاص دون المرور عبر الإنترنت العام. نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في الشبكة الظاهرية. عند إنشاء نقطة نهاية خاصة لموضوعك أو مجالك، فإنها توفر اتصالا آمنا بين العملاء على شبكتك الظاهرية ومورد Event Grid. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عناوين IP لشبكتك الظاهرية. يستخدم الاتصال بين نقطة النهاية الخاصة وخدمة Event Grid ارتباطاً آمناً خاصاً.
يمكّنك استخدام نقاط النهاية الخاصة لمورد Event Grid من:
- الوصول الآمن إلى موضوعك أو مجالك من شبكة ظاهرية عبر شبكة Microsoft الأساسية بدلا من الإنترنت العام.
- الاتصال بأمان من الشبكات المحلية التي تتصل بالشبكة الظاهرية باستخدام VPN أو Express Routes مع التناظر الخاص.
عند إنشاء نقطة نهاية خاصة لموضوع أو مجال في شبكتك الظاهرية، يتم إرسال طلب موافقة للموافقة إلى مالك المورد. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة هو أيضاً مالك المورد، تتم الموافقة على طلب الموافقة تلقائياً. وبخلاف ذلك، يكون الاتصال في حالة معلقة حتى تتم الموافقة عليه. يمكن للتطبيقات في الشبكة الظاهرية الاتصال بخدمة Event Grid عبر نقطة النهاية الخاصة بسلاسة، باستخدام نفس سلسلة الاتصال وآليات التخويل التي ستستخدمها بخلاف ذلك. يمكن لمالكي الموارد إدارة طلبات الموافقة ونقاط النهاية الخاصة، من خلال علامة التبويب نقاط النهاية الخاصة للمورد في مدخل Azure.
الاتصال بنقاط النهاية الخاصة
يجب على الناشرين على شبكة ظاهرية باستخدام نقطة النهاية الخاصة استخدام نفس سلسلة الاتصال للموضوع أو المجال مثل العملاء المتصلين بنقطة النهاية العامة. توجه دقة نظام أسماء المجالات (DNS) الاتصالات تلقائيا من الشبكة الظاهرية إلى الموضوع أو المجال عبر ارتباط خاص. تنشئ Event Grid منطقة DNS خاصة مرفقة بالشبكة الظاهرية مع التحديث الضروري لنقاط النهاية الخاصة، بشكل افتراضي. ومع ذلك، إذا كنت تستخدم خادم DNS الخاص بك، فقد تحتاج إلى إجراء المزيد من التغييرات على تكوين DNS الخاص بك.
تغييرات DNS لنقاط النهاية الخاصة
عند إنشاء نقطة نهاية خاصة، يتم تحديث سجل DNS CNAME للمورد إلى اسم مستعار في مجال فرعي بالبادئة privatelink. بشكل افتراضي، يتم إنشاء منطقة DNS خاصة تتوافق مع المجال الفرعي للارتباط الخاص.
عند حل الموضوع أو عنوان URL لنقطة نهاية المجال من خارج الشبكة الظاهرية باستخدام نقطة النهاية الخاصة، يتم حلها إلى نقطة النهاية العامة للخدمة. سجلات موارد DNS ل "topicA"، عند حلها من خارج VNet التي تستضيف نقطة النهاية الخاصة، هي:
| Name | نوع | القيمة |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
CNAME | <ملف تعريف مدير نسبة استخدام الشبكة لـ Azure> |
يمكنك رفض أو التحكم في الوصول لعميل خارج الشبكة الظاهرية من خلال نقطة النهاية العامة باستخدام جدار حماية IP.
عند حلها من الشبكة الظاهرية التي تستضيف نقطة النهاية الخاصة، يتم حل الموضوع أو عنوان URL لنقطة نهاية المجال إلى عنوان IP لنقطة النهاية الخاصة. سجلات موارد DNS للموضوع "topicA"، عند حلها من داخل VNet التي تستضيف نقطة النهاية الخاصة، هي:
| Name | نوع | القيمة |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
ش | 10.0.0.5 |
يتيح هذا الأسلوب الوصول إلى الموضوع أو المجال باستخدام نفس سلسلة الاتصال للعملاء على الشبكة الظاهرية التي تستضيف نقاط النهاية الخاصة والعملاء خارج الشبكة الظاهرية.
إذا كنت تستخدم خادم DNS مخصصا على شبكتك، يمكن للعملاء حل اسم المجال المؤهل بالكامل (FQDN) للموضوع أو نقطة نهاية المجال إلى عنوان IP لنقطة النهاية الخاصة. قم بتكوين خادم DNS لتفويض المجال الفرعي للارتباط الخاص بك إلى منطقة DNS الخاصة للشبكة الظاهرية، أو تكوين سجلات A ل مع عنوان IP لنقطة topicOrDomainName.regionName.privatelink.eventgrid.azure.net النهاية الخاصة.
اسم منطقة DNS الموصى به هو privatelink.eventgrid.azure.net.
نقاط النهاية الخاصة والنشر
يصف الجدول التالي الحالات المختلفة لاتصال نقطة النهاية الخاصة والتأثيرات على النشر:
| حالة الاتصال | النشر بنجاح (نعم/لا) |
|---|---|
| موافق عليها | نعم |
| مرفوض | لا |
| معلق | لا |
| غير متصل | لا |
لكي يكون النشر ناجحاً، يجب الموافقة على حالة اتصال نقطة النهاية الخاصة. إذا تم رفض الاتصال، فلا يمكن الموافقة عليه باستخدام مدخل Azure. الاحتمال الوحيد هو حذف الاتصال وإنشاء اتصال جديد بدلاً من ذلك.
الحصص والقيود
هناك حد لعدد قواعد جدار حماية IP واتصالات نقطة النهاية الخاصة لكل موضوع أو مجال. راجع حصص شبكة الأحداث وحدودها.
الخطوات التالية
يمكنك تكوين جدار حماية IP لمورد Event Grid لتقييد الوصول عبر الإنترنت العام من مجموعة محددة فقط من عناوين IP أو نطاقات عناوين IP. للحصول على إرشادات خطوة بخطوة، راجع تكوين جدار حماية IP.
يمكنك تكوين نقاط النهاية الخاصة لتقييد الوصول من الشبكات الافتراضية المحددة فقط. للحصول على إرشادات خطوة بخطوة، راجع تكوين نقاط النهاية الخاصة.
لاستكشاف مشكلات اتصال الشبكة وإصلاحها، راجع استكشاف مشكلات اتصال الشبكة وإصلاحها.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ