السماح بالوصول إلى مساحات أسماء Azure Event Hubs من شبكات ظاهرية محددة
| خدمة موثوقة | سيناريوهات الاستخدام المعتمدة |
|---|---|
| Azure Event Grid | يسمح Azure Event Grid بإرسال الأحداث إلى مراكز الأحداث في مساحة اسم "مراكز الأحداث". تحتاج أيضاً إلى القيام بالخطوات التالية:
لمزيد من المعلومات، راجع تسليم الأحداث بهوية مدارة |
| مراقب Azure (الإعدادات التشخيصي ومجموعات العمل) | يسمح ل Azure Monitor بإرسال معلومات التشخيص وتنبيهات التنبيه إلى مراكز الأحداث في مساحة اسم "مراكز الأحداث". يمكن أن تقرأ Azure Monitor من لوحة الوصل الحدث وكتابة البيانات إلى لوحة الوصل الحدث أيضا. |
| Azure Stream Analytics | يسمح لمهمة Azure Stream Analytics بقراءة البيانات من (الإدخال) أو كتابة البيانات إلى (الإخراج) محاور الأحداث في مساحة اسم مراكز الأحداث. مهم: يجب تكوين مهمة Stream Analytics لاستخدام هوية مدارة للوصول إلى مركز الحدث. لمزيد من المعلومات، راجع استخدام الهويات المدارة للوصول إلى مركز الأحداث من مهمة Azure Stream Analytics (الإصدار الأولي). |
| Azure IoT Hub | يسمح ل IoT Hub بإرسال رسائل إلى مراكز الأحداث في مساحة اسم مركز الأحداث. تحتاج أيضاً إلى القيام بالخطوات التالية:
|
| Azure API Management | تسمح لك خدمة APIM بإرسال الأحداث إلى مركز أحداث في مساحة اسم "مراكز الأحداث".
|
| Azure IoT Central | يسمح ل IoT Central بتصدير البيانات إلى مراكز الأحداث في مساحة اسم مركز الأحداث. تحتاج أيضاً إلى القيام بالخطوات التالية:
|
استخدام قالب Resource Manager
يضيف نموذج قالب إدارة الموارد التالي قاعدة شبكة ظاهرية إلى مساحة اسم «مراكز الأحداث» موجودة. بالنسبة لقاعدة الشبكة، تحدد معرّف الشبكة الفرعية في شبكة ظاهرية.
المعرّف هو مسار إدارة موارد مؤهّل بالكامل للشبكة الفرعية لشبكة الاتصال الظاهرية. على سبيل المثال، /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default للشبكة الفرعية الافتراضية لشبكة ظاهرية.
عند إضافة الشبكة الظاهرية أو قواعد جدران الحماية، قم بتعيين قيمة defaultAction إلى Deny.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"eventhubNamespaceName": {
"type": "string",
"metadata": {
"description": "Name of the Event Hubs namespace"
}
},
"virtualNetworkName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Rule"
}
},
"subnetName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Sub Net"
}
},
"location": {
"type": "string",
"metadata": {
"description": "Location for Namespace"
}
}
},
"variables": {
"namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
"subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
},
"resources": [
{
"apiVersion": "2018-01-01-preview",
"name": "[parameters('eventhubNamespaceName')]",
"type": "Microsoft.EventHub/namespaces",
"location": "[parameters('location')]",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": { }
},
{
"apiVersion": "2017-09-01",
"name": "[parameters('virtualNetworkName')]",
"location": "[parameters('location')]",
"type": "Microsoft.Network/virtualNetworks",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.0.0.0/23"
]
},
"subnets": [
{
"name": "[parameters('subnetName')]",
"properties": {
"addressPrefix": "10.0.0.0/23",
"serviceEndpoints": [
{
"service": "Microsoft.EventHub"
}
]
}
}
]
}
},
{
"apiVersion": "2018-01-01-preview",
"name": "[variables('namespaceNetworkRuleSetName')]",
"type": "Microsoft.EventHub/namespaces/networkruleset",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules":
[
{
"subnet": {
"id": "[variables('subNetId')]"
},
"ignoreMissingVnetServiceEndpoint": false
}
],
"ipRules":[],
"trustedServiceAccessEnabled": false
}
}
],
"outputs": { }
}
لنشر القالب، اتبع الإرشادات الخاصة Azure Resource Manager.
هام
إذا لم يكن هناك أي قواعد IP وشبكة ظاهرية، فإن كافة تدفقات نسبة استخدام الشبكة إلى مساحة الاسم حتى إذا قمت بتعيين defaultAction إلى deny. يمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الاختصار). حدد قاعدة IP واحدة على الأقل أو قاعدة شبكة ظاهرية لمساحة الاسم للسماح بنسبة استخدام الشبكة فقط من عناوين IP المحددة أو الشبكة الفرعية لشبكة ظاهرية.
الإجراء الافتراضي والوصول إلى الشبكة العامة
REST API
كانت Deny القيمة الافتراضية للخاصية defaultAction لإصدار واجهة برمجة التطبيقات defaultAction. ومع ذلك، لا يتم فرض قاعدة الرفض إلا إذا قمت بتعيين عوامل تصفية IP أو قواعد الشبكة الظاهرية (VNet). أي أنه إذا لم يكن لديك أي فلاتر IP أو قواعد VNet ، التعامل معها على أنها Allow.
من إصدار واجهة برمجة التطبيقات 2021-06-01-preview فصاعدا ، تكون القيمة الافتراضية للخاصية هي Allow، لتعكس بدقة التنفيذ من جانب الخدمة. إذا تم تعيين الإجراء الافتراضي إلى Deny، يتم فرض عوامل تصفية IP وقواعد VNet. إذا تم تعيين الإجراء الافتراضي إلى Allow، فلن يتم فرض فلاتر IP وقواعد VNet. تتذكر الخدمة القواعد عند إيقاف تشغيلها ثم إعادة تشغيلها مرة أخرى.
يقدم إصدار واجهة برمجة التطبيقات 2021-06-01-preview فصاعدا أيضا خاصية جديدة تسمى . إذا تم تعيينه على ، فستقتصر العمليات على Disabledالروابط الخاصة فقط. إذا تم تعيينه على Enabled، يتم السماح بالعمليات عبر الإنترنت العام.
لمزيد من المعلومات حول هذه الخصائص، راجع إنشاء أو تحديث مجموعة قواعد الشبكةوإنشاء اتصالات نقطة النهاية الخاصة أو تحديثها.
ملاحظة
لا يتجاوز أي من الإعدادات المذكورة أعلاه التحقق من صحة المطالبات عبر مصادقة SAS أو Azure AD. يتم تشغيل التحقق من المصادقة دائما بعد أن تتحقق الخدمة من صحة عمليات التحقق من الشبكة التي تم تكوينها بواسطة defaultAction، publicNetworkAccessالإعدادات privateEndpointConnections .
مدخل Azure
تستخدم بوابة Azure دائما أحدث إصدار من واجهة برمجة التطبيقات للحصول على الخصائص وتعيينها. إذا كنت قد قمت مسبقا بتكوين مساحة الاسم الخاصة بك باستخدام معاينة 2021-01-01-01 والإصدارات الأقدم مع تعيين إلى Deny، وتحديد عوامل تصفية IP الصفرية وقواعد VNet، فستكون البوابة الإلكترونية قد حددت مسبقا Deny في صفحة الشبكة في مساحة الاسم الخاصة بك. الآن ، يتحقق من خيار جميع الشبكات .
الخطوات التالية
لمزيد من المعلومات حول الشبكات الظاهرية، راجع الروابط التالية:
يتيح تكامل مراكز الأحداث مع نقاط تقديم خدمة الشبكة الظاهرية (VNet) الوصول الآمن إلى قدرات المراسلة من أحمال العمل مثل الأجهزة الظاهرية المرتبطة بالشبكات الظاهرية، مع تأمين مسار نسبة استخدام الشبكة على كلا الطرفين.
بمجرد تكوينها للربط بنقطة نهاية خدمة شبكة فرعية افتراضية واحدة على الأقل، لم تعد مساحة اسم مراكز الأحداث تقبل نسبة استخدام الشبكة من أي مكان ولكن الشبكات الفرعية المصرح بها في الشبكات الافتراضية. من منظور الشبكة الافتراضية، يؤدي ربط مساحة اسم مراكز الأحداث بنقطة نهاية الخدمة إلى تكوين نفق شبكة معزول من الشبكة الفرعية للشبكة الظاهرية إلى خدمة المراسلة.
والنتيجة هي علاقة خاصة ومعزولة بين أحمال العمل المرتبطة بالشبكة الفرعية ومساحة اسم مراكز الأحداث المعنية، على الرغم من عنوان الشبكة الملاحظ لنقطة نهاية خدمة المراسلة في نطاق IP عام. هناك استثناء لهذا السلوك. تمكين نقطة تقديم الخدمة بشكل افتراضي، تمكين denyall القاعدة في denyall المقترن بالشبكة الظاهرية. يمكنك إضافة عناوين IP معينة في جدار حماية IP لتمكين الوصول إلى نقطة النهاية العامة بمركز الأحداث.
نقاط مهمة
- هذه الميزة غير مدعمة في المستوى الأساسي.
- يؤدي تمكين الشبكات الظاهرية لمساحة اسم «مراكز الأحداث» إلى حظر الطلبات الواردة افتراضيًا، ما لم تنشأ الطلبات من خدمة تعمل من الشبكات الظاهرية المسموح بها. تتضمن الطلبات المحظورة الطلبات الواردة من خدمات Azure الأخرى ومن مدخل Microsoft Azure ومن خدمات التسجيل والقياسات وما إلى ذلك. وكاستثناء، يمكنك السماح بالوصول إلى موارد «مراكز الأحداث» من بعض الخدمات الموثوقة حتى عند تمكين الشبكات الظاهرية. للحصول على قائمة بالخدمات الموثوقة، راجع الخدمات الموثوقة.
- حدد قاعدة IP واحدة على الأقل أو قاعدة شبكة ظاهرية لمساحة الاسم للسماح بنسبة استخدام الشبكة فقط من عناوين IP المحددة أو الشبكة الفرعية لشبكة ظاهرية. إذا لم يكن هناك IP وقواعد الشبكة الظاهرية، يمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الاختصار).
سيناريوهات الأمان المتقدمة التي مكّنها تكامل الشبكة الظاهرية
الحلول التي تتطلب أمانًا محكمًا ومجزئًا، وحيث توفر الشبكات الفرعية للشبكة الظاهرية التجزئة بين الخدمات المجزأة، لا تزال بحاجة إلى مسارات اتصال بين الخدمات الموجودة في تلك الحجرات.
أي مسار IP فوري بين الحجرات، بما في ذلك تلك التي تحمل HTTPS عبر TCP/IP، يحمل خطر استغلال نقاط الضعف من طبقة الشبكة وما فوقها. توفر خدمات المراسلة مسارات اتصال معزولة، حيث تتم كتابة الرسائل حتى على القرص أثناء انتقالها بين الأطراف. يمكن لأحمال العمل في شبكتين ظاهريتين متميزتين مرتبطتين بمثيل "مراكز الأحداث" نفسه الاتصال بكفاءة وموثوقية عبر الرسائل، بينما يتم الاحتفاظ بسلامة حدود عزل الشبكة المعنية.
هذا يعني أن حلول السحابة الحساسة للأمان لا تحصل فقط على إمكانية الوصول إلى قدرات المراسلة غير المتزامنة الموثوقة والقابلة للتطوير والرائدة في صناعة Azure، بل يمكنها الآن استخدام المراسلة لإنشاء مسارات اتصال بين حجرات الحلول الآمنة التي تكون بطبيعتها أكثر أمانًا مما يمكن تحقيقه مع أي وضع الاتصال من نظير إلى نظير، بما في ذلك HTTPS وبروتوكولات مأخذ توصيل بروتوكول أمان طبقة النقل الأخرى.
ربط محاور الأحداث بالشبكات الظاهرية
قواعد الشبكة الظاهرية هي ميزة أمان جدار الحماية التي تتحكم في ما إذا كانت مساحة اسم مراكز الأحداث تقبل الاتصالات من شبكة فرعية خاصة بالشبكة الظاهرية.
ربط مساحة اسم مراكز الأحداث إلى شبكة اتصال ظاهرية عملية من خطوتين. تحتاج أولًا إلى إنشاء نقطة نهاية خدمة شبكة ظاهرية على الشبكة الفرعية لشبكة ظاهرية وتمكينها لـMicrosoft.EventHub كما هو موضح في مقالة نظرة عامة على نقطة تقديم الخدمة. بمجرد إضافة نقطة تقديم الخدمة، يمكنك ربط مساحة اسم "مراكز الأحداث" به من خلال قاعدة الشبكة الظاهرية.
قاعدة الشبكة الظاهرية عبارة عن ارتباط لمساحة اسم مراكز الأحداث بشبكة فرعية للشبكة الافتراضية. أثناء وجود القاعدة، يتم منح كافة أحمال العمل المرتبطة بالشبكة الفرعية حق الوصول إلى مساحة اسم "مراكز الأحداث". لا تقوم مراكز الأحداث نفسها بتأسيس اتصالات صادرة، ولا تحتاج إلى الوصول، وبالتالي لا يتم منحها مطلقًا حق الوصول إلى شبكتك الفرعية من خلال تمكين هذه القاعدة.
استخدام مدخل Microsoft Azure
يوضح هذا القسم كيفية استخدام مدخل Microsoft Azure لإضافة نقطة تقديم خدمة شبكة ظاهرية. للحد من الوصول، تحتاج إلى دمج نقطة تقديم خدمة الشبكة الظاهرية لمساحة اسم مراكز الأحداث هذه.
في مدخل Microsoft Azure، انتقل إلى مساحة اسم Event Hubs.
في القائمة اليمنى، حدد خيار Networking ضمن Settings.
في صفحة الشبكة، للوصول إلى الشبكة العامة، يمكنك تعيين أحد الخيارات الثلاثة التالية. اختر خيار الشبكات المحددة للسماح بالوصول من شبكات ظاهرية محددة فقط.
مُعطل يعطل هذا الخيار أي وصول عام إلى مساحة الاسم. يمكن الوصول إلى مساحة الاسم من خلال نقاط النهاية الخاصة فقط.
شبكات محددة. يسمح هذا الخيار بالوصول العام إلى مساحة الاسم باستخدام مفتاح الاختصار من شبكات محددة.
هام
إذا اخترت الشبكات المحددة، فأضف قاعدة جدار حماية IP واحدة على الأقل أو شبكة اتصال ظاهرية يكون لها حق الوصول إلى مساحة الاسم. اختر معطل إذا كنت تريد تقييد نسبة استخدام الشبكة بالكامل إلى مساحة الاسم هذه عبر نقاط النهاية الخاصة فقط.
جميع الشبكات (افتراضي). يسمح هذا الخيار بالوصول العام من جميع الشبكات باستخدام مفتاح الاختصار. إذا حددت الخيار All networks، يقبل مركز الحدث الاتصالات من أي عنوان IP (باستخدام مفتاح الوصول). هذا الإعداد يُعادل قاعدة تقبل نطاق عناوين IP 0.0.0.0/0.
لتقييد الوصول إلى شبكات معينة، اختر الخيار الشبكات المحددة في أعلى الصفحة إذا لم يكن محدداً بالفعل.
في قسم الشبكات الظاهرية في الصفحة، حدد +إضافة شبكة ظاهرية موجودة*. حدد + إنشاء شبكة ظاهرية جديدة إذا كنت تريد إنشاء شبكة ظاهرية جديدة.
هام
إذا اخترت الشبكات المحددة، فأضف قاعدة جدار حماية IP واحدة على الأقل أو شبكة اتصال ظاهرية يكون لها حق الوصول إلى مساحة الاسم. اختر معطل إذا كنت تريد تقييد نسبة استخدام الشبكة بالكامل إلى مساحة الاسم هذه عبر نقاط النهاية الخاصة فقط.
حدد الشبكة الظاهرية من قائمة الشبكات الظاهرية، ثم اختر subnet. يجب تمكين نقطة تقديم الخدمة قبل إضافة الشبكة الظاهرية إلى القائمة. إذا لم يتم تمكين نقطة تقديم الخدمة، فسيطالبك المدخل بتمكينها.
يجب أن تشاهد رسالة النجاح التالية بعد تمكين نقطة تقديم الخدمة الشبكة الفرعية لـ Microsoft.EventHub. حدد Add أسفل الصفحة لإضافة الشبكة.
ملاحظة
إذا لم تتمكن من تمكين نقطة تقديم الخدمة، فقد تتجاهل نقطة تقديم خدمة الشبكة الظاهرية المفقودة باستخدام قالب إدارة الموارد. هذه الوظيفة غير متاحة على المدخل.
حدد ما إذا كنت تريد السماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية. راجع خدمات Trusted Microsoft لمزيد من التفاصيل.
في شريط الأدوات، حدد Save لحفظ الإعدادات. انتظر بضع دقائق للتأكيد من أجل عرض إشعارات المدخل.
ملاحظة
لتقييد الوصول إلى نطاقات أو عناوين IP محددة، راجع السماح بالوصول من عناوين IP أو نطاقات محددة.
خدمات Microsoft الموثوق بها
عند تمكين الإعداد السماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا، يتم منح الخدمات التالية التي تُحمِّل المستأجر نفسه حق الوصول إلى موارد مراكز الأحداث.