Povolení přístupu k oborům názvů Azure Event Hubs z konkrétních IP adres nebo rozsahů
Ve výchozím nastavení jsou Event Hubs obory názvů přístupné z Internetu, pokud požadavek přichází s platným ověřováním a autorizací. Pomocí brány firewall protokolu IP je můžete omezit na další jenom na sadu IPv4 adres nebo rozsahů IPv4 adres v zápisu CIDR (bez třídy) (směrování Inter-Domain) .
Tato funkce je užitečná ve scénářích, ve kterých by měl být Azure Event Hubs dostupný jenom z určitých dobře známých lokalit. Pravidla brány firewall umožňují konfigurovat pravidla pro příjem provozu pocházejících z konkrétních IPv4 adres. Pokud například používáte Event Hubs s využitím Azure Express Route, můžete vytvořit pravidlo brány firewall , které umožní provoz jenom z vašich místních IP adres infrastruktury.
Pravidla brány firewall protokolu IP
Pravidla brány firewall protokolu IP se používají na úrovni oboru názvů Event Hubs. Pravidla se proto vztahují na všechna připojení z klientů pomocí libovolného podporovaného protokolu. Všechny pokusy o připojení z IP adresy, které neodpovídají povolenému pravidlu IP v oboru názvů Event Hubs, jsou odmítnuty jako neautorizované. Odpověď nezmiňuje pravidlo protokolu IP. Pravidla filtru IP se aplikují v pořadí a první pravidlo, které odpovídá IP adrese, určuje akci přijmout nebo odmítnout.
Důležité body
- Tato funkce není podporovaná na úrovni Basic .
- Pokud požadavky pocházejí ze služby, která není povolená pro veřejné IP adresy, zapnete pravidla brány firewall pro obor názvů Event Hubs zablokuje příchozí požadavky ve výchozím nastavení. Blokované požadavky zahrnují ty z jiných služeb Azure, od Azure Portal, ze služeb protokolování a metriky atd. V případě výjimky můžete povolit přístup k Event Hubs prostředkům z určitých důvěryhodných služeb i v případě, že je povolené filtrování IP adres. seznam důvěryhodných služeb najdete v tématu trusted služby Microsoft.
- Zadejte alespoň jedno pravidlo brány firewall protokolu IP nebo pravidlo virtuální sítě pro obor názvů, aby bylo možné provozovat pouze ze zadaných IP adres nebo podsítí virtuální sítě. Pokud neexistují žádná pravidla IP a virtuální sítě, můžete k oboru názvů přistupovat prostřednictvím veřejného Internetu (pomocí přístupového klíče).
Použití webu Azure Portal
V této části se dozvíte, jak pomocí Azure Portal vytvořit pravidla brány firewall protokolu IP pro Event Hubs obor názvů.
V Azure Portalpřejděte do oboru názvů Event Hubs .
v nabídce vlevo vyberte položku sítě v části Nastavení .
Upozornění
Pokud vyberete možnost vybrané sítě a na tuto stránku nepřidáte aspoň jedno pravidlo FIREWALLU protokolu IP nebo virtuální síť, přístup k oboru názvů se dá získat prostřednictvím veřejného Internetu (pomocí přístupové klávesy).
Pokud vyberete možnost všechny sítě , centrum událostí přijme připojení z libovolné IP adresy (pomocí přístupového klíče). Toto nastavení odpovídá pravidlu, které přijímá rozsah IP adres 0.0.0.0/0.
Pokud chcete omezit přístup ke konkrétním IP adresám, potvrďte, že je vybraná možnost vybraná síť . V části Brána firewall postupujte podle následujících kroků:
- Vyberte možnost Přidat IP adresu klienta a poskytněte vaší aktuální IP adrese přístup k oboru názvů.
- Pro Rozsah adres zadejte konkrétní IPv4 adresu nebo rozsah adres IPv4 v zápisu CIDR.
Upozornění
Pokud vyberete možnost vybrané sítě a na tuto stránku nepřidáte aspoň jedno pravidlo firewallu IP nebo virtuální síť, přístup k oboru názvů se dá získat přes veřejný Internet (pomocí přístupové klávesy).
určete, jestli chcete, aby důvěryhodné služby Microsoft obejít tuto bránu firewall. podrobnosti najdete v tématu důvěryhodné služby Microsoft .
Nastavení uložte kliknutím na Uložit na panelu nástrojů. Počkejte několik minut, než se potvrzení zobrazí v oznámeních na portálu.
Poznámka
Pokud chcete omezit přístup k určitým virtuálním sítím, přečtěte si téma Povolení přístupu z konkrétních sítí.
důvěryhodné služby Microsoft
pokud povolíte možnost povolit důvěryhodným služby Microsoft obejít toto nastavení brány firewall , budou těmto službám udělen přístup k prostředkům Event Hubs.
| Důvěryhodná služba | Podporované scénáře použití |
|---|---|
| Azure Event Grid | Povoluje Azure Event Grid odesílat události do Center událostí ve vašem oboru názvů Event Hubs. Je také nutné provést následující kroky:
Další informace najdete v tématu doručování událostí se spravovanou identitou . |
| Azure Monitor (Nastavení pro diagnostiku a skupiny akcí) | Umožňuje Azure Monitor odesílat diagnostické informace a oznámení výstrah do Center událostí ve vašem oboru názvů Event Hubs. Azure Monitor může číst z centra událostí a také zapisovat data do centra událostí. |
| Azure Stream Analytics | Umožňuje Azure Stream Analytics úlohy číst data z (vstup) nebo zapisovat data do (výstupních) centra událostí ve vašem oboru názvů Event Hubs. Důležité: Stream Analytics úloha by měla být nakonfigurovaná tak, aby pro přístup k centru událostí používala spravovanou identitu . Další informace najdete v tématu použití spravovaných identit pro přístup k centru událostí z Azure Stream Analytics úlohy (Preview). |
| Azure IoT Hub | Povoluje IoT Hub odesílat zprávy do Center událostí v oboru názvů centra událostí. Je také nutné provést následující kroky:
|
| Azure API Management | Služba API Management umožňuje odesílat události do centra událostí ve vašem oboru názvů Event Hubs.
|
| Azure IoT Central | Umožňuje IoT Central exportovat data do Center událostí v oboru názvů centra událostí. Je také nutné provést následující kroky:
|
Použití šablony Resource Manageru
Důležité
Funkce brány firewall není podporovaná na úrovni Basic.
Následující šablona Správce prostředků umožňuje přidat pravidlo filtru IP do existujícího oboru názvů Event Hubs.
ipMask v šabloně je jediná adresa IPv4 nebo blok IP adres v zápisu CIDR. Například v zápisu CIDR 70.37.104.0/24 představuje 256 IPv4 adres z 70.37.104.0 do 70.37.104.255, přičemž 24 značí počet významných bitů předpony pro daný rozsah.
Při přidávání pravidel virtuální sítě nebo bran firewall nastavte hodnotu defaultAction na Deny .
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"eventhubNamespaceName": {
"type": "string",
"metadata": {
"description": "Name of the Event Hubs namespace"
}
},
"location": {
"type": "string",
"metadata": {
"description": "Location for Namespace"
}
}
},
"variables": {
"namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
},
"resources": [
{
"apiVersion": "2018-01-01-preview",
"name": "[parameters('eventhubNamespaceName')]",
"type": "Microsoft.EventHub/namespaces",
"location": "[parameters('location')]",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": { }
},
{
"apiVersion": "2018-01-01-preview",
"name": "[variables('namespaceNetworkRuleSetName')]",
"type": "Microsoft.EventHub/namespaces/networkrulesets",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
],
"properties": {
"virtualNetworkRules": [<YOUR EXISTING VIRTUAL NETWORK RULES>],
"ipRules":
[
{
"ipMask":"10.1.1.1",
"action":"Allow"
},
{
"ipMask":"11.0.0.0/24",
"action":"Allow"
}
],
"trustedServiceAccessEnabled": false,
"defaultAction": "Deny"
}
}
],
"outputs": { }
}
Pokud chcete nasadit šablonu, postupujte podle pokynů Azure Resource Manager.
Důležité
Pokud neexistují žádná pravidla pro IP a virtuální sítě, veškerý provoz se předává do oboru názvů, a to i v případě, že nastavíte defaultAction na deny . K oboru názvů se dá získat přístup prostřednictvím veřejného Internetu (pomocí přístupového klíče). Zadejte alespoň jedno pravidlo IP nebo pravidlo virtuální sítě pro obor názvů, aby bylo možné provozovat pouze ze zadaných IP adres nebo podsítě virtuální sítě.
Další kroky
Informace o omezení přístupu k Event Hubs k virtuálním sítím Azure najdete na následujícím odkazu: