السماح بالوصول إلى مساحات أسماء Azure Event Hubs من شبكات ظاهرية محددة
يتيح تكامل مراكز الأحداث مع نقاط تقديم خدمة الشبكة الظاهرية (VNet) الوصول الآمن إلى قدرات المراسلة من أحمال العمل مثل الأجهزة الظاهرية المرتبطة بالشبكات الظاهرية، مع تأمين مسار نسبة استخدام الشبكة على كلا الطرفين.
بمجرد تكوينها للربط بنقطة نهاية خدمة شبكة فرعية افتراضية واحدة على الأقل، لم تعد مساحة اسم مراكز الأحداث تقبل نسبة استخدام الشبكة من أي مكان ولكن الشبكات الفرعية المصرح بها في الشبكات الافتراضية. من منظور الشبكة الافتراضية، يؤدي ربط مساحة اسم مراكز الأحداث بنقطة نهاية الخدمة إلى تكوين نفق شبكة معزول من الشبكة الفرعية للشبكة الظاهرية إلى خدمة المراسلة.
والنتيجة هي علاقة خاصة ومعزولة بين أحمال العمل المرتبطة بالشبكة الفرعية ومساحة اسم مراكز الأحداث المعنية، على الرغم من عنوان الشبكة الملاحظ لنقطة نهاية خدمة المراسلة في نطاق IP عام. هناك استثناء لهذا السلوك. تمكين نقطة تقديم الخدمة بشكل افتراضي، تمكين denyall القاعدة في جدار حماية IP المقترن بالشبكة الظاهرية. يمكنك إضافة عناوين IP معينة في جدار حماية IP لتمكين الوصول إلى نقطة النهاية العامة بمركز الأحداث.
النقاط الهامة
- هذه الميزة غير مدعمة في المستوى الأساسي.
- يؤدي تمكين الشبكات الظاهرية لمساحة اسم «مراكز الأحداث» إلى حظر الطلبات الواردة افتراضيًا، ما لم تنشأ الطلبات من خدمة تعمل من الشبكات الظاهرية المسموح بها. تتضمن الطلبات المحظورة الطلبات الواردة من خدمات Azure الأخرى، ومن مدخل Azure، ومن خدمات التسجيل والقياسات، وما إلى ذلك. وكاستثناء، يمكنك السماح بالوصول إلى موارد «مراكز الأحداث» من بعض الخدمات الموثوقة حتى عند تمكين الشبكات الظاهرية. للحصول على قائمة بالخدمات الموثوقة، راجع الخدمات الموثوقة.
- حدد قاعدة IP واحدة على الأقل أو قاعدة شبكة ظاهرية لمساحة الاسم للسماح بنسبة استخدام الشبكة فقط من عناوين IP المحددة أو الشبكة الفرعية لشبكة ظاهرية. إذا لم تكن هناك قواعد IP والشبكة الظاهرية، فيمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الوصول).
سيناريوهات الأمان المتقدمة التي مكّنها تكامل الشبكة الظاهرية
الحلول التي تتطلب أمانًا محكمًا ومجزئًا، وحيث توفر الشبكات الفرعية للشبكة الظاهرية التجزئة بين الخدمات المجزأة، لا تزال بحاجة إلى مسارات اتصال بين الخدمات الموجودة في تلك الحجرات.
أي مسار IP فوري بين الحجرات، بما في ذلك تلك التي تحمل HTTPS عبر TCP/IP، يحمل خطر استغلال نقاط الضعف من طبقة الشبكة وما فوقها. توفر خدمات المراسلة مسارات اتصال معزولة، حيث تتم كتابة الرسائل حتى على القرص أثناء انتقالها بين الأطراف. يمكن لأحمال العمل في شبكتين ظاهريتين متميزتين مرتبطتين بمثيل "مراكز الأحداث" نفسه الاتصال بكفاءة وموثوقية عبر الرسائل، بينما يتم الاحتفاظ بسلامة حدود عزل الشبكة المعنية.
هذا يعني أن حلول السحابة الحساسة للأمان لا تحصل فقط على إمكانية الوصول إلى قدرات المراسلة غير المتزامنة الموثوقة والقابلة للتطوير والرائدة في صناعة Azure، بل يمكنها الآن استخدام المراسلة لإنشاء مسارات اتصال بين حجرات الحلول الآمنة التي تكون بطبيعتها أكثر أمانًا مما يمكن تحقيقه مع أي وضع الاتصال من نظير إلى نظير، بما في ذلك HTTPS وبروتوكولات مأخذ توصيل بروتوكول أمان طبقة النقل الأخرى.
ربط محاور الأحداث بالشبكات الظاهرية
قواعد الشبكة الظاهرية هي ميزة أمان جدار الحماية التي تتحكم في ما إذا كانت مساحة اسم مراكز الأحداث تقبل الاتصالات من شبكة فرعية خاصة بالشبكة الظاهرية.
ربط مساحة اسم مراكز الأحداث إلى شبكة اتصال ظاهرية عملية من خطوتين. تحتاج أولا إلى إنشاء نقطة نهاية خدمة شبكة ظاهرية على الشبكة الفرعية لشبكة ظاهرية وتمكينها ل Microsoft.EventHub كما هو موضح في مقالة نظرة عامة على نقطة تقديم الخدمة. بمجرد إضافة نقطة تقديم الخدمة، يمكنك ربط مساحة اسم "مراكز الأحداث" به من خلال قاعدة الشبكة الظاهرية.
قاعدة الشبكة الظاهرية عبارة عن ارتباط لمساحة اسم مراكز الأحداث بشبكة فرعية للشبكة الافتراضية. أثناء وجود القاعدة، يتم منح كافة أحمال العمل المرتبطة بالشبكة الفرعية حق الوصول إلى مساحة اسم "مراكز الأحداث". لا تقوم مراكز الأحداث نفسها بتأسيس اتصالات صادرة، ولا تحتاج إلى الوصول، وبالتالي لا يتم منحها مطلقًا حق الوصول إلى شبكتك الفرعية من خلال تمكين هذه القاعدة.
استخدام مدخل Azure
عند إنشاء مساحة اسم، يمكنك إما السماح للجمهور فقط (من جميع الشبكات) أو الوصول الخاص فقط (فقط عبر نقاط النهاية الخاصة) إلى مساحة الاسم. بمجرد إنشاء مساحة الاسم، يمكنك السماح بالوصول من عناوين IP معينة أو من شبكات ظاهرية معينة (باستخدام نقاط نهاية خدمة الشبكة).
تكوين الوصول العام عند إنشاء مساحة اسم
لتمكين الوصول العام، حدد الوصول العام في صفحة الشبكات لمعالج إنشاء مساحة الاسم.
بعد إنشاء مساحة الاسم، حدد Networking في القائمة اليمنى من صفحة Service Bus Namespace . ترى أن خيار جميع الشبكات محدد. يمكنك تحديد خيار الشبكات المحددة والسماح بالوصول من عناوين IP معينة أو شبكات ظاهرية معينة. يوفر لك القسم التالي تفاصيل حول تحديد الشبكات التي يسمح بالوصول منها.
تكوين الشبكات المحددة لمساحة اسم موجودة
يوضح هذا القسم كيفية استخدام مدخل Microsoft Azure لإضافة نقطة تقديم خدمة شبكة ظاهرية. للحد من الوصول، تحتاج إلى دمج نقطة تقديم خدمة الشبكة الظاهرية لمساحة اسم مراكز الأحداث هذه.
في مدخل Microsoft Azure، انتقل إلى مساحة اسم Event Hubs.
في القائمة اليمنى، حدد خيار Networking ضمن Settings.
في صفحة الشبكة، للوصول إلى الشبكة العامة، يمكنك تعيين أحد الخيارات الثلاثة التالية. اختر خيار الشبكات المحددة للسماح بالوصول من شبكات ظاهرية محددة فقط.
فيما يلي مزيد من التفاصيل حول الخيارات المتوفرة في صفحة الوصول إلى الشبكة العامة:
مُعطل يعطل هذا الخيار أي وصول عام إلى مساحة الاسم. يمكن الوصول إلى مساحة الاسم فقط من خلال نقاط النهاية الخاصة.
Selected networks. يتيح هذا الخيار وصولاً عاماً إلى مساحة الاسم باستخدام مفتاح وصول من شبكات الاتصال المحددة.
هام
إذا اخترت Selected networks، فأضف قاعدة جدار حماية IP واحدة على الأقل أو شبكة اتصال ظاهرية سيكون لها حق الوصول إلى مساحة الاسم. اختر Disabled إذا كنت تريد تقييد جميع حركات المرور إلى مساحة الاسم هذه عبر نقاط النهاية الخاصة فقط.
All networks (افتراضي). يتيح هذا الخيار الوصول العام من جميع الشبكات باستخدام مفتاح وصول. إذا حددت الخيار All networks، يقبل مركز الحدث الاتصالات من أي عنوان IP (باستخدام مفتاح الوصول). هذا الإعداد مكافئ لقاعدة تقبل نطاق عناوين IP 0.0.0.0/0.
لتقييد الوصول إلى شبكات معينة، اختر الخيار الشبكات المحددة في أعلى الصفحة إذا لم يكن محدداً بالفعل.
في قسم الشبكات الظاهرية في الصفحة، حدد +إضافة شبكة ظاهرية موجودة*. حدد + إنشاء شبكة ظاهرية جديدة إذا كنت تريد إنشاء شبكة ظاهرية جديدة.
هام
إذا اخترت Selected networks، فأضف قاعدة جدار حماية IP واحدة على الأقل أو شبكة اتصال ظاهرية سيكون لها حق الوصول إلى مساحة الاسم. اختر Disabled إذا كنت تريد تقييد جميع حركات المرور إلى مساحة الاسم هذه عبر نقاط النهاية الخاصة فقط.
حدد الشبكة الظاهرية من قائمة الشبكات الظاهرية، ثم اختر subNET. يجب تمكين نقطة تقديم الخدمة قبل إضافة الشبكة الظاهرية إلى القائمة. إذا لم يتم تمكين نقطة نهاية الخدمة، يطالبك المدخل بتمكينها.
يجب أن تشاهد رسالة النجاح التالية بعد تمكين نقطة تقديم الخدمة الشبكة الفرعية لـ Microsoft.EventHub. حدد Add أسفل الصفحة لإضافة الشبكة.
إشعار
إذا لم تتمكن من تمكين نقطة تقديم الخدمة، فقد تتجاهل نقطة تقديم خدمة الشبكة الظاهرية المفقودة باستخدام قالب إدارة الموارد. هذه الوظيفة غير متاحة على المدخل.
حدد ما إذا كنت تريد السماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية. راجع خدمات Trusted Microsoft لمزيد من التفاصيل.
في «toolbar»، حدد «Save» لحفظ الإعدادات. انتظر بضع دقائق حتى يظهر التأكيد في إشعارات البوابة.
إشعار
لتقييد الوصول إلى نطاقات أو عناوين IP محددة، راجع السماح بالوصول من عناوين IP أو نطاقات محددة.
خدمات Microsoft الموثوق بها
عند تمكين إعداد Allow trusted Microsoft services to bypass this firewall، يتم منح الخدمات التالية داخل المستأجر نفسه الوصول إلى موارد "مراكز الأحداث".
| خدمة موثوق بها | سيناريوهات الاستخدام المعتمدة |
|---|---|
| Azure Event Grid | يسمح Azure Event Grid بإرسال الأحداث إلى مراكز الأحداث في مساحة اسم "مراكز الأحداث". تحتاج أيضا إلى القيام بالخطوات التالية:
لمزيد من المعلومات، راجع تسليم الأحداث بهوية مدارة |
| Azure Stream Analytics | يسمح لمهمة Azure Stream Analytics بقراءة البيانات من (الإدخال) أو كتابة البيانات إلى (الإخراج) محاور الأحداث في مساحة اسم مراكز الأحداث. مهم: يجب تكوين مهمة Stream Analytics لاستخدام هوية مدارة للوصول إلى مركز الحدث. لمزيد من المعلومات، راجع استخدام الهويات المدارة للوصول إلى مركز الأحداث من مهمة Azure Stream Analytics (معاينة). |
| Azure IoT Hub | يسمح ل IoT Hub بإرسال رسائل إلى مراكز الأحداث في مساحة اسم مراكز الأحداث. تحتاج أيضا إلى القيام بالخطوات التالية:
|
| إدارة Azure API | تسمح لك خدمة APIM بإرسال الأحداث إلى مركز أحداث في مساحة اسم "مراكز الأحداث".
|
| مراقب Azure (الإعدادات التشخيصي ومجموعات العمل) | يسمح ل Azure Monitor بإرسال معلومات التشخيص وتنبيهات التنبيه إلى مراكز الأحداث في مساحة اسم "مراكز الأحداث". يمكن أن تقرأ Azure Monitor من لوحة الوصل الحدث وكتابة البيانات إلى لوحة الوصل الحدث أيضا. |
| Azure Synapse | يسمح ل Azure Synapse بالاتصال بمركز الأحداث باستخدام الهوية المدارة لمساحة عمل Synapse. أضف دور مرسل بيانات مراكز الأحداث أو المستلم أو المالك إلى الهوية على مساحة اسم مراكز الأحداث. |
| Azure Data Explorer (Kusto) | يسمح ل Azure Data Explorer بتلقي الأحداث من مركز الأحداث باستخدام الهوية المدارة للمجموعة. تحتاج إلى القيام بالخطوات التالية:
|
| Azure IoT Central | يسمح ل IoT Central بتصدير البيانات إلى مراكز الأحداث في مساحة اسم مراكز الأحداث. تحتاج أيضاً إلى القيام بالخطوات التالية:
|
| Azure Health Data Services | يسمح لموصل واجهات برمجة تطبيقات الرعاية الصحية ل IoT استيعاب بيانات الجهاز الطبي من مساحة اسم مراكز الأحداث واستمرار البيانات في خدمة موارد التشغيل التفاعلي للرعاية الصحية السريعة (FHIR®) المكونة. يجب تكوين موصل IoT لاستخدام هوية مدارة للوصول إلى مركز الحدث. لمزيد من المعلومات، راجع بدء استخدام موصل IoT - واجهات برمجة تطبيقات الرعاية الصحية Azure. |
| Azure Digital Twins | يسمح ل Azure Digital Twins بالدخول إلى مراكز الأحداث في مساحة اسم Event Hubs. تحتاج أيضا إلى القيام بالخطوات التالية:
|
يمكن العثور على الخدمات الموثوق بها الأخرى لمراكز أحداث Azure أدناه:
- Azure Arc
- Azure Kubernetes
- التعلم الآلي من Azure
- Microsoft Purview
استخدام قالب Resource Manager
يضيف نموذج قالب إدارة الموارد التالي قاعدة شبكة ظاهرية إلى مساحة اسم «مراكز الأحداث» موجودة. بالنسبة لقاعدة الشبكة، تحدد معرّف الشبكة الفرعية في شبكة ظاهرية.
المعرّف هو مسار إدارة موارد مؤهّل بالكامل للشبكة الفرعية لشبكة الاتصال الظاهرية. على سبيل المثال، /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default للشبكة الفرعية الافتراضية لشبكة ظاهرية.
عند إضافة قواعد الشبكة الظاهرية أو قواعد جدران الحماية، قم بتعيين قيمة defaultAction إلى Deny.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"eventhubNamespaceName": {
"type": "string",
"metadata": {
"description": "Name of the Event Hubs namespace"
}
},
"virtualNetworkName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Rule"
}
},
"subnetName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Sub Net"
}
},
"location": {
"type": "string",
"metadata": {
"description": "Location for Namespace"
}
}
},
"variables": {
"namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
"subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
},
"resources": [
{
"apiVersion": "2018-01-01-preview",
"name": "[parameters('eventhubNamespaceName')]",
"type": "Microsoft.EventHub/namespaces",
"location": "[parameters('location')]",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": { }
},
{
"apiVersion": "2017-09-01",
"name": "[parameters('virtualNetworkName')]",
"location": "[parameters('location')]",
"type": "Microsoft.Network/virtualNetworks",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.0.0.0/23"
]
},
"subnets": [
{
"name": "[parameters('subnetName')]",
"properties": {
"addressPrefix": "10.0.0.0/23",
"serviceEndpoints": [
{
"service": "Microsoft.EventHub"
}
]
}
}
]
}
},
{
"apiVersion": "2018-01-01-preview",
"name": "[variables('namespaceNetworkRuleSetName')]",
"type": "Microsoft.EventHub/namespaces/networkruleset",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules":
[
{
"subnet": {
"id": "[variables('subNetId')]"
},
"ignoreMissingVnetServiceEndpoint": false
}
],
"ipRules":[],
"trustedServiceAccessEnabled": false
}
}
],
"outputs": { }
}
لتوزيع القالب، اتبع الإرشادات الخاصة بإدارة موارد Azure.
هام
إذا لم يكن هناك أي قواعد IP وشبكة ظاهرية، فإن كافة تدفقات نسبة استخدام الشبكة إلى مساحة الاسم حتى إذا قمت بتعيين defaultAction إلى deny. يمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الوصول). حدد قاعدة IP واحدة على الأقل أو قاعدة شبكة ظاهرية لمساحة الاسم للسماح بنسبة استخدام الشبكة فقط من عناوين IP المحددة أو الشبكة الفرعية لشبكة ظاهرية.
استخدام Azure CLI
استخدم az eventhubs namespace network-rule-set أوامر الإضافة والسرد والتحديث والإزالة لإدارة قواعد الشبكة الظاهرية لمساحة اسم ناقل خدمة Microsoft Azure.
استخدام Azure PowerShell
استخدم أوامر Azure PowerShell التالية لإضافة قواعد الشبكة لمساحة اسم ناقل خدمة Microsoft Azure وإدراجها وإزالتها وتحديثها وحذفها.
Add-AzEventHubVirtualNetworkRuleلإضافة قاعدة شبكة ظاهرية.New-AzEventHubVirtualNetworkRuleConfigومعاSet-AzEventHubNetworkRuleSetلإضافة قاعدة شبكة ظاهرية.Remove-AzEventHubVirtualNetworkRuleلإزالة قاعدة الشبكة الظاهرية.
الإجراء الافتراضي والوصول إلى الشبكة العامة
واجهة برمجة تطبيقات REST
القيمة الافتراضية للخاصية defaultAction كانت Deny للإصدار الأولي من واجهة برمجة التطبيقات (API) 2021-01-01 والإصدارات الأقدم. ومع ذلك، لا يتم فرض قاعدة الرفض إلا إذا عيَّنتَ عوامل تصفية IP أو قواعد الشبكة الظاهرية (VNet). بمعنى، إذا لم تكن لديك أي عوامل تصفية IP أو قواعد VNet، فسيتم التعامل معها على أنها Allow.
بدءاً من الإصدار الأولي من واجهة برمجة التطبيقات (API) 2021-06-01 - وما بعده، فإن القيمة الافتراضية للخاصية defaultAction هي Allow، لتعكس فرض جانب الخدمة بدقة. في حالة تعيين الإجراء الافتراضي على Deny، ستُفرض عوامل تصفية IP وقواعد VNet. في حالة تعيين الإجراء الافتراضي على Allow، فلن تُفرض عوامل تصفية IP وقواعد VNet. تتذكر الخدمة القواعد عند إيقاف تشغيلها ثم إعادة تشغيلها مرة أخرى.
يقدم الإصدار الأولي من (API) 2021-06-01 - وما بعده أيضاً خاصية جديدة تسمى publicNetworkAccess. في حالة التعيين على Disabled، فإن العمليات تقتصر على الروابط الخاصة فقط. في حالة التعيين على Enabled، فسيتم السماح بالعمليات عبر الإنترنت العام.
لمزيد من المعلومات عن هذه الخصائص، راجع Create or Update Network Rule Set وCreate or Update Private Endpoint Connections.
إشعار
لا يتجاوز أي من الإعدادات أعلاه التحقق من صحة المطالبات عبر SAS أو مصادقة Microsoft Entra. يُشغَّل فحص المصادقة دائماً بعد أن تتحقق الخدمة من صحة فحوصات الشبكة المُكونة بواسطة إعدادات defaultAction، publicNetworkAccess، privateEndpointConnections.
مدخل Azure
يستخدم مدخل Microsoft Azure دائماً أحدث إصدار من API للحصول على الخصائص وتعيينها. إذا كنت قد قمت مسبقًا بتكوين مساحة الاسم الخاصة بك باستخدام إصدار 2021-01-01 الأولي والإصدارات الأقدم مع defaultAction المعينة على Deny، وتحديد عوامل تصفية IP الصفرية وقواعد VNet، فستكون البوابة قد حددت مسبقا الشبكات المحددة في صفحة Networking في مساحة الاسم الخاصة بك. الآن، يتحقق من خيار All networks.
الخطوات التالية
لمزيد من المعلومات حول الشبكات الظاهرية، راجع الروابط التالية: