Povolení přístupu k oborům názvů Hub eventi di Azure prostřednictvím privátních koncových bodů

Azure Private Link Service umožňuje přístup ke službám Azure (například Hub eventi di Azure, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům/partnerům Azure přes privátní koncový bod ve vaší virtuální síti.

Privátní koncový bod je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službám využívajícím službu Azure Private Link. Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě, čímž efektivně přenese službu do vaší virtuální sítě. Veškeré přenosy do služby lze směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure, což vám poskytne nejvyšší úroveň členitosti v řízení přístupu.

Další informace najdete v tématu Co je Azure Private Link?

Důležité body

• Tato funkce není na úrovni Basic podporovaná.
• Povolení privátních koncových bodů může zabránit jiným službám Azure v interakci se službou Event Hubs. Mezi blokované požadavky patří požadavky z jiných služeb Azure, z Azure-Portal, ze služeb protokolování a metrik atd. Jako výjimku můžete povolit přístup k prostředkům služby Event Hubs z určitých důvěryhodných služeb , i když jsou povolené privátní koncové body. Seznam důvěryhodných služeb najdete v tématu Důvěryhodné služby.
• Pokud chcete povolit provoz pouze ze zadaných IP adres nebo podsítě virtuální sítě, zadejte pro obor názvů alespoň jedno pravidlo PROTOKOLU IP nebo pravidlo virtuální sítě . Pokud neexistují žádná pravidla protokolu IP a virtuální sítě, je k oboru názvů možné přistupovat přes veřejný internet (pomocí přístupového klíče).

Přidání privátního koncového bodu pomocí Azure-Portal

Požadavky

Pokud chcete integrovat obor názvů služby Event Hubs s Azure Private Link, potřebujete následující entity nebo oprávnění:

• Obor názvů služby Event Hubs.
• Virtuální síť Azure.
• Podsíť ve virtuální síti. Můžete použít výchozí podsíť.
• Oprávnění vlastníka nebo přispěvatele pro obor názvů i virtuální síť.

Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Když vyberete oblast privátního koncového bodu pomocí portálu, automaticky se vyfiltrují jenom virtuální sítě, které jsou v dané oblasti. Váš obor názvů může být v jiné oblasti.

Váš privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.

Konfigurace privátního přístupu při vytváření oboru názvů

Při vytváření oboru názvů můžete buď povolit veřejný přístup (ze všech sítí), nebo pouze privátní (pouze prostřednictvím privátních koncových bodů) k oboru názvů.

Pokud v průvodci vytvořením oboru názvů na stránce Sítě vyberete možnost Privátní přístup, můžete na stránku přidat privátní koncový bod výběrem tlačítka + Privátní koncový bod. Podrobný postup přidání privátního koncového bodu najdete v další části.

Konfigurace privátního přístupu pro existující obor názvů

Pokud už máte obor názvů služby Event Hubs, můžete vytvořit připojení privátního propojení pomocí následujících kroků:

1. Přihlaste se k webu Azure Portal.

2. Do vyhledávacího panelu zadejte event hubs.

3. V seznamu vyberte obor názvů , do kterého chcete přidat privátní koncový bod.

4. Pokud chcete, aby se k oboru názvů přistupovalo pouze přes privátní koncové body, vyberte na stránce Sítě v části Přístup k veřejné sítimožnost Zakázáno .

5. V části Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall vyberte Ano , pokud chcete umožnit důvěryhodným službám Microsoftu obejít tuto bránu firewall.

   

6. Přepněte na kartu Připojení privátního koncového bodu .

7. V horní části stránky vyberte tlačítko + Privátní koncový bod .

   

8. Na stránce Základy postupujte takto:

   1. Vyberte předplatné Azure , ve kterém chcete vytvořit privátní koncový bod.

   2. Vyberte skupinu prostředků pro prostředek privátního koncového bodu.

   3. Zadejte název privátního koncového bodu.

   4. Zadejte název síťového rozhraní.

   5. Vyberte oblast privátního koncového bodu. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť, ale může být v jiné oblasti než prostředek privátního propojení, ke kterému se připojujete.

   6. V dolní části stránky vyberte Tlačítko Další: Prostředek > .

      

9. Na stránce Prostředek zkontrolujte nastavení a vyberte Další: Virtual Network.

   

10. Na stránce Virtual Network vyberte podsíť ve virtuální síti, do které chcete nasadit privátní koncový bod.

    1. Vyberte virtuální síť. V rozevíracím seznamu jsou uvedené pouze virtuální sítě v aktuálně vybraném předplatném a umístění.

    2. Vyberte podsíť ve virtuální síti, kterou jste vybrali.

    3. Všimněte si, že zásady sítě pro privátní koncové body jsou zakázané. Pokud ho chcete povolit, vyberte Upravit, aktualizujte nastavení a vyberte Uložit.

    4. Pro konfiguraci privátní IP adresy je ve výchozím nastavení vybraná možnost Dynamicky přidělovat IP adresu . Pokud chcete přiřadit statickou IP adresu, vyberte Staticky přidělit IP adresu*.

    5. V části Skupina zabezpečení aplikace vyberte existující skupinu zabezpečení aplikace nebo vytvořte skupinu, která bude přidružená k privátnímu koncovému bodu.

    6. V dolní části stránky vyberte Další: tlačítko DNS > .

       

11. Na stránce DNS vyberte, jestli chcete privátní koncový bod integrovat se zónou privátního DNS, a pak vyberte Další: Značky.

12. Na stránce Značky vytvořte všechny značky (názvy a hodnoty), které chcete přidružit k prostředku privátního koncového bodu. Pak v dolní části stránky vyberte tlačítko Zkontrolovat a vytvořit .

13. Na stránce Zkontrolovat a vytvořit zkontrolujte všechna nastavení a vyberte Vytvořit a vytvořte privátní koncový bod.

    

14. Ověřte, že se v seznamu koncových bodů zobrazuje připojení privátního koncového bodu, které jste vytvořili. V tomto příkladu se privátní koncový bod automaticky schválí, protože jste se připojili k prostředku Azure v adresáři a máte dostatečná oprávnění.

    

Důvěryhodné služby Microsoftu

Když povolíte nastavení Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall , udělí se přístup k prostředkům služby Event Hubs následujícím službám ve stejném tenantovi.

Důvěryhodná služba	Podporované scénáře použití
Azure Event Grid	Umožňuje Azure Event Grid odesílat události do centra událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolení identity přiřazené systémem pro téma nebo doménu Přidání identity do role odesílatele dat Hub eventi di Azure v oboru názvů služby Event Hubs Pak nakonfigurujte odběr událostí, které jako koncový bod používá centrum událostí, aby používalo identitu přiřazenou systémem. Další informace najdete v tématu Doručování událostí se spravovanou identitou.
Azure Stream Analytics	Umožňuje úloze Azure Stream Analytics číst data z (vstupních) nebo zapisovat data do (výstupních) center událostí ve vašem oboru názvů služby Event Hubs. Důležité: Úloha Stream Analytics by měla být nakonfigurovaná tak, aby pro přístup k centru událostí používala spravovanou identitu . Další informace najdete v tématu Použití spravovaných identit pro přístup k centru událostí z úlohy Azure Stream Analytics (Preview).
Azure IoT Hub	Umožňuje IoT Hub odesílat zprávy do centra událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolení identity přiřazené systémem pro centrum IoT Přidejte identitu do role odesílatele dat Hub eventi di Azure v oboru názvů služby Event Hubs. Pak nakonfigurujte IoT Hub, který používá centrum událostí jako vlastní koncový bod, aby používal ověřování na základě identity.
Azure API Management	Služba Gestione API umožňuje odesílat události do centra událostí v oboru názvů služby Event Hubs. Vlastní pracovní postupy můžete aktivovat odesláním událostí do centra událostí při vyvolání rozhraní API pomocí zásad odesílání a požadavků. Centrum událostí můžete také považovat za back-end v rozhraní API. Ukázkové zásady najdete v tématu Ověřování pomocí spravované identity pro přístup k centru událostí. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem v instanci Gestione API. Pokyny najdete v tématu Použití spravovaných identit v Azure Gestione API. Přidání identity do role odesílatele dat Hub eventi di Azure v oboru názvů služby Event Hubs
Azure Monitor (nastavení diagnostiky a skupiny akcí)	Umožňuje službě Azure Monitor odesílat diagnostické informace a upozornění do center událostí ve vašem oboru názvů služby Event Hubs. Azure Monitor může číst z centra událostí a také zapisovat data do centra událostí.
Azure Synapse	Umožňuje Azure Synapse připojit se k centru událostí pomocí spravované identity pracovního prostoru Synapse. Přidejte Hub eventi di Azure roli odesílatele dat, příjemce nebo vlastníka k identitě v oboru názvů služby Event Hubs.
Průzkumník dat Azure	Umožňuje azure Data Explorer přijímat události z centra událostí pomocí spravované identity clusteru. Musíte provést následující kroky: Konfigurace spravované identity v Azure Data Explorer Udělte identitě roli příjemce dat Hub eventi di Azure v centru událostí.
Azure IoT Central	Umožňuje službě IoT Central exportovat data do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem pro aplikaci IoT Central. Přidejte identitu do role odesílatele dat Hub eventi di Azure v oboru názvů služby Event Hubs. Pak nakonfigurujte cíl exportu služby Event Hubs ve vaší aplikaci IoT Central tak, aby používal ověřování na základě identity.
Azure Health Data Services	Umožňuje konektoru IoT pro zdravotnická rozhraní API ingestovat data zdravotnických zařízení z oboru názvů služby Event Hubs a uchovávat data v nakonfigurované službě FHIR® (Fast Healthcare Interoperability Resources). Konektor IoT by měl být nakonfigurovaný tak, aby pro přístup k centru událostí používal spravovanou identitu. Další informace najdete v tématu Začínáme s konektorem IoT – Azure Healthcare API.
Azure Digital Twins	Umožňuje službě Azure Digital Twins odchozí data do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem pro instanci služby Azure Digital Twins. Přidejte identitu do role odesílatele dat Hub eventi di Azure v oboru názvů služby Event Hubs. Pak nakonfigurujte koncový bod Služby Azure Digital Twins nebo připojení historie dat Azure Digital Twins, které k ověření používá identitu přiřazenou systémem. Další informace o konfiguraci koncových bodů a tras událostí do prostředků služby Event Hubs z Azure Digital Twins najdete v tématech Směrování událostí Azure Digital Twins a Vytváření koncových bodů ve službě Azure Digital Twins.

Další důvěryhodné služby pro Hub eventi di Azure najdete níže:

• Azure Arc
• Azure Kubernetes
• Azure Machine Learning
• Microsoft Purview

Pokud chcete důvěryhodným službám povolit přístup k vašemu oboru názvů, přepněte na kartu Veřejný přístup na stránce Sítě a vyberte Ano u možnosti Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall?.

Přidání privátního koncového bodu pomocí PowerShellu

Následující příklad ukazuje, jak pomocí Azure PowerShell vytvořit připojení privátního koncového bodu. Nevytvoří pro vás vyhrazený cluster. Postupujte podle kroků v tomto článku a vytvořte vyhrazený cluster Event Hubs.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VIRTUAL NETWORK LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create an event hubs namespace in a dedicated cluster
$namespaceResource = New-AzResource -Location $namespaceLocation `
                                    -ResourceName $namespaceName `
                                    -ResourceGroupName $rgName `
                                    -Sku @{name = "Standard"; capacity = 1} `
                                    -Properties @{clusterArmId = "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/clusters/<EVENT HUBS CLUSTER NAME>"} `
                                    -ResourceType "Microsoft.EventHub/namespaces" -ApiVersion "2018-01-01-preview"

# create private endpoint connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you'll use later
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# create a private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Konfigurace privátní zóny DNS

Vytvořte privátní zónu DNS pro doménu služby Event Hubs a vytvořte propojení přidružení k virtuální síti:

$zone = New-AzPrivateDnsZone -ResourceGroupName $rgName `
                            -Name "privatelink.servicebus.windows.net" 
 
$link  = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rgName `
                                            -ZoneName "privatelink.servicebus.windows.net" `
                                            -Name "mylink" `
                                            -VirtualNetworkId $virtualNetwork.Id  
 
$networkInterface = Get-AzResource -ResourceId $privateEndpoint.NetworkInterfaces[0].Id -ApiVersion "2019-04-01" 
 
foreach ($ipconfig in $networkInterface.properties.ipConfigurations) { 
    foreach ($fqdn in $ipconfig.properties.privateLinkConnectionProperties.fqdns) { 
        Write-Host "$($ipconfig.properties.privateIPAddress) $($fqdn)"  
        $recordName = $fqdn.split('.',2)[0] 
        $dnsZone = $fqdn.split('.',2)[1] 
        New-AzPrivateDnsRecordSet -Name $recordName -RecordType A -ZoneName "privatelink.servicebus.windows.net"  `
                                -ResourceGroupName $rgName -Ttl 600 `
                                -PrivateDnsRecords (New-AzPrivateDnsRecordConfig -IPv4Address $ipconfig.properties.privateIPAddress)  
    } 
}

Správa privátních koncových bodů pomocí Azure-Portal

Při vytváření privátního koncového bodu musí být připojení schváleno. Pokud je prostředek, pro který vytváříte privátní koncový bod, ve vašem adresáři, můžete žádost o připojení schválit za předpokladu, že máte dostatečná oprávnění. Pokud se připojujete k prostředku Azure v jiném adresáři, musíte počkat, až vlastník tohoto prostředku vaši žádost o připojení schválí.

Existují čtyři stavy zřizování:

Akce služby	Stav privátního koncového bodu příjemce služby	Description
Žádná	Čekající	Připojení se vytvoří ručně a čeká na schválení vlastníkem prostředku Private Link.
Schválení	Schválené	Připojení bylo schváleno automaticky nebo ručně a je připravené k použití.
Odmítnout	Zamítnuto	Vlastník prostředku privátního propojení odmítl připojení.
Odebrat	Odpojeno	Připojení odebral vlastník prostředku privátního propojení, privátní koncový bod bude informativní a měl by se odstranit kvůli vyčištění.

Schválení, odmítnutí nebo odebrání připojení privátního koncového bodu

1. Přihlaste se k webu Azure Portal.
2. Na panelu hledání zadejte event hubs.
3. Vyberte obor názvů , který chcete spravovat.
4. Vyberte kartu Sítě.
5. V závislosti na požadované operaci přejděte do příslušné části: schválení, odmítnutí nebo odebrání.

Schválení připojení privátního koncového bodu

1. Pokud nějaká připojení čekají na vyřízení, zobrazí se připojení se stavem Čeká na vyřízení ve stavu zřizování.

2. Vyberte privátní koncový bod , který chcete schválit.

3. Vyberte tlačítko Schválit .

   

4. Na stránce Schválit připojení přidejte komentář (volitelné) a vyberte Ano. Pokud vyberete Ne, nic se nestane.

5. V seznamu by se měl zobrazit stav připojení privátního koncového bodu změněný na Schváleno.

Odmítnutí připojení privátního koncového bodu

1. Pokud chcete odmítnout nějaká připojení privátního koncového bodu, ať už se jedná o čekající žádost nebo existující připojení, vyberte připojení a vyberte tlačítko Odmítnout .

   

2. Na stránce Odmítnout připojení zadejte komentář (volitelné) a vyberte Ano. Pokud vyberete Ne, nic se nestane.

3. V seznamu by se měl zobrazit stav připojení privátního koncového bodu změněný na Zamítnuto.

Odebrání připojení privátního koncového bodu

1. Pokud chcete odebrat připojení privátního koncového bodu, vyberte ho v seznamu a na panelu nástrojů vyberte Odebrat .
2. Na stránce Odstranit připojení vyberte Ano a potvrďte odstranění privátního koncového bodu. Pokud vyberete Ne, nic se nestane.
3. Měl by se zobrazit stav změněný na Odpojeno. Koncový bod pak ze seznamu zmizí.

Ověření fungování připojení privátního propojení

Měli byste ověřit, že se prostředky ve virtuální síti privátního koncového bodu připojují k oboru názvů služby Event Hubs přes privátní IP adresu a že mají správnou integraci privátní zóny DNS.

Nejprve vytvořte virtuální počítač podle kroků v tématu Vytvoření virtuálního počítače s Windows v Azure-Portal

Na kartě Sítě :

1. Zadejte Virtuální síť a Podsíť. Musíte vybrat Virtual Network, na který jste nasadili privátní koncový bod.
2. Zadejte prostředek veřejné IP adresy .
3. V části Skupina zabezpečení sítě nic vyberte Žádná.
4. V části Vyrovnávání zatížení vyberte Ne.

Připojte se k virtuálnímu počítači, otevřete příkazový řádek a spusťte následující příkaz:

nslookup <event-hubs-namespace-name>.servicebus.windows.net

Měl by se zobrazit výsledek, který vypadá takto.

Non-authoritative answer:
Name:    <event-hubs-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <event-hubs-namespace-name>.servicebus.windows.net

Omezení a aspekty návrhu

• Informace o cenách najdete v tématu ceny Azure Private Link.
• Tato funkce je dostupná ve všech veřejných oblastech Azure.
• Maximální počet privátních koncových bodů na obor názvů služby Event Hubs: 120.
• Provoz je blokován na aplikační vrstvě, nikoli na vrstvě TCP. Proto se zobrazí úspěšné operace nebo nslookup připojení TCP s veřejným koncovým bodem, i když je veřejný přístup zakázaný.

Další informace najdete v tématu služba Azure Private Link: Omezení.

Další kroky

• Mer informasjon o Azure Private Link
• Mer informasjon o Hub eventi di Azure