Povolení přístupu k Azure Event Hubs oborů názvů z konkrétních virtuálních sítí
Integrace služby Event Hubs s koncovými body služby Virtual Network (VNet) umožňuje zabezpečený přístup k funkcím zasílání zpráv z úloh, jako jsou virtuální počítače, které jsou vázané na virtuální sítě, a cesta síťového provozu je zabezpečená na obou koncích.
Jakmile je nakonfigurovaný tak, aby byl vázaná alespoň na jeden koncový bod služby podsítě virtuální sítě, příslušný obor názvů Event Hubs už nebude přijímat provoz z libovolného místa, ale z autorizovaných podsítí ve virtuálních sítích. Z hlediska virtuální sítě vazba oboru názvů Event Hubs s koncovým bodem služby nakonfiguruje izolovaný síťový tunel z podsítě virtuální sítě do služby zasílání zpráv.
Výsledkem je privátní a izolovaný vztah mezi úlohami vázanými na podsíť a příslušným oborem názvů Event Hubs, a to i přes pozorovatelnou síťovou adresu koncového bodu služby zasílání zpráv, který je v rozsahu veřejných IP adres. Toto chování má výjimku. Povolení koncového bodu služby ve výchozím nastavení povolí pravidlo v bráně denyall firewall protokolu IP přidružené k virtuální síti. Pokud chcete povolit přístup k veřejnému koncovému bodu centra událostí, můžete do brány firewall protokolu IP přidat konkrétní IP adresy.
Důležité body
- Tato funkce není podporovaná na úrovni Basic.
- Povolení virtuálních sítí pro Event Hubs obor názvů ve výchozím nastavení blokuje příchozí požadavky, pokud požadavky nepocházejí ze služby provozované z povolených virtuálních sítí. Mezi zablokované žádosti patří požadavky z jiných služeb Azure, z Azure Portal, protokolování a metrik atd. Jako výjimka můžete povolit přístup k prostředkům Event Hubs z určitých důvěryhodných služeb i v případě, že jsou povolené virtuální sítě. Seznam důvěryhodných služeb najdete v tématu Důvěryhodné služby.
- Pro obor názvů zadejte alespoň jedno pravidlo IP adresy nebo pravidlo virtuální sítě, které povolí provoz pouze ze zadaných IP adres nebo podsítě virtuální sítě. Pokud neexistují žádná pravidla ip adresy a virtuální sítě, je možné k oboru názvů přistupovat přes veřejný internet (pomocí přístupového klíče).
Pokročilé scénáře zabezpečení povolené integrací virtuální sítě
Řešení, která vyžadují úzká a oddělení zabezpečení a kde podsítě virtuální sítě poskytují segmentaci mezi odděleními služeb, stále potřebují komunikační cesty mezi službami umístěnými v těchto odděleních.
Jakákoli okamžitá IP trasa mezi oddíly, včetně těch, které mají protokol HTTPS přes TCP/IP, s sebou nese riziko zneužití ohrožení zabezpečení ze síťové vrstvy. Služby zasílání zpráv poskytují pevné komunikační cesty, kde se zprávy při přechodu mezi stranami dokonce zapisují na disk. Úlohy ve dvou různých virtuálních sítích, které jsou vázané na stejnou instanci Event Hubs, mohou efektivně a spolehlivě komunikovat prostřednictvím zpráv, zatímco integrita příslušné hranice izolace sítě je zachována.
To znamená, že vaše cloudová řešení citlivá na zabezpečení získají nejen přístup k špičkovým spolehlivým a škálovatelným funkcím asynchronního zasílání zpráv v Azure, ale teď mohou používat zasílání zpráv k vytváření komunikačních cest mezi zabezpečenými oddíly řešení, které jsou ze své podstaty bezpečnější, než je dosažitelné pomocí jakéhokoli režimu komunikace typu peer-to-peer, včetně HTTPS a dalších protokolů soketů zabezpečených protokolem TLS.
Vytvoření vazby center událostí k virtuálním sítím
Pravidla virtuální sítě jsou funkce zabezpečení brány firewall, která řídí, jestli Azure Event Hubs obor názvů přijímá připojení z konkrétní podsítě virtuální sítě.
Vytvoření Event Hubs k virtuální síti je dvoukrokový proces. Nejprve musíte vytvořit koncový bod služby pro virtuální síť v podsíti virtuální sítě a povolit ho pro Microsoft.EventHub, jak je vysvětleno v článku Přehled koncového bodu služby. Po přidání koncového bodu služby s ní svážete obor názvů Event Hubs s pravidlem virtuální sítě.
Pravidlo virtuální sítě je přidružení oboru názvů Event Hubs k podsíti virtuální sítě. Přestože pravidlo existuje, všem úlohám svázaným s podsítí je udělen přístup k Event Hubs oboru názvů. Event Hubs sám o sobě nikdy nevyváděl odchozí připojení, nemusí získat přístup, a proto se mu nikdy neudělí přístup k vaší podsíti povolením tohoto pravidla.
Použití webu Azure Portal
Tato část ukazuje, jak pomocí Azure Portal přidat koncový bod služby pro virtuální síť. Pokud chcete omezit přístup, musíte integrovat koncový bod služby pro virtuální síť pro tento Event Hubs oboru názvů.
Přejděte do svého Event Hubs oboru názvů v Azure Portal.
V nabídce vlevo Nastavení v části Sítě.
Upozornění
Pokud vyberete možnost Vybrané sítě a na této stránce přidáte alespoň jedno pravidlo firewallu protokolu IP nebo virtuální síť, bude mít obor názvů přístup přes veřejný internet (pomocí přístupového klíče).
Pokud vyberete možnost Všechny sítě, centrum událostí přijme připojení z jakékoli IP adresy (pomocí přístupového klíče). Toto nastavení je ekvivalentní pravidlu, které přijímá rozsah IP adres 0.0.0.0/0.
Pokud chcete omezit přístup ke konkrétním sítím, vyberte v horní části stránky možnost Vybrané sítě, pokud ještě není vybraná.
V Virtual Network stránky vyberte + Přidat existující virtuální síť _. Vyberte _ + Vytvořit novou virtuální síť*, pokud chcete vytvořit novou virtuální síť.
Upozornění
Pokud vyberete možnost Vybrané sítě a na této stránce přidáte alespoň jedno pravidlo firewallu protokolu IP nebo virtuální síť, bude mít obor názvů přístup přes veřejný internet (pomocí přístupového klíče).
V seznamu virtuálních sítí vyberte virtuální síť a pak vyberte podsíť . Koncový bod služby musíte povolit před přidáním virtuální sítě do seznamu. Pokud koncový bod služby není povolený, portál vás vyzve k jeho povolení.
Po povolení koncového bodu služby pro podsíť pro Microsoft.EventHub by se měla zobrazit následující úspěšná zpráva. Vyberte Přidat v dolní části stránky a přidejte síť.
Poznámka
Pokud nemůžete povolit koncový bod služby, můžete chybějící koncový bod služby pro virtuální síť ignorovat pomocí Resource Manager sítě. Tato funkce není dostupná na portálu.
Určete, jestli chcete povolit důvěryhodným uživatelům služby Microsoft tuto bránu firewall obejít. Podrobnosti najdete v služby Microsoft důvěryhodného účtu.
Nastavení uložte výběrem možnosti Uložit na panelu nástrojů. Počkejte několik minut, než se na oznámeních na portálu zobrazí potvrzení.
Poznámka
Pokud chcete omezit přístup na konkrétní IP adresy nebo rozsahy, podívejte se na informace v tématu Povolení přístupu z konkrétních IP adres nebo rozsahů.
důvěryhodné služby Microsoft
pokud povolíte možnost povolit důvěryhodným služby Microsoft obejít toto nastavení brány firewall , budou těmto službám udělen přístup k prostředkům Event Hubs.
| Důvěryhodná služba | Podporované scénáře použití |
|---|---|
| Azure Event Grid | Povoluje Azure Event Grid odesílat události do Center událostí ve vašem oboru názvů Event Hubs. Je také nutné provést následující kroky:
Další informace najdete v tématu doručování událostí se spravovanou identitou . |
| Azure Monitor (Nastavení pro diagnostiku a skupiny akcí) | Umožňuje Azure Monitor odesílat diagnostické informace a oznámení výstrah do Center událostí ve vašem oboru názvů Event Hubs. Azure Monitor může číst z centra událostí a také zapisovat data do centra událostí. |
| Azure Stream Analytics | Umožňuje Azure Stream Analytics úlohy číst data z (vstup) nebo zapisovat data do (výstupních) centra událostí ve vašem oboru názvů Event Hubs. Důležité: Stream Analytics úloha by měla být nakonfigurovaná tak, aby pro přístup k centru událostí používala spravovanou identitu . Další informace najdete v tématu použití spravovaných identit pro přístup k centru událostí z Azure Stream Analytics úlohy (Preview). |
| Azure IoT Hub | Povoluje IoT Hub odesílat zprávy do Center událostí v oboru názvů centra událostí. Je také nutné provést následující kroky:
|
| Azure API Management | Služba API Management umožňuje odesílat události do centra událostí ve vašem oboru názvů Event Hubs.
|
| Azure IoT Central | Umožňuje IoT Central exportovat data do Center událostí v oboru názvů centra událostí. Je také nutné provést následující kroky:
|
Použití šablony Resource Manageru
Následující ukázková šablona Resource Manager přidá pravidlo virtuální sítě do existujícího oboru názvů Event Hubs sítě. Pro pravidlo sítě určuje ID podsítě ve virtuální síti.
TOTO ID je plně kvalifikovaná Resource Manager pro podsíť virtuální sítě. Například /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default pro výchozí podsíť virtuální sítě.
Při přidávání pravidel virtuální sítě nebo bran firewall nastavte hodnotu defaultAction na Deny .
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"eventhubNamespaceName": {
"type": "string",
"metadata": {
"description": "Name of the Event Hubs namespace"
}
},
"virtualNetworkName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Rule"
}
},
"subnetName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Sub Net"
}
},
"location": {
"type": "string",
"metadata": {
"description": "Location for Namespace"
}
}
},
"variables": {
"namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
"subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
},
"resources": [
{
"apiVersion": "2018-01-01-preview",
"name": "[parameters('eventhubNamespaceName')]",
"type": "Microsoft.EventHub/namespaces",
"location": "[parameters('location')]",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": { }
},
{
"apiVersion": "2017-09-01",
"name": "[parameters('virtualNetworkName')]",
"location": "[parameters('location')]",
"type": "Microsoft.Network/virtualNetworks",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.0.0.0/23"
]
},
"subnets": [
{
"name": "[parameters('subnetName')]",
"properties": {
"addressPrefix": "10.0.0.0/23",
"serviceEndpoints": [
{
"service": "Microsoft.EventHub"
}
]
}
}
]
}
},
{
"apiVersion": "2018-01-01-preview",
"name": "[variables('namespaceNetworkRuleSetName')]",
"type": "Microsoft.EventHub/namespaces/networkruleset",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
],
"properties": {
"virtualNetworkRules":
[
{
"subnet": {
"id": "[variables('subNetId')]"
},
"ignoreMissingVnetServiceEndpoint": false
}
],
"ipRules":[<YOUR EXISTING IP RULES>],
"trustedServiceAccessEnabled": false,
"defaultAction": "Deny"
}
}
],
"outputs": { }
}
Pokud chcete šablonu nasadit, postupujte podle pokynů pro Azure Resource Manager.
Důležité
Pokud neexistují žádná pravidla ip adresy a virtuální sítě, veškerý provoz se přeteče do oboru názvů i v případě, že nastavíte defaultAction na deny . Obor názvů je přístupný přes veřejný internet (pomocí přístupového klíče). Pro obor názvů zadejte alespoň jedno pravidlo IP adresy nebo pravidlo virtuální sítě, které povolí provoz pouze ze zadaných IP adres nebo podsítě virtuální sítě.
Další kroky
Další informace o virtuálních sítích najdete na následujících odkazech: