مشاركة عبر

السماح بالوصول إلى مساحة اسم Azure Service Bus من نطاقات أو عناوين IP محددة

  • مقالة

بشكل افتراضي، يمكن الوصول إلى مساحات أسماء ناقل خدمة Microsoft Azure من الإنترنت طالما أن الطلب يحتوي على مصادقة وتخويل صالحين. باستخدام جدار حماية IP، يمكن تقييد نسبة استخدام الشبكة الواردة إلى مجموعة من عناوين IPv4 أو نطاقات عناوين IPv4 (في رمز CIDR (توجيه بين المجالات بدون فئة).

هذه الميزة مفيدة في السيناريوهات التي يجب أن يكون فيها ناقل خدمة Microsoft Azure متاحًا فقط من مواقع معروفة معينة. تمكّنك قواعد جدار الحماية من تكوين قواعد لقبول نسبة استخدام الشبكة التي تنشأ من عناوين IPv4 محددة. على سبيل المثال، إذا كنت تستخدم Service Bus معAzure Express Route، يمكنك إنشاء قاعدة جدار الحماية للسماح بنسبة استخدام الشبكة من عناوين IP للبنية الأساسية المحلية فقط أو عناوين بوابة NAT الخاصة بالشركة.

قواعد جدار حماية IP

تُطبق قواعد جدار الحماية على مستوى مساحة اسم ناقل خدمة Microsoft Azure. لذلك، تُطبق القواعد على كافة الاتصالات من العملاء باستخدام أي بروتوكول مدعوم (AMQP (5671) و HTTPS (443)). تُرفض أي محاولة اتصال من عنوان IP لا يطابق قاعدة IP مسموح بها على مساحة اسم Service Bus باعتبارها غير مصرح بها. لم يُذكر في الاستجابة قاعدة IP. يتم تطبيق قواعد عامل تصفية IP بالترتيب، وتحدد القاعدة الأولى التي تطابق عنوان IP إجراء القبول أو الرفض.

النقاط الهامة

  • يتم دعم الشبكات الظاهرية فقط في المستوى المتميز من ناقل خدمة Microsoft Azure. إذا لم تكن الترقية إلى المستوى المتميز خيارا، فمن الممكن استخدام قواعد جدار حماية IP. نوصي بالاحتفاظ برمز توقيع الوصول المشترك (SAS) آمنا ومشاركته مع المستخدمين المعتمدين فقط. لمزيد من المعلومات حول مصادقة توقيع الوصول المشترك (SAS)، راجع المصادقة والتخويل.

  • حدد قاعدة جدار حماية IP واحدة على الأقل أو قاعدة شبكة ظاهرية لمساحة الاسم من أجل السماح بنسبة استخدام الشبكة فقط من عناوين IP المحددة أو الشبكة الفرعية لشبكة افتراضية. إذا لم تكن هناك قواعد IP والشبكة الظاهرية، فيمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الوصول).

  • يمكن أن يمنع تنفيذ قواعد جدار الحماية خدمات Azure الأخرى من التفاعل مع Service Bus. وكاستثناء، يمكنك السماح بالوصول إلى موارد Service Bus من خدمات موثوقة معينة حتى عند تمكين تصفية IP الخاصة. للحصول على قائمة بالخدمات الموثوقة، راجع الخدمات الموثوقة.

    يجب أن تكون خدمات Microsoft التالية على شبكة ظاهرية

    • Azure App Service
    • دالات Azure

إشعار

راجع علامة التبويب «Networking» لمساحات الأسماء المميزةفقط. لتعيين قواعد جدار حماية IP للمستويات الأخرى، استخدم قوالب Azure Resource Manager أو Azure CLI أو PowerShell أو REST API.

استخدام مدخل Azure

عند إنشاء مساحة اسم، يمكنك إما السماح للجمهور فقط (من جميع الشبكات) أو الوصول الخاص فقط (فقط عبر نقاط النهاية الخاصة) إلى مساحة الاسم. بمجرد إنشاء مساحة الاسم، يمكنك السماح بالوصول من عناوين IP معينة أو من شبكات ظاهرية معينة (باستخدام نقاط نهاية خدمة الشبكة).

تكوين الوصول العام عند إنشاء مساحة اسم

لتمكين الوصول العام، حدد الوصول العام في صفحة الشبكات لمعالج إنشاء مساحة الاسم.

Screenshot showing the Networking page of the Create namespace wizard with Public access option selected.

بعد إنشاء مساحة الاسم، حدد Networking في القائمة اليمنى من صفحة Service Bus Namespace . ترى أن خيار جميع الشبكات محدد. يمكنك تحديد خيار الشبكات المحددة والسماح بالوصول من عناوين IP معينة أو شبكات ظاهرية معينة. يوفر لك القسم التالي تفاصيل حول تكوين جدار حماية IP لتحديد عناوين IP التي يسمح بالوصول منها.

تكوين جدار حماية IP لمساحة اسم موجودة

يوضح هذا القسم كيفية استخدام مدخل Microsoft Azure لإنشاء قواعد جدار حماية IP واردة من أجل مساحة اسم Service Bus.

  1. انتقل إلى مساحة اسم ناقل خدمة Microsoft Azure في مدخل Microsoft Azure.

  2. في القائمة اليمنى، حدد خيار Networking ضمن Settings.

    إشعار

    راجع علامة التبويب «Networking» لمساحات الأسماء المميزةفقط.

  3. في صفحة الشبكة، للوصول إلى الشبكة العامة، يمكنك تعيين أحد الخيارات الثلاثة التالية. اختر خيار Selected networks للسماح بالوصول من عناوين IP المحددة فقط.

    • مُعطل يعطل هذا الخيار أي وصول عام إلى مساحة الاسم. يمكن الوصول إلى مساحة الاسم فقط من خلال نقاط النهاية الخاصة.

      Screenshot that shows the Networking page of a namespace with public access disabled.

      اختر ما إذا كنت تريد السماح خدمات Microsoft الموثوق بها بتجاوز جدار الحماية. للحصول على قائمة خدمات Microsoft الموثوق بها ناقل خدمة Azure، راجع قسم خدمات Microsoft الموثوق به.

    • Selected networks. يتيح هذا الخيار وصولاً عاماً إلى مساحة الاسم باستخدام مفتاح وصول من شبكات الاتصال المحددة.

      هام

      إذا اخترت Selected networks، فأضف قاعدة جدار حماية IP واحدة على الأقل أو شبكة اتصال ظاهرية سيكون لها حق الوصول إلى مساحة الاسم. اختر Disabled إذا كنت تريد تقييد جميع حركات المرور إلى مساحة الاسم هذه عبر نقاط النهاية الخاصة فقط.

    • All networks (افتراضي). يتيح هذا الخيار الوصول العام من جميع الشبكات باستخدام مفتاح وصول. إذا حددت الخيار All networks، يقبل ناقل الخدمة الاتصالات من أي عنوان IP (باستخدام مفتاح الوصول). هذا الإعداد مكافئ لقاعدة تقبل نطاق عناوين IP 0.0.0.0/0.

  4. للسماح بالوصول إلى عناوين IP المحددة، حدد خيار الشبكات المحددة إذا لم يكن محددًا مسبقًا. في القسم «Firewall»، اتبع الخطوات التالية:

    1. حدد «Add» عنوان IP الخاص بعميلك لمنح عنوان IP العميل الحالي حق الوصول إلى مساحة الاسم.

    2. وبالنسبةلنطاق العنوان، أدخل عنوان IPv4 معين أو نطاق عنوان IPv4 في رمز CIDR.

    3. حدد ما إذا كنت تريد السماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية. للحصول على قائمة خدمات Microsoft الموثوق بها ناقل خدمة Azure، راجع قسم خدمات Microsoft الموثوق به.

      تحذير

      إذا قمت بتحديد خيار «Selected networks» ولم تقم بإضافة قاعدة جدار حماية IP واحدة على الأقل أو شبكة ظاهرية على هذه الصفحة، يمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الاختصار).

      Screenshot of the Azure portal Networking page. The option to allow access from Selected networks is selected and the Firewall section is highlighted.

  5. في «toolbar»، حدد «Save» لحفظ الإعدادات. انتظر بضع دقائق حتى يظهر التأكيد في إشعارات البوابة.

    إشعار

    لتقييد الوصول إلى شبكات ظاهرية معينة، راجع السماح بالوصول من شبكات معينة.

خدمات Microsoft الموثوق بها

عند تمكين الإعداد السماح لخدمات Microsoft الموثوقة لتجاوز جدار الحماية هذا، يتم منح الخدمات التالية حق الوصول إلى موارد ناقل الخدمة الخاص بك.

خدمة موثوق بها سيناريوهات الاستخدام المعتمدة
Azure Event Grid يسمح لـ Azure Event Grid بإرسال الأحداث إلى قوائم الانتظار أو الموضوعات في مساحة اسم ناقل الخدمة الخاص بك. تحتاج أيضا إلى القيام بالخطوات التالية:
  • تمكين الهوية المعينة من قبل النظام لموضوع أو مجال
  • إضافة الهوية إلى دور مرسل بيانات ناقل خدمة Azure على مساحة اسم ناقل خدمة Azure
  • ثم، قم بتكوين اشتراك الحدث الذي يستخدم قائمة انتظار أو موضوع ناقل الخدمة كنقطة نهاية لاستخدام هوية النظام المعينة.

لمزيد من المعلومات، راجع تسليم الأحداث بهوية مدارة
Azure Stream Analytics يسمح لوظيفة Azure Stream Analytics لإخراج البيانات إلى قوائم انتظار ناقل خدمة Microsoft Azure إلى الموضوعات.

هام: يجب تكوين مهمة Stream Analytics لاستخدام هوية مدارة للوصول إلى مساحة اسم ناقل خدمة Microsoft Azure. أضف الهوية إلى دور Azure Service Bus Data Sender على مساحة اسم ناقل الخدمة.

Azure IoT Hub يسمح لمركز IoT بإرسال رسائل إلى قوائم الانتظار أو الموضوعات في مساحة اسم ناقل الخدمة. تحتاج أيضا إلى القيام بالخطوات التالية:
إدارة Azure API

تتيح لك خدمة API Management إرسال رسائل إلى قائمة انتظار/موضوع ناقل الخدمة في مساحة اسم ناقل الخدمة.
Azure IoT Central

يسمح لـ IoT Central بتصدير البيانات إلى قوائم انتظار أو موضوعات ناقل الخدمة الموجودة في مساحة اسمه. تحتاج أيضاً إلى القيام بالخطوات التالية:

  • تمكين الهوية المعينة من قبل النظام لتطبيق IoT Central
  • أضف الهوية إلى دور Azure Service Bus Data Sender على مساحة اسم ناقل الخدمة.
  • بعد ذلك، قم بتكوين وجهة تصدير ناقل خدمةعلى تطبيق IoT Central الخاص بك لاستخدام المصادقة المستندة إلى الهوية.
Azure Digital Twins يسمح ل Azure Digital Twins للخروج من البيانات إلى مواضيع ناقل خدمة Microsoft Azure في مساحة اسم ناقل الخدمة. تحتاج أيضا إلى القيام بالخطوات التالية:

  • تمكين الهوية المعينة من قبل النظام لمثيل Azure Digital Twins.
  • أضف الهوية إلى دور Azure Service Bus Data Sender على مساحة اسم ناقل الخدمة.
  • ثم قم بتكوين نقطة نهاية Azure Digital Twins أو اتصال محفوظات بيانات Azure Digital Twins الذي يستخدم الهوية المعينة من قبل النظام للمصادقة. لمزيد من المعلومات حول تكوين نقاط النهاية ومسارات الأحداث إلى موارد ناقل خدمة Microsoft Azure من Azure Digital Twins، راجع توجيه أحداث Azure Digital Twins وإنشاء نقاط نهاية في Azure Digital Twins.
مراقب Azure (الإعدادات التشخيصي ومجموعات العمل) يسمح ل Azure Monitor بإرسال معلومات التشخيص وإعلامات التنبيه إلى ناقل خدمة Microsoft Azure في مساحة اسم ناقل خدمة Microsoft Azure. يمكن ل Azure Monitor قراءة البيانات وكتابتها إلى مساحة اسم ناقل خدمة Microsoft Azure.
Azure Synapse يسمح ل Azure Synapse بالاتصال بناقل الخدمة باستخدام الهوية المدارة لمساحة عمل Synapse. أضف ناقل خدمة Azure دور مرسل البيانات أو المستلم أو المالك إلى الهوية على مساحة اسم ناقل خدمة Microsoft Azure.

يمكن العثور على الخدمات الموثوق بها الأخرى ناقل خدمة Azure أدناه:

  • Azure Data Explorer ‏(Kusto)
  • Azure Health Data Services
  • Azure Arc
  • Azure Kubernetes
  • التعلم الآلي من Azure
  • Microsoft Purview

استخدام قالب Resource Manager

يحتوي هذا المقطع على نموذج قالب إدارة موارد عينة Azure الذي يضيف شبكة ظاهرية وقاعدة جدار حماية إلى مساحة اسم Service Bus.

ipMask هو عنوان IPv4 واحد أو كتلة من عناوين IP في رمز CIDR. على سبيل المثال، في CIDR يمثل الرمز 70.37.104.0/24 عناوين IPv4 256 من 70.37.104.0 إلى 70.37.104.255، مع 24 إشارة إلى عدد من البتات البادئة الكبيرة للنطاق.

إشعار

القيمة الافتراضية لـdefaultAction هي Allow. عند إضافة شبكة ظاهرية أو قواعد جدران الحماية، تأكد من تعيين defaultAction على Deny.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "namespace_name": {
            "defaultValue": "mypremiumnamespace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.ServiceBus/namespaces",
            "apiVersion": "2022-10-01-preview",
            "name": "[parameters('namespace_name')]",
            "location": "East US",
            "sku": {
                "name": "Premium",
                "tier": "Premium",
                "capacity": 1
            },
            "properties": {
                "premiumMessagingPartitions": 1,
                "minimumTlsVersion": "1.2",
                "publicNetworkAccess": "Enabled",
                "disableLocalAuth": false,
                "zoneRedundant": true
            }
        },
        {
            "type": "Microsoft.ServiceBus/namespaces/networkRuleSets",
            "apiVersion": "2022-10-01-preview",
            "name": "[concat(parameters('namespace_name'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.ServiceBus/namespaces', parameters('namespace_name'))]"
            ],
            "properties": {
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Deny",
                "virtualNetworkRules": [],
                "ipRules": [
                    {
                        "ipMask": "10.1.1.1",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "11.0.0.0/24",
                        "action": "Allow"
                    }
                ]
            }
        }
    ]
}

لتوزيع القالب، اتبع الإرشادات الخاصة بإدارة موارد Azure.

هام

إذا لم يكن هناك أي قواعد IP وشبكة ظاهرية، فإن كافة تدفقات نسبة استخدام الشبكة إلى مساحة الاسم حتى إذا قمت بتعيين defaultAction إلى deny. يمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الوصول). حدد قاعدة IP واحدة على الأقل أو قاعدة شبكة ظاهرية لمساحة الاسم للسماح بنسبة استخدام الشبكة فقط من عناوين IP المحددة أو الشبكة الفرعية لشبكة ظاهرية.

استخدام Azure CLI

استخدم az servicebus namespace network-rule-set أوامر الإضافة والسرد والتحديث والإزالة لإدارة قواعد جدار حماية IP لمساحة اسم ناقل خدمة Microsoft Azure.

استخدام Azure PowerShell

استخدم أوامر Azure PowerShell التالية لإضافة قواعد جدار حماية IP وإدراجها وإزالتها وتحديثها وحذفها.

الإجراء الافتراضي والوصول إلى الشبكة العامة

واجهة برمجة تطبيقات REST

القيمة الافتراضية للخاصية defaultAction كانت Deny للإصدار الأولي من واجهة برمجة التطبيقات (API) 2021-01-01 والإصدارات الأقدم. ومع ذلك، لا يتم فرض قاعدة الرفض إلا إذا عيَّنتَ عوامل تصفية IP أو قواعد الشبكة الظاهرية (VNet). بمعنى، إذا لم تكن لديك أي عوامل تصفية IP أو قواعد VNet، فسيتم التعامل معها على أنها Allow.

بدءاً من الإصدار الأولي من واجهة برمجة التطبيقات (API) 2021-06-01 - وما بعده، فإن القيمة الافتراضية للخاصية defaultAction هي Allow، لتعكس فرض جانب الخدمة بدقة. في حالة تعيين الإجراء الافتراضي على Deny، ستُفرض عوامل تصفية IP وقواعد VNet. في حالة تعيين الإجراء الافتراضي على Allow، فلن تُفرض عوامل تصفية IP وقواعد VNet. تتذكر الخدمة القواعد عند إيقاف تشغيلها ثم إعادة تشغيلها مرة أخرى.

يقدم الإصدار الأولي من (API) 2021-06-01 - وما بعده أيضاً خاصية جديدة تسمى publicNetworkAccess. في حالة التعيين على Disabled، فإن العمليات تقتصر على الروابط الخاصة فقط. في حالة التعيين على Enabled، فسيتم السماح بالعمليات عبر الإنترنت العام.

لمزيد من المعلومات عن هذه الخصائص، راجع Create or Update Network Rule Set وCreate or Update Private Endpoint Connections.

إشعار

لا يتجاوز أي من الإعدادات أعلاه التحقق من صحة المطالبات عبر SAS أو مصادقة Microsoft Entra. يُشغَّل فحص المصادقة دائماً بعد أن تتحقق الخدمة من صحة فحوصات الشبكة المُكونة بواسطة إعدادات defaultAction، publicNetworkAccess، privateEndpointConnections.

مدخل Azure

يستخدم مدخل Microsoft Azure دائماً أحدث إصدار من API للحصول على الخصائص وتعيينها. إذا كنت قد قمت مسبقًا بتكوين مساحة الاسم الخاصة بك باستخدام إصدار 2021-01-01 الأولي والإصدارات الأقدم مع defaultAction المعينة على Deny، وتحديد عوامل تصفية IP الصفرية وقواعد VNet، فستكون البوابة قد حددت مسبقا الشبكات المحددة في صفحة Networking في مساحة الاسم الخاصة بك. الآن، يتحقق من خيار All networks.

Screenshot of the Azure portal Networking page. The option to allow access from All networks is selected on the Firewalls and virtual networks tab.

الخطوات التالية

لتقييد وصول Service Bus إلى شبكات الاتصال الظاهرية Azure، راجع الارتباط التالي: